ГОСТ Р 56045-2014
Информационная технология. Методы и средства обеспечения безопасности. Рекомендации для аудиторов в отношении мер и средств контроля и управления информационной безопасностью
44 страницы
Купить ГОСТ Р 56045-2014 — бумажный документ с голограммой и синими печатями. подробнее
Распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль"
Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.
Способы доставки
- Срочная курьерская доставка (1-3 дня)
- Курьерская доставка (7 дней)
- Самовывоз из московского офиса
- Почта РФ
Предоставляет руководство по проверке реализации и функционирования мер и средств контроля и управления, включая проверку технического соответствия мер и средств контроля и управления информационных систем, согласно установленным в организации стандартам по информационной безопасности. Стандарт применим для организаций всех видов и любой величины, включая акционерные общества открытого и закрытого типа, государственные учреждения и некоммерческие организации, проводящие проверки информационной безопасности и технического соответствия. Стандарт не предназначен для аудитов систем менеджмента.
Идентичен ISO/IEC TR 27008:2011
Оглавление
1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Структура данного стандарта
5 Предпосылки
6 Обзор проверок мер и средств контроля и управления информационной безопасностью
7 Методы проверок
8 Деятельность
Приложение А (справочное) Практическое руководство по проверке технического соответствия
Приложение В (справочное) Начало сбора информации (отличной от ИТ)
Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации
Библиография
| Дата введения | 01.06.2015 |
|---|---|
| Добавлен в базу | 21.05.2015 |
| Актуализация | 01.01.2021 |
Этот ГОСТ находится в:
- Раздел Экология
Организации:
| 11.06.2014 | Утвержден | Федеральное агентство по техническому регулированию и метрологии | 569-ст |
|---|---|---|---|
| Разработан | ФГУП ВНИИНМАШ | ||
| Разработан | ООО НПФ Кристалл | ||
| Разработан | ООО ИАВЦ | ||
| Издан | Стандартинформ | 2015 г. |
Information technology. Security techniques. Guidelines for auditors on information security controls
- ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности
- ГОСТ Р ИСО/МЭК 27000-2012 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология
Чтобы бесплатно скачать этот документ в формате PDF, поддержите наш сайт и нажмите кнопку:
стр. 1
стр. 2
стр. 3
стр. 4
стр. 5
стр. 6
стр. 7
стр. 8
стр. 9
стр. 10
стр. 11
стр. 12
стр. 13
стр. 14
стр. 15
стр. 16
стр. 17
стр. 18
стр. 19
стр. 20
стр. 21
стр. 22
стр. 23
стр. 24
стр. 25
стр. 26
стр. 27
стр. 28
стр. 29
стр. 30
НАЦИОНАЛЬНЫЙ
СТАНДАРТ
РОССИЙСКОЙ
ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
ГОСТ Р 56045 — 2014/ISO/IEC TR 27008:2011
Информационная технология
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Рекомендации для аудиторов в отношении мер и средств контроля и управления информационной безопасностью
ISO/IEC TR 27008:2011 Information technology -- Security techniques - Guidelines for auditors on information
security controls (IDT)
Издание официальное
Предисловие
1 ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием «Всероссийский научно-исследовательский институт стандартизации и сертификации в машиностроении» (ФГУП «ВНИИНМАШ»), Обществом с ограниченной ответственностью «Информационно-аналитический вычислительный центр» (ООО «ИАВЦ») и Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл») на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 «Информационные технологии»
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому регулированию и метрологии от «11» июня 2014 г. № 569-ст
4 Настоящий стандарт идентичен международному документу ISO/IEC TR 27008:2011 «Информационная технология Методы обеспечения безопасности. Рекомендации для аудиторов в отношении мер и средств контроля и управления информационной безопасностью» (ISO/IEC TR 27008:2011 «Information technology - Security techniques - Guidelines for auditors on information security controls»)
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (пункт 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок - в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)
© Стандарт и нформ. 2015
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения национального органа Российской Федерации по стандартизации.
