”твержден и введен в действие

ѕриказом ‘едерального агентства

по техническому регулированию

и метрологии

от 18 декабр€ 2008 г. N 524-ст

 

Ќј÷»ќЌјЋ№Ќџ… —“јЌƒј–“ –ќ——»…— ќ… ‘≈ƒ≈–ј÷»»

 

»Ќ‘ќ–ћј÷»ќЌЌјя “≈’ЌќЋќ√»я

 

ћ≈“ќƒџ » —–≈ƒ—“¬ј ќЅ≈—ѕ≈„≈Ќ»я Ѕ≈«ќѕј—Ќќ—“»

 

“–≈Ѕќ¬јЌ»я   ќ–√јЌјћ, ќ—”ў≈—“¬Ћяёў»ћ ј”ƒ»“ » —≈–“»‘» ј÷»ё

—»—“≈ћ ћ≈Ќ≈ƒ∆ћ≈Ќ“ј »Ќ‘ќ–ћј÷»ќЌЌќ… Ѕ≈«ќѕј—Ќќ—“»

 

Information technology. Security techniques.

Requirements for bodies providing audit and certification

of information security management systems

 

ISO/IEC 27006:2007

Information technology - Security techniques -

Requirements for bodies providing audit and certification

of information security management systems (IDT)

 

√ќ—“ – »—ќ/ћЁ  27006-2008

 

ќ — 35.040

 

ƒата введени€

1 окт€бр€ 2009 года

 

ѕредисловие

 

÷ели и принципы стандартизации в –оссийской ‘едерации установлены ‘едеральным законом от 27 декабр€ 2002 г. N 184-‘« "ќ техническом регулировании", а правила применени€ национальных стандартов –оссийской ‘едерации - √ќ—“ – 1.0-2004 "—тандартизаци€ в –оссийской ‘едерации. ќсновные положени€".

 

—ведени€ о стандарте

 

1. ѕодготовлен ‘едеральным государственным учреждением "√осударственный научно-исследовательский испытательный институт проблем технической защиты информации ‘едеральной службы по техническому и экспортному контролю" (‘√” "√Ќ»»» ѕ“«» ‘—“Ё  –оссии") и ќбществом с ограниченной ответственностью "Ќаучно-производственна€ фирма " ристалл" (ќќќ "Ќѕ‘ " ристалл") на основе собственного аутентичного перевода на русский €зык стандарта, указанного в пункте 5.

2. ¬несен ”правлением технического регулировани€ и стандартизации ‘едерального агентства по техническому регулированию и метрологии.

3. ”твержден и введен в действие ѕриказом ‘едерального агентства по техническому регулированию и метрологии от 18 декабр€ 2008 г. N 524-ст.

4. ¬веден впервые.

5. Ќасто€щий стандарт идентичен международному стандарту »—ќ/ћЁ  27006:2007 "»нформационна€ технологи€. ћетоды и средства обеспечени€ безопасности. “ребовани€ к органам, осуществл€ющим аудит и сертификацию систем менеджмента информационной безопасности" (ISO/IEC 27006:2007 "Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems").

ѕри применении насто€щего стандарта рекомендуетс€ использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты –оссийской ‘едерации, сведени€ о которых приведены в дополнительном ѕриложении E.

 

»нформаци€ об изменени€х к насто€щему стандарту публикуетс€ в ежегодно издаваемом информационном указателе "Ќациональные стандарты", а текст изменений и поправок - в ежемес€чно издаваемых информационных указател€х "Ќациональные стандарты". ¬ случае пересмотра (замены) или отмены насто€щего стандарта соответствующее уведомление будет опубликовано в ежемес€чно издаваемом информационном указателе "Ќациональные стандарты". —оответствующа€ информаци€, уведомлени€ и тексты размещаютс€ также в информационной системе общего пользовани€ - на официальном сайте ‘едерального агентства по техническому регулированию и метрологии в сети »нтернет.

 

¬ведение

 

»—ќ/ћЁ  17021 - это международный стандарт, устанавливающий критерии дл€ органов, осуществл€ющих аудит и сертификацию систем менеджмента организаций. ≈сли эти органы должны быть аккредитованы как соответствующие »—ќ/ћЁ  17021 с целью проведени€ аудита и сертификации систем менеджмента информационной безопасности (—ћ»Ѕ) в соответствии с »—ќ/ћЁ  27001:2005, то необходимы дополнительные требовани€ и руководства к »—ќ/ћЁ  17021. ќни представлены в насто€щем международном стандарте.

