Види аудиту систем менеджменту інформаційної безпеки.

Найпоширенішою класифікацією видів аудиту за суб'єктом здійснення є:

Ø зовнішній аудит – здійснюється сторонніми аудиторськими організаціями або індивідуальними аудиторами;

Ø внутрішній аудит – здійснюється за допомогою створення спеціального органу всередині самої організації як самостійного структурного підрозділу міжнародній практиці поширена також ще одна класифікація видів (як правило, підпорядковується безпосередньо керівнику організації: прези­дентові, генеральному директору, тобто виконавчому керівництву, або власникам: зборам акціонерів у акціонерному товаристві, зборам учасників у товаристві з обмеженою відповідальністю тощо).

До принципів проведення аудиту належать: Етичність поведінки; Неупередженість; Професійна обачність; Незалежність;

Завданнями внутрішнього аудиту СМІБ є: перевірка точності записів; унеможливлення виникнення помилок і зловживань; суворе дотримання процедур контролю; контроль за виконанням завдань; визначення ефективності окремих операцій; достовірність, об'єктивність, повнота складання звітності; ефективність і оцінювання діяльності під час перевірки; розроблення пропозицій щодо вдосконалення обліку та аналізу процесів, що
пов'язані із СМІБ; дотримання нормативних правових актів і стандартів.

Внутрішній аудит СМІБ поділяється на: управлінський; аудит діяльності; аудит відповідності вимогам; звітності.

Зовнішній аудит – це, незалежний контроль, який здійснюють висококвалі­фіковані фахівці у сфері обліку, контролю та аналізу діяльності, що пов'язана із СМІБ, які мають відповідну ліцензію або сертифікат.

Зовнішній аудит здійснюють аудиторські фірми або індивідуальні аудитори з метою об'єктивного оцінювання достовірності обліку та звітності об'єкта, який піддається аудиту; розрізняють такі види зовнішнього аудиту: ініціативний і обов'язковий.

Ініціативний аудит (або добровільний) - це перевірка функціонування СМІБ клієнта за його бажанням. Причина - плинність кадрів в організації, низька кваліфікація кадрів (особливо у ново створених організаціях), інші причини. Керівники організацій, фірм, що стикаються з такими проблемами, самі звертаються в аудиторські фірми з проханням провести аудит (з метою перевірки якості роботи персоналу, достовірності звітності тощо). Ініціативний аудит маже бути тематичним, а перевірка - вибірковою або суцільною.

Обов'язковий аудит здійснюють відповідно до актів законодавства. Він є комплексним і може проводитися за дорученням державних органів. Ухилення від обов'язкового аудиту зумовлює адміністративне стягнення або штраф. Мета обов'язкового аудиту - підтвердити достовірність звітності. Якщо аудиторська фірма раніше надавала цій організації послуги, вона не може здійснювати обов'язковий аудит [37].

Аудит СМІБ передбачає [35]:

- організаційний і управлінський аудит, який передбачає створення інструкцій і правил для різних контрольних функцій та системи розмежування повноважень під час їх виконання, наприклад, правил введення інформації;

- контроль за підтриманням і розвитком системи СМІБ, який полягає в перевірці того, що всі зміни, які вносяться до системи і операції з нею, належним чином дозволені (застосування такого контролю є необхідним у випадках тестування, внесення змін, впровадження нових систем СМІБ, надання доступу до їх документації);

- операційний контроль, який передбачає перевірку того, що система СМІБвиконує лише авторизовані операції, доступ до неї мають лише особи, які мати, на це дозвіл, і помилки в обробленні даних визначаються та виправляються; контроль за програмним забезпеченням, який передбачає перевірку того, що використовується лише дозволене і ефективне програмне забезпечення;

- контроль за введенням і обробленням даних, який полягає в перевірці того, що існує система попереднього візування операцій до їх введення в систему СМІБ; а також того, щоб вводити інформацію можуть лише ті особи, які мають на це відповідні дозволи;

- можливими є також інші прийоми спільного контролю, серед яких можні назвати аналіз правил копіювання програм і баз даних у спеціальні архіви і процедури відновлення інформації або вилучення її з архівів у разі втрати даних.