ГОСТ Р 56045-2014/ISO/IEC TR 27008:2011
Содержание
1 Область применения....................................................................................................................1
2 Нормативные ссылки....................................................................................................................1
3 Термины и определения..............................................................................................................1
4 Структура данного стандарта......................................................................................................1
5 Предпосылки.................................................................................................................................2
6 Обзор проверок мер и средств контроля и управления
информационной безопасностью...................................................................................................3
7 Методы проверок..........................................................................................................................6
8 Деятельность..............................................................................................................................11
Приложение А (справочное)
Практическое руководство по проверке технического соответствия........................................20
Приложение В (справочное) Начало сбора информации (отличной от ИТ)...........................36
Приложение ДА (справочное)
Сведения о соответствии ссылочных международных стандартов национальным стандартам
Российской Федерации.................................................................................................................39
Библиография................................................................................................................................40
Введение
ИСО/МЭК ТО 27008 был подготовлен совместным техническим комитетом ИСО/МЭК СТК 1 «Информационная технология», подкомитетом ПК 27 «Методы и средства обеспечения безопасности ИТ».
Настоящий стандарт поддерживает определенный в ИСО/МЭК 27001 и ИСО/МЭК 27005 процесс менеджмента риска системы менеджмента информационной безопасности (СМИБ), а также меры и средства контроля и управления, включенные в ИСО/МЭК 27002.
Настоящий стандарт предоставляет руководство по проверке мер и средств контроля и управления информационной безопасностью организации, например, в организации, процессах бизнеса и системном окружении, включая проверку технического соответствия.
За рекомендациями по аудиту элементов систем менеджмента следует обращаться к ИСО/МЭК27007. а по проверке соответствия СМИБ требованиям для целей сертификации- к ИСО/МЭК 27006.
IV
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационная технология МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ Рекомендации для аудиторов в отношении мер и средств контроля и управления информационной безопасностью
Information technology - Security techniques - Guidelines for auditors on information security controls
Дата введения — 2015—Об—01
1 Область применения
Настоящий стандарт предоставляет руководство по проверке реализации и функционирования мер и средств контроля и управления, включая проверку технического соответствия мер и средств контроля и управления информационных систем, согласно установленным в организации стандартам по информационной безопасности.
Настоящий стандарт применим для организаций всех видов и любой величины, включая акционерные общества открытого и закрытого типа, государственные учреждения и некоммерческие организации. проводящие проверки информационной безопасности и технического соответствия. Настоящий стандарт не предназначен для аудитов систем менеджмента.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты. Для датированных ссылок следует использовать только указанное издание, для недатированных ссылок - последнее издание указанного документа (включая все его изменения).
ИСО/МЭК 27000:2009 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и терминология (ISO/IEC 27000 2009, Information technology - Security techniques -Information security management systems - Overview and vocabulary).
3 Термины и определения
В настоящем стандарте применены термины по ИСО/МЭК 27000, а также следующие термины с соответствующими определениями:
3.1 объект проверки (review object): Конкретный проверяемый элемент.
3.2 цель проверки (review objective): Формулировка, описывающая, что должно быть достигнуто в результате проверки.
3.3 стандарт реализации безопасности (security implementation standard): Документ, предписывающий санкционированные способы реализации безопасности.
4 Структура настоящего стандарта
Настоящий стандарт содержит описание процесса проверки мер и средств контроля и управления информационной безопасностью, включая проверку технического соответствия.
В разделе 5 представлена вводная информация.
В разделе 6 представлен общий обзор проверок мер и средств контроля и управления информационной безопасностью.
В разделе 7 представлены методы проверок . а в разделе 8 - деятельность по проверке-.
В приложении А приведено практическое руководство по проверке технического соответствия, а в приложении В дается описание начала сбора информации -.
