• Содержание
• ISO 19011: руководство по аудиту систем менеджмента
  • Введение
  • Область применения и чего стандарт не делает
  • Семь принципов аудита
  • Программа аудита
  • Жизненный цикл аудита
    • Этап 1. Инициация аудита
    • Этап 2. Подготовка аудита
    • Этап 3. Проведение аудита
    • Этап 4. Подготовка отчёта и выводы
    • Этап 5. Последующий контроль
  • Свидетельства аудита и принцип триангуляции
  • Компетентность аудиторов ИБ
    • Универсальные требования
    • Специфические компетенции для аудита ИБ
    • Профессиональные сертификации
  • Связь ISO 19011 со стандартами аудита ИБ
  • Что дальше
  • Список литературы и стандартов

ISO 19011: руководство по аудиту систем менеджмента¶

Введение¶

Предыдущие темы курса ответили на вопросы «что проверять», «с каких позиций расставлять приоритеты» и «какими методами собирать свидетельства». Настало время разобраться с тем, как всё это организовано в единый процесс — от первого контакта с организацией до верификации устранения несоответствий.

Именно этому посвящён стандарт ISO 19011. Он не говорит, что проверять в СУИБ — это задача ISO 27001. Он описывает как проводить аудит любой системы менеджмента: в какой последовательности, по каким принципам, с какими результатами.

ISO 19011:2018 «Руководство по аудиту систем менеджмента» — универсальный методологический стандарт, применимый к аудиту любых систем менеджмента: ISO 27001, ISO 9001, ISO 14001, ISO 45001 и других. Текущая версия — редакция 2018 года, добавившая риск-ориентированный подход как седьмой принцип аудита.

Для специалиста по аудиту ИБ ISO 19011 — обязательная методологическая база. На нём построены ISO 27007 (аудит СУИБ) и ISO 27008 (оценка мер защиты). Без понимания ISO 19011 невозможно профессионально применять ни один из них.

---

Область применения и чего стандарт не делает¶

ISO 19011 применяется при трёх видах аудита, рассмотренных в предыдущих темах:

• внутренние аудиты (первая сторона) — организация проверяет собственную СУИБ;
• аудиты поставщиков (вторая сторона) — проверка подрядчиков и партнёров, имеющих доступ к данным или системам;
• сертификационные аудиты (третья сторона) — проверка аккредитованным органом по сертификации.

Важно понимать границы стандарта: ISO 19011 не устанавливает требования к СУИБ — это задача ISO 27001. Он описывает только процедуры проведения аудита. Аналогия: ISO 27001 — это кодекс законов, ISO 19011 — процессуальный кодекс, описывающий как вести дела в суде.

---

Семь принципов аудита¶

Принципы ISO 19011 — не формальные декларации, а практические ограничения, нарушение которых делает результаты аудита ненадёжными. Каждый принцип объясняет, почему аудит организован именно так.

Принцип	Суть	Что происходит при нарушении
Целостность	Аудитор выполняет работу честно и несёт ответственность за выводы	Выводы становятся неподзащитными; доверие к аудитору утрачивается
Беспристрастное представление	Все выводы точно отражают реальность — ни преувеличения, ни преуменьшения	Организация принимает решения на основе искажённой картины
Профессиональная осмотрительность	Аудитор действует с должной тщательностью, соразмерной важности задачи	Существенные несоответствия остаются незамеченными
Конфиденциальность	Информация, полученная в ходе аудита, не раскрывается без разрешения	Потеря доверия; юридические риски для аудитора
Независимость	Аудитор не проверяет свою собственную работу и свободен от конфликта интересов	Системная предвзятость в пользу подтверждения правильности собственных решений
Доказательный подход	Выводы основаны только на верифицируемых свидетельствах	«Мне кажется» вместо «свидетельство показывает» — аудит теряет объективность
Риск-ориентированный подход	Планирование, методы и интенсивность проверки определяются рисками	Равномерная проверка всего — критические риски получают столько же времени, сколько несущественные

Принцип независимости объясняет ключевое организационное требование: специалист по ИБ, который сам проектировал СУИБ, не может её объективно аудировать. Не потому что он нечестен — а потому что психологически склонен подтверждать правильность собственных решений. Именно поэтому ISO 27001 требует, чтобы внутренние аудиторы были независимы от проверяемых областей.

---

Программа аудита¶

Отдельный аудит существует не сам по себе — он является частью программы аудита: плановой системы проверок на год или несколько лет.

Программа аудита включает: цели (зачем проводятся аудиты — подтверждение соответствия, снижение рисков, подготовка к сертификации); область и критерии каждого аудита; периодичность (высокорисковые процессы проверяются чаще, зрелые и стабильные — реже); распределение ресурсов (кто проводит, в какие сроки); порядок документирования и хранения записей.

Программа аудита — живой документ. По итогам каждого аудита она пересматривается с учётом выявленных рисков, изменений в организации и обратной связи. Если аудит выявил системные несоответствия в управлении доступом — следующий цикл должен уделить этой области больше внимания.

