Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
8.14. Требования к проведению аудита
информационной безопасности
8.14.1. Аудит ИБ организации БС РФ должен проводиться в
соответствии с требованиями стандартов Банка России СТО БР ИББС-1.1
"Обеспечение информационной безопасности организаций банковской
системы Российской Федерации. Аудит информационной безопасности" и СТО
БР ИББС-1.2 "Обеспечение информационной безопасности организаций
банковской системы Российской Федерации. Методика оценки соответствия
информационной безопасности организаций банковской системы Российской
Федерации требованиям СТО БР ИББС-1.0".
8.14.2. Должна быть документально определена и реализовываться
программа аудитов ИБ, содержащая информацию, необходимую для
планирования и организации аудитов ИБ, их контроля, анализа и
совершенствования, а также обеспечения их ресурсами, необходимыми для
эффективного и результативного проведения указанных аудитов ИБ в
заданные сроки.
8.14.3. Для каждого проводимого в организации БС РФ аудита ИБ
необходимо документально оформить план аудита, определяющий:
- цель аудита ИБ;
- критерии аудита ИБ;
- область аудита ИБ;
- дату и продолжительность проведения аудита ИБ;
- состав аудиторской группы;
- описание деятельности и мероприятий по проведению аудита;
- распределение ресурсов при проведении аудита.
8.14.4. В организации БС РФ должны быть оформлены договоры с
аудиторскими организациями, а также документально определены:
- порядок хранения, доступа и использования материалов,
получаемых в процессе проведения аудита ИБ;
- порядок взаимодействия с аудиторской организацией в процессе
проведения аудита ИБ;
- порядок взаимодействия аудиторской группы и руководства,
позволяющий представителям аудиторской группы при необходимости
непосредственно обращаться к руководству;
- порядок организации опроса работников;
- порядок организации наблюдения за деятельностью работников
организации БС РФ со стороны представителей аудиторской организации.
8.14.5. По результатам проведения аудита должны быть подготовлены
отчеты. Результаты аудитов, а также соответствующие отчеты должны быть
доведены до руководства.
8.14.6. Должен быть документально определен порядок хранения,
доступа и использования материалов, получаемых в процессе проведения
аудитов, в частности, отчетов аудитов.
8.14.7. В организации БС РФ должны быть документально определены
роли, связанные с организацией выполнения программ аудитов и планов
отдельных аудитов, и назначены ответственные за выполнение указанных
ролей.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".