1
Отменен Действует ИСО/МЭК 27000 2014 Для однозначного соблюдения требований настоящего стан-дарта, выраженных в датированных ссылках рекомендуется использовать только указанный ссылочный стандарт Издание официальное
5 Предпосылки
Меры и средства контроля и управления информационной безопасностью организации должны выбираться организацией на основе результата оценки риска в рамках процесса менеджмента риска информационной безопасности, чтобы снижать свои риски до допустимого уровня. Однако организации. решившие не реализовывать СМИБ, могут отдать предпочтение другим способам выбора, реализации и поддержки мер и средств контроля и управления информационной безопасностью.
Часть мер и средств контроля и управления информационной безопасностью организации обычно осуществляется путем реализации технических мер и средств контроля и управления информационной безопасностью, например, когда информационные активы включают информационные системы.
Технические меры и средства контроля и управления информационной безопасностью необходимо определять, документально оформлять, реализовать и поддерживать в соответствии со стандартами, относящимися к информационной безопасности. С течением времени на эффективность мер и средств контроля и управления информационной безопасностью и в конечном счете на применение в организации стандартов информационной безопасности могут оказывать негативное влияние внутренние факторы, такие как корректировки информационных систем, конфигурации функций безопасности и изменения окружающей среды информационных систем, а также внешние факторы, такие как совершенствование навыков атаки. У организаций должна быть строгая программа контроля изменений. касающихся информационной безопасности. Организации должны регулярно проверять, осуществляется ли соответствующее применение стандартов, касающихся реализации безопасности, и их действие. Проверка технического соответствия включена в ИСО/МЭК 27002:2005 в качестве одной из мер и средств контроля и управления, осуществляемой вручную и/или посредством специальных проверок с помощью автоматизированных инструментальных средств Она может осуществляться лицами, выполняющими роль, не задействованную в осуществлении меры и средства контроля и управления (например, владельцем системы или персоналом, отвечающим за конкретные меры и средства контроля и управления), или внутренними или внешними специалистами по обеспечению информационной безопасности, включая аудиторов информационной технологии (ИТ).
Результат проверки технического соответствия объясняет фактический уровень технического соответствия реализации информационной безопасности в организации требованиям стандартов. Это обеспечивает уверенность в том. что состояние технических мер и средств контроля и управления соответствует стандартам информационной безопасности или. в противном случае, служит основой для совершенствования В начале проверки должна быть четко установлена последовательность отчетности по аудиту и должна обеспечиваться целостность процесса отчетности. Должны предприниматься шаги, чтобы обеспечить:
получение соответствующими ответственными сторонами неизмененной копии отчета непосредственно от аудиторов, проводящих проверку мер и средств контроля и управления информационной безопасностью;
невозможность получения несоответствующими или неуполномоченными сторонами копии отчета от аудиторов, проводящих проверку мер и средств контроля и управления информационной безопасностью;
возможность беспрепятственного выполнения работы аудиторами, проводящими проверку мер и средств контроля и управления информационной безопасностью.
Проверки мер и средств контроля и управления информационной безопасностью, в особенности проверки технического соответствия могут помочь организации:
установить и понять степень серьезности потенциальных проблем или недостатков реализации и действия мер и средств контроля и управления информационной безопасностью, стандартов информационной безопасности и. в результате, технических мер и средств контроля и управления информационной безопасностью организации;
установить и понять потенциальное влияние на организацию воздействия недостаточно ослабленных угроз и уязвимостей информационной безопасности;
установить приоритеты в действиях по уменьшению риска информационной безопасности, подтвердить, что вопрос, касающийся ранее установленных или возникающих слабых мест или недостатков информационной безопасности, был адекватным образом решен;
- поддерживать бюджетные решения в рамках инвестиционного процесса и другие решения руководства, связанные с совершенствованием менеджмента информационной безопасности организации.