Риск-ориентированный подход к программе аудита — прямое продолжение темы Риск-ориентированный аудит. Реестр рисков и результаты предыдущих аудитов являются главными входными данными при составлении программы.

---

Жизненный цикл аудита¶

ISO 19011 описывает аудит как последовательный процесс из пяти этапов.

Этап 1. Инициация аудита¶

Закладывается основа для конкретного аудита: назначается руководитель аудиторской группы, несущий ответственность за весь процесс; определяются цели, область и критерии; оценивается реализуемость — есть ли доступ к нужным ресурсам, документам и персоналу; устанавливается первый контакт с проверяемой организацией и согласовываются организационные условия.

Этап 2. Подготовка аудита¶

Подготовка — фундамент качества всего аудита. Три основных действия.

Предварительный анализ документов. Аудитор изучает политики, регламенты, предыдущие отчёты об аудитах, реестр рисков, журналы инцидентов. Цель — понять контекст, выявить зоны риска и сосредоточить внимание на критических областях до начала выездных работ.

Формирование плана аудита. План фиксирует: кто и что проверяет, в какие дни, в каком порядке, по каким критериям. Согласовывается с проверяемой стороной для обеспечения доступа к помещениям, системам и персоналу.

Разработка рабочих документов. Опросные листы, чек-листы, формы для записи свидетельств. Типовая структура рабочего листа:

Требование	Вопрос	Свидетельство	Вывод
ISO 27001, контроль 8.5	Как реализован MFA для привилегированного доступа?	Конфигурация AD, список Domain Admins	..
ISO 27001, контроль 8.13	Как организовано резервное копирование критичных данных?	Расписание задач, журнал верификации	..
ISO 27001, контроль 5.24	Задокументированы ли процедуры реагирования на инциденты?	Регламент реагирования, записи об учениях	..

Этап 3. Проведение аудита¶

Центральная фаза: сбор свидетельств и формирование наблюдений. Подробно методы сбора рассмотрены в теме Методы проведения аудита. Здесь — процессная сторона.

Вводное совещание открывает выездные работы. Аудиторы представляются, уточняют план, отвечают на вопросы. Ключевой посыл: аудит — это системная оценка, направленная на улучшение, а не поиск виновных.

Выездные работы — последовательное применение методов (интервью, анализ документов, наблюдение, технические проверки) согласно плану. Рабочие материалы фиксируются немедленно.

Ежедневная синхронизация группы. При многодневном аудите — короткие совещания команды в конце дня: что обнаружено, нет ли противоречий, нужна ли корректировка плана. Обнаружение значительного несоответствия на первый день может потребовать углублённой проверки связанных областей.

Заключительное совещание завершает выездные работы. Аудиторы представляют предварительные выводы, поясняют характер несоответствий. Проверяемая организация вправе представить дополнительные данные или уточнения — но не оспаривать обоснованные выводы.

Этап 4. Подготовка отчёта и выводы¶

Аудиторская группа систематизирует находки и формирует итоговый отчёт.

Классификация находок по степени серьёзности — три уровня, рассмотренных в теме Объекты и критерии:

Существенное несоответствие — системное невыполнение требования или отсутствие ключевого элемента процесса. Примеры: оценка рисков никогда не проводилась; отсутствует утверждённая политика ИБ; процесс управления инцидентами не функционирует. При наличии значительного несоответствия сертификат не выдаётся до его устранения.

Незначительное несоответствие — единичное отклонение, не влияющее на общую эффективность СУИБ. Примеры: один журнал из двадцати не подписан ответственным; политика пересматривалась 13 месяцев назад вместо требуемых 12. Требует плана корректирующих действий, но не блокирует сертификацию.

Наблюдение — не нарушение, но потенциальный риск или возможность улучшения. Не обязательно к исполнению, но рекомендуется к рассмотрению.

Требования к формулировке несоответствия. Каждое несоответствие должно содержать три элемента: конкретный факт, нарушенное требование, ссылка на свидетельство.

Слабая формулировка: «Процесс резервного копирования неэффективен».

Сильная формулировка: «В журнале системы резервного копирования отсутствуют записи за 14–16 июня 2025 года, что нарушает требование пункта 4.2 внутренней Политики ИБ (версия 3.1, утверждена 01.03.2025). Свидетельство: скриншот консоли резервного копирования от 17.06.2025 (Приложение 3)».

Структура отчёта: цели, область, критерии, участники и даты; перечень проверенных подразделений и процессов; описание применённых методов; выводы (соответствия, несоответствия, наблюдения); рекомендации; заключение о соответствии.

Детально структура и требования к отчёту рассматриваются в теме Отчёт об аудите и работа с несоответствиями.

Этап 5. Последующий контроль¶

Аудит не заканчивается отчётом. Замкнутый цикл требует трёх шагов.

План корректирующих действий (КД). Организация разрабатывает план для каждого несоответствия: что делается, кто отвечает, в какие сроки, как будет проверена эффективность.

Реализация КД. Меры внедряются с фиксацией свидетельств устранения.

Верификация эффективности. Аудитор убеждается, что корректирующие меры действительно устранили проблему и не породили новых рисков. Это может быть камеральная проверка документов или повторный визит.

