Контролировать и проверять

Среди процессов осознания и менеджмента ИБ важнейшими являются те, которые направлены на проверку И Б организаций БС РФ. К ним относятся оценка влияния ИБ на бизнес (деятельность) организации, обеспечение наблюдаемости и оцениваемости ИБ, своевременность обнаружения проблем, касающихся ИБ, проведение внешнего и внутреннего аудита СМИБ, мониторинг и контроль защитных мер, анализ эффективности СМИБ со стороны высшего руководства.

Целью проверки является оценка эффективности и соответствия процессов осознания и менеджмента И Б организации, установленных политик, практик и процедур требованиям стандарта Банка России СТО БР ИББС-1.0. Результат проверок представляется в виде периодических отчетов для анализа высшему руководству, а также в виде регулярных записей параметров событий, касающихся ИБ, формируемых процедурами контроля.

Проверка ИБ может проводиться с помощью независимой оценки и самооценки ИБ. Независимая оценка реализуется с помощью аудита ИБ. Аудит ИБ организации БС РФ может быть внутренним или внешним. Цель, порядок и периодичность проведения аудитов и самооценки ИБ организации в целом (или ее отдельных структурных подразделений) или автоматизированных банковских систем определяются руководством организации на основе потребностей в такой деятельности. Внутренний аудит ИБ может проводиться собственными силами (например, службой внутреннего контроля подразделения Банка России) или с помощью привлеченных аудиторов (экспертов). Самооценка ИБ проводится силами службы ИБ подразделения Банка России.

Проверка и оценка проводится по трем направлениям ИБ: текущий уровень ИБ, менеджмент ИБ и осознание ИБ. При проведении аудита и самооценки ИБ организации используются стандартные процедуры документальной проверки и опрос руководства и персонала организации. При самооценке И Б должны использоваться журналы регистрации инцидентов ИБ, формируемые на основе данных мониторинга ИБ, проверяться эффективность реализованных защитных мер путем тестовых проверок.