Настоящий стандарт предназначен для проверки мер и средств контроля и управления информационной безопасностью, включая проверку технического соответствия относительно реализации организацией установленного стандарта по информационной безопасности. Настоящий стандарт не
2
ГОСТ Р 56045-2014/ISO/IEC TR 27008:2011
предназначен для предоставления какого-либо конкретного руководства по проверке соответствия в отношении измерений, оценки риска или аудита СМИБ. как определено в ИСО/МЭК 27004. ИСО/МЭК 27005 или ИСО/МЭК 27007 соответственно.
Использование настоящего стандарта в качестве отправной точки процесса определения процедур для проверки мер и средств контроля и управления информационной безопасностью способствует более стабильному уровню информационной безопасности в рамках организации. Он предлагает необходимую гибкость в уточнении параметров процесса проверки на основе целевой задачи и целей бизнеса, политик и требований организации, известной информации об угрозах и уязвимостях, представлений об операционной деятельности, зависимостей информационных систем и платформ и готовности рисковать.
Примечание - ИСО Руководство73 определяет готовность рисковать как величину и вид риска, который организация готова рассматривать, сохранять или принимать
6 Обзор проверок мер и средств контроля и управления информационной безопасностью
6.1 Процесс проверки
Приступая к конкретной проверке, относящейся к информационной безопасности, аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, обычно начинают со сбора предварительной информации, рассмотрения планируемого объема и содержания работ, установления связи с руководителями и другими контактными лицами в соответствующих частях организации и расширенной оценки риска, связанного с проверкой, чтобы разработать документацию по проверке, представляющую собой руководство по осуществляемой проверочной деятельности. Для эффективного осуществления проверок назначенные аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны быть хорошо подготовлены как в области мер и средств контроля и управления, так и в области тестирования (например, эксплуатация применимых инструментальных средств, техническая цель тестирования). На этом уровне могут быть установлены приоритетные этапы работы по проверке в соответствии с осознаваемыми рисками, также этапы работы могут быть спланированы согласно определенному процессу бизнеса или системы или могут быть разработаны просто для последовательного охвата всех сфер, входящих в область проверки.
Предварительная информация может поступать из различных источников:
книги. Интернет, технические руководства, стандарты и другие общие сведения, содержащиеся в исследовательских работах по распространенным рискам и мерам и средствам контроля и управления в данной сфере, материалах конференций, симпозиумов, семинаров или форумов;
результаты предыдущих проверок, тестирований и оценок, частично или полностью относящихся к текущей области проверки и так или иначе выполненных аудиторами, проводящими проверку мер и средств контроля и управления информационной безопасностью (например, предварительные тесты безопасности, проведенные специалистами по обеспечению информационной безопасности. могут дать обширные знания по безопасности основных прикладных систем);
сведения о соответствующих инцидентах информационной безопасности, ситуациях, близких к инцидентам, вопросах поддержки и изменениях, полученные от службы технической поддержки ИТ, из процессов менеджмента изменений ИТ. процессов менеджмента инцидентов ИТ и из аналогичных источников;
общие перечни контрольных проверок и договоров, касающихся проверки мер и средств контроля и управления информационной безопасностью и проводимых аудиторами или специалистами по информационной безопасности с опытом работы в данной сфере.
Может быть уместным проведение пересмотра планируемой области проверки в свете предварительной информации, особенно если план проверки, первоначально определивший область проверки. подготавливался за много месяцев до этого. Например, дополнительные проверки могут раскрыть проблемы, заслуживающие более глубокого исследования, или. наоборот, могут обеспечить ббльшую уверенность в некоторых областях, позволяя сосредоточить назначенную работу на чем-то другом.
На начальном этапе важно установить связи с руководителями и контактными лицами, связанными с проверкой. По завершении процесса проверки от этих людей требуется понимание выводов проверки, чтобы адекватно реагировать на отчет о результатах проверки. Взаимопонимание, взаимное уважение и способность объяснить процесс проверки существенно повышают качество и эффективность результата.