Результаты последующего контроля передаются в программу аудита — это петля обратной связи, замыкающая весь цикл.

---

Свидетельства аудита и принцип триангуляции¶

Свидетельства — основа всех выводов. В теме Объекты и критерии мы рассматривали типы и требования к свидетельствам. Здесь — ключевой методологический инструмент их получения.

Триангуляция — подтверждение одного вывода из нескольких независимых источников разного типа. Именно этот принцип обеспечивает надёжность выводов аудита.

Пример: сотрудник утверждает, что резервное копирование выполняется ежедневно (устное свидетельство). Аудитор проверяет журнал задач в системе резервирования (документальное свидетельство) и наблюдает успешное завершение задания на мониторе сервера (наблюдательное свидетельство). Все три источника согласуются — вывод надёжен.

Если источники противоречат друг другу — это сигнал для углублённой проверки, а не повод выбрать «удобное» свидетельство.

Практический тест надёжности: «Если другой компетентный аудитор изучит те же свидетельства, придёт ли он к тем же выводам?» Если да — свидетельства достаточны и достоверны.

---

Компетентность аудиторов ИБ¶

ISO 19011 устанавливает требования к компетентности через совокупность знаний, навыков и личных качеств.

Универсальные требования¶

Знания: принципы и методология аудита; требования проверяемого стандарта; бизнес-контекст и процессы организации. Навыки: проведение интервью и наблюдений; анализ документов и записей; формулировка несоответствий; управление группой аудиторов. Личные качества: объективность, независимость суждений, внимательность, аналитическое мышление, устойчивость к давлению.

Специфические компетенции для аудита ИБ¶

Помимо универсальных, аудитор СУИБ должен обладать:

• пониманием архитектуры технических средств защиты: управление доступом (IAM, PAM), SIEM, криптография, управление уязвимостями — всё это рассмотрено в курсе УИБ, темы 9–10;
• знанием методологии оценки рисков ИБ (ISO 27005);
• навыками работы с электронными свидетельствами: анализ журналов, проверка конфигураций, интерпретация результатов сканирования;
• знанием применимого законодательства и регуляторных требований: 152-ФЗ, 187-ФЗ, требования ФСТЭК, PCI DSS, ГОСТ 57580.

Аудитор не обязан быть экспертом во всех технических областях. Для специфических проверок — криптографических протоколов, промышленных систем управления, облачных архитектур — привлекаются технические эксперты. Они работают под руководством аудитора и предоставляют техническую оценку, но аудиторские выводы делает только аудитор.

Профессиональные сертификации¶

Для аудиторов СУИБ существуют признанные сертификации, структурирующие и подтверждающие компетентность: Lead Auditor ISO/IEC 27001 (BSI, Bureau Veritas, TÜV и другие аккредитованные органы); CISA (Certified Information Systems Auditor, ISACA) — рассматривает COBIT, ISO 27001 и другие фреймворки; CISSP — шире, охватывает практику ИБ в целом.

---

Связь ISO 19011 со стандартами аудита ИБ¶

ISO 19011 — методологическая основа. Специализированные стандарты конкретизируют её для аудита ИБ.

Стандарт	Роль в аудите ИБ	Связь с ISO 19011
ISO 27007:2021	Руководство по аудиту СУИБ — конкретизирует методологию ISO 19011 для проверки систем управления ИБ	Специализация ISO 19011 для предмета аудита
ISO 27008:2019	Оценка мер защиты информации — фокус на технических контролях, а не на процессах СУИБ	Дополнение: техническая проверка vs. управленческая
ISO 27006:2021	Требования к органам по сертификации СУИБ	Регулирует третью сторону, применяющую ISO 19011

При аудите СУИБ ISO 19011 задаёт процесс (как проводить), ISO 27007 конкретизирует его для ИБ (что именно проверять в СУИБ), ISO 27001 задаёт критерии (с чем сравнивать). Все три документа применяются одновременно.

---

Что дальше¶

ISO 19011 описывает универсальный процесс аудита систем менеджмента. Следующие темы применяют эту методологическую основу к конкретным стандартам: ISO 27001 как предмет сертификационного аудита СУИБ, ISO 27007 как специализированное руководство именно для ИБ.

• Следующая тема: ISO 27001 — структура требований и методика аудита СУИБ
• Специфика ИБ-аудита: ISO 27007 — как ISO 19011 конкретизируется для аудита систем управления ИБ
• Оформление результатов: Отчёт об аудите и работа с несоответствиями — требования к структуре и содержанию отчёта

---

Список литературы и стандартов¶

• ISO 19011:2018 — Руководство по аудиту систем менеджмента
• ГОСТ Р ИСО 19011-2021 — российская редакция стандарта
• ISO/IEC 27007:2021 — Руководство по аудиту СУИБ
• ISO/IEC 27008:2019 — Оценка мер защиты информации
• ISACA IS Audit and Assurance Standards — стандарты аудита ИС ISACA
• IAF MD 4:2022 — проведение аудитов с использованием ИКТ (дистанционный аудит)
• Mills R. — Auditing IT Infrastructures for Compliance. 3rd ed. Jones & Bartlett, 2021