3
Поскольку способ документального оформления своей работы разными лицами различается, то для многих функций проверки используют стандартизированные процессы проверки, поддерживаемые документами-шаблонами для рабочих материалов, такими как контрольные перечни для проверки. опросные листы по внутреннему контролю, графики тестирования, таблицы управления риском и т. д.
Контрольный перечень для проверки (или аналогичный документ) является основным документом по нескольким причинам:
в нем изложены планируемые сферы проверочной деятельности, возможно, и уровни детального описания отдельных тестов по проверке и ожидаемые/идеальные выводы;
он предоставляет состав работ, способствуя обеспечению уверенности в полном охвате планируемой области;
необходимый для создания контрольного перечня анализ в первую очередь подготавливает аудиторов, проводящих проверку мер и средств контроля и управления информационной безопасностью. к последующей практической проверочной деятельности, в то время как заполнение контрольного перечня в ходе проверки способствует развитию аналитического процесса, из которого будут выводиться данные для отчета о результатах проверки;
он предоставляет рамки для фиксирования результатов предварительной обработки информации и практической проверочной деятельности, а также, например, место для ссылок и комментариев к собранным свидетельствам проверки;
он может быть проверен руководителями аудита или другими аудиторами, проводящими проверку мер и средств контроля и управления информационной безопасностью, как часть процесса по обеспечению качества проверки;
будучи полностью заполненным, он (наряду со свидетельствами проверки) представляет собой достаточно подробную запись о проведенной проверочной деятельности и полученных выводах, которая может потребоваться для обоснования или подтверждения отчета о результатах проверки, информирования руководства и/или помощи при планировании будущих проверок.
Аудиторы информационной безопасности должны проявлять осторожность, чтобы просто использовать общие контрольные перечни для проверки, составленные другими, так как за исключением возможной экономии времени это. вероятно, сведет на нет некоторые из вышеперечисленных выгод. (Это. по-видимому, менее проблематично в случае прямых проверок соответствия или сертификационных проверок, потому что требования, которые должны выполняться обычно являются достаточно определенными.]
Основной объем практической проверочной деятельности состоит из серии тестов, проводимых самими аудиторами или по их запросу, для сбора свидетельств проверки и их рассмотрения часто путем сравнения с ожидаемыми результатами, которые выводятся из соответствующих обязательств по обеспечению соответствия, стандартов или из более общей оценки хороших практических приемов. Например, один из тестов в рамках проверки информационной безопасности, изучающий меры и средства контроля и управления для защиты от вредоносного программного средства, может проверять. существуют ли на всех применяемых компьютерных платформах соответствующие антивирусные программы. При применении для проверки тестов, подобных указанному, часто используют метод выборки, поскольку для всеохватывающей проверки обычно бывает недостаточно ресурсов. Практические приемы выборки различаются в зависимости от аудиторов, ситуаций и могут включать случайную выборку, стратифицированную выборку и другие более сложные статистические методы выборки (например, использование дополнительной выборки, если первоначальные результаты неудовлетворительны. чтобы подтвердить степень слабости мер и средств контроля и управления). Как правило, полное тестирование возможно в тех случаях, когда свидетельства могут быть собраны и протестированы электронным способом, например, используя запросы SQL в базе данных свидетельств проверки, подобранных из систем или баз данных менеджмента активов. Подход к выборочному аудиторскому обследованию должен, по крайней мере, частично определяться рисками, связанными с подвергающейся аудиту сферой деятельности.
Собранные в ходе проверки свидетельства должны отмечаться, упоминаться или вноситься в список рабочих документов проверки. Свидетельства проверки, наряду с анализом, выводами, рекомендациями по проверке и отчетами о результатах проверки, должны быть надлежащим образом защищены аудиторами, проводящими проверку мер и средств контроля и управления информационной безопасностью, особенно в связи с тем. что некоторые свидетельства являются крайне чувствительными и/или ценными. Защита данных, извлеченных, например, из используемых в организации баз данных с целью проверки, должна обеспечиваться в той же степени, что и защита самих баз данных, путем использования мер и средств контроля и управления доступом, шифрования и т. д. Автоматизированные инструментальные средства проверки, запросы, утилиты/программы извлечения данных
' SQL (Structured Query Language) - Язык структурированных запросов
ГОСТ Р 56045-2014/ISO/IEC TR 27008:2011
и т. д. должны строго контролироваться. Защита распечаток, сделанных или полученных аудиторами, проводящими проверку мер и средств контроля и управления информационной безопасностью, должна обеспечиваться путем содержания их «под замком» для предотвращения несанкционированного раскрытия или модификации. В случае особенно чувствительных проверок риски, а. следовательно, необходимые меры и средства контроля и управления информационной безопасностью должны быть идентифицированы и подготовлены на раннем этапе проверки.
Заполнив контрольный перечень для проверки, проведя серию тестов и собрав достаточно свидетельств проверки, аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, смогут изучить свидетельства, определить степень обработки рисков информационной безопасности и проверить потенциальное влияние любых остаточных рисков. На этом этапе обычно составляется проект отчета о результатах проверки в произвольной форме, его качество рассматривается в рамках функции проверки и обсуждается с руководством, особенно с руководством филиалов организации, отделов, функциональных подразделений или групп, непосредственно подпадающих под проверку, и. возможно, также других затрагиваемых подразделений организации.
Руководители аудита должны беспристрастно рассматривать свидетельства аудита с целью проверки что:
существует достаточное количество свидетельств проверки для обеспечения фактической основы, подтверждающей все выводы проверки;
все выводы и рекомендации являются важными в отношении области проверки, а все несущественные вопросы исключаются.
Если, исходя из выводов, планируется дальнейшая работа по проверке, это должно быть отмечено в отчете.
Процесс анализа, как и планирование проверки, по существу, основан на риске, хотя и располагает ббльшей информацией благодаря свидетельствам, собранным во время проверочной деятельности. В то время как прямые проверки соответствия обычно могут давать ряд относительно простых результатов «пройдено/не пройдено» с достаточно очевидными рекомендациями, проверки информационной безопасности часто формируют вопросы, требующие размышлений и обсуждений руководства до принятия решения о том. какие действия (если таковые необходимы) будут соответствующими. В некоторых случаях руководство может вынести решение о принятии некоторых рисков, идентифицированных в результате проверки информационной безопасности, в других - не принимать рекомендации проверки в точности так. как они изложены - это право руководства, но оно также несет ответственность за свои решения. В этом отношении аудиторская проверка мер и средств контроля и управления информационной безопасностью имеет рекомендательное, а не практическое значение, хотя и обладает существенным влиянием и опирается на надежные практические приемы проверки и фактические свидетельства.
Аудиторская проверка мер и средств контроля и управления информационной безопасностью должна предоставить организации, с учетом оценки, обоснованную уверенность в том. что деятельность по обеспечению информационной безопасности (не все будут реализовывать систему менеджмента) достигает установленных целей. В результате проверки должно предоставляться изложение отличий между реальностью и эталоном. Если эталоном является внутренняя политика, то она должна быть очень четкой. Для уверенности в этом во внимание могут приниматься критерии, приведенные в приложении В При аудиторской проверке мер и средств контроля и управления информационной безопасностью должны учитываться внутренние политики и процедуры в рамках области проверки. Недостающие важные критерии неформально все же могут быть применены в организации. Отсутствие критериев, идентифицированных как критические, может быть причиной потенциальных несоответствий.
6.2 Подбор персонала
Проверка мер и средств контроля и управления информационной безопасностью требует от персонала объективного анализа и профессиональных навыков в сфере отчетности. В случаях, когда речь идет о проверке технического соответствия, требуется наличие дополнительных специальных навыков, включая детальные технические знания реализации политик безопасности в программных и аппаратных средствах, каналах связи и взаимосвязанных технических процессах. Аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны обладать:
способностью различать риски информационных систем и архитектур безопасности, основанной на понимании концептуальных структур, поддерживающих информационные системы;
знанием хороших практических приемов обеспечения информационной безопасности, таких как методы и средства контроля и управления информационной безопасностью, представленные в ИСО/МЭК 27002 и других стандартах по безопасности;
способностью к изучению сложной технической информации для идентификации любых существенных рисков и возможностей модернизации;
5
прагматизмом в отношении практических ограничений проверок, как информационной безопасности, так и информационной технологии.
Настоятельно рекомендуется, чтобы лица, перед которыми ставится задача проведения проверки мер и средств контроля и управления информационной безопасностью, но которые не имеют аудиторского опыта, были официально ознакомлены с основами профессии аудитора: этические нормы (независимость, объективность, конфиденциальность, ответственность, осмотрительность), получение полномочий для доступа к записям, функциям, имуществу, персоналу, информации с последующими обязательствами относительно надлежащего обращения и защиты полученных данных, элементов выводов и рекомендаций, а также процессов контроля исполнения.
Для достижения цели проверки может быть создана группа проверки, состоящая из аудиторов, осуществляющих проверку мер и средств контроля и управления информационной безопасностью, и различных специалистов с соответствующей компетентностью. В случаях, когда специалистов с такими навыками или компетентностью в непосредственном распоряжении организации нет. должны быть рассмотрены риски и выгоды от привлечения специалистов к данной предметной области, выбираемых либо из собственных, либо из внешних ресурсов, для выполнения проверки в необходимом объеме.
Аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью. должны также подтвердить, что служба и персонал, отвечающие за обеспечение информационной безопасности, присутствуют, являются достаточно квалифицированными в области информационной безопасности и своих конкретных целевых задач и имеют в своем распоряжении необходимые ресурсы.
В рамках программы организации по противодействию мошенничеству аудиторам, проводящим проверку мер и средств контроля и управления информационной безопасностью, необходимо работать в тесном сотрудничестве с финансовыми аудиторами на каэдом из этапов: планирование аудита. проведение аудита и анализ результатов аудита.
7 Методы проверок
7.1 Обзор
Основу концепции проверки мер и средств контроля и управления обычно составляют процедуры проверки, отчетность по проверке и контроль исполнения. Структура и содержание процедур проверки учитывают цели и методы проверки.
Аудиторы, проводя проверку мер и средств контроля и управления информационной безопасностью. могут использовать три метода проверки: изучение; опрос;
тестирование.
В соответствующих разделах содержится набор атрибутов и значения атрибута для каждого метода проверки. Для атрибута «глубина» значение целевого атрибута основывается на строгости и уровне детальности проверки, определенных для значения общего атрибута. Значение детального атрибута основывается на строгости и уровне детальности проверки, определенных для значения целевого атрибута. Для атрибута «охват» значение специального атрибута основывается на числе и виде объектов проверки, определенных для значения репрезентативного атрибута. Значение всестороннего атрибута основывается на числе и виде объектов проверки, определенных для значения специального атрибута.
Методы «Изучение» и «Тестирование» могут поддерживаться при помощи применения широко признанных автоматизированных инструментальных средств. Аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны рассматривать влияние действия этих инструментальных средств на обычное функционирование объекта проверки. Если часть проверки основана на таком инструментальном средстве, то аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны продемонстрировать или предоставить свидетельства того, что это инструментальное средство обеспечивает надежные результаты.
7.2 Метод проверки: изучение
7.2.1 Общая информация
Изучение - процесс сверки, обследования, проверки, наблюдения, исследования или анализа одного или нескольких объектов проверки с целью облегчения понимания и достижения ясности или получения свидетельств, результаты которых используются для поддержки решения о существовании. функциональных возможностях, правильности и полноте мер и средств контроля и управления, а также возможности их совершенствования с течением времени.