“екст насто€щего международного стандарта повтор€ет структуру »—ќ/ћЁ  17021, а дополнительные требовани€, специфические дл€ —ћ»Ѕ, и руководство по применению »—ќ/ћЁ  17021 дл€ сертификации —ћ»Ѕ обозначаютс€ аббревиатурой "»Ѕ".

“ермин "должен" используетс€ в этом международном стандарте дл€ указани€ тех условий, которые, отража€ требовани€ »—ќ/ћЁ  17021 и »—ќ/ћЁ  27001, €вл€ютс€ об€зательными. “ермин "следует" используетс€ дл€ обозначени€ условий, которые, хот€ и €вл€ютс€ руководством по применению этих требований, но предполагаетс€, что они будут прин€ты органом сертификации.

÷ель насто€щего международного стандарта - дать возможность органам аккредитации более эффективно примен€ть стандарты, по которым они об€заны оценивать органы сертификации. ¬ этом контексте любое отклонение органа сертификации от руководства €вл€етс€ исключением. “акие отклонени€ будут разрешены только на основе рассмотрени€ каждого случа€ в отдельности после того, как орган сертификации докажет органу аккредитации, что это исключение удовлетвор€ет каким-либо эквивалентным образом соответствующему пункту требований »—ќ/ћЁ  17021, »—ќ/ћЁ  27001 и насто€щего международного стандарта.

ѕримечание. ¬ данном международном стандарте термины "система менеджмента" и "система" используютс€, замен€€ друг друга. ќпределение системы менеджмента можно найти в »—ќ/ћЁ  9000:2005. —истему менеджмента, использующуюс€ в этом международном стандарте, не следует путать с другими типами систем, такими как системы информационных технологий.

 

1. ќЅЋј—“№ ѕ–»ћ≈Ќ≈Ќ»я

 

Ќасто€щий стандарт на основе стандартов »—ќ/ћЁ  17021 и »—ќ/ћЁ  27001 устанавливает требовани€ к органам, осуществл€ющим аудит и сертификацию системы менеджмента информационной безопасности (—ћ»Ѕ), и способствует проведению аккредитации органов сертификации.

Ћюбой орган, осуществл€ющий сертификацию —ћ»Ѕ, должен продемонстрировать в плане компетентности и надежности свое соответствие требовани€м данного стандарта, а содержащиес€ в стандарте указани€ дополнительно разъ€сн€ют эти требовани€ к органу, осуществл€ющему сертификацию —ћ»Ѕ.

ѕримечание. Ќасто€щий стандарт может использоватьс€ в качестве документа, содержащего критерии дл€ аккредитации, экспертной оценки или других процессов аудита.

 

2. Ќќ–ћј“»¬Ќџ≈ ——џЋ »

 

¬ насто€щем стандарте использованы нормативные ссылки на следующие стандарты:

»—ќ/ћЁ  17021:2006 ќценка соответстви€. “ребовани€ к органам, обеспечивающим аудит и сертификацию систем менеджмента

»—ќ/ћЁ  27001:2005 »нформационна€ технологи€. ћетоды обеспечени€ безопасности. —истемы менеджмента информационной безопасности. “ребовани€

»—ќ/ћЁ  19011:2002 –уковод€щие указани€ по аудиту систем менеджмента качества и/или систем экологического менеджмента

 

3. “≈–ћ»Ќџ » ќѕ–≈ƒ≈Ћ≈Ќ»я

 

¬ насто€щем стандарте применены термины по »—ќ/ћЁ  17021, »—ќ/ћЁ  27001, а также следующие термины с соответствующими определени€ми:

3.1. —ертификат (certificate): документ, выданный органом сертификации в соответствии с услови€ми его аккредитации и содержащий соответствующий символ или за€вление об аккредитации.

3.2. ќрган сертификации (certification body): треть€ сторона, оценивающа€ и сертифицирующа€ —ћ»Ѕ организации-клиента на соответствие действующим стандартам —ћ»Ѕ и любой дополнительной документации, требуемой в рамках этой системы.

3.3. ƒокумент сертификации (certification document): документ, указывающий, что —ћ»Ѕ организации-клиента соответствует стандартам —ћ»Ѕ и дополнительной документации, требуемой в рамках этой системы.

3.4. ћаркировка (mark): юридически зарегистрированный товарный знак или защищенный иным образом символ, который выпускаетс€ по правилам органа аккредитации или органа сертификации, указывающий на то, что орган достаточно уверен в системах или что соответствующие продукты или субъекты отвечают требовани€м определенного стандарта.

3.5. ќрганизаци€ (organization): государственна€ или частна€ компани€, корпораци€, фирма, предпри€тие, управление или учреждение или их часть, или их комбинаци€, имеюща€ собственные функции и администрацию и способна€ обеспечить информационную безопасность.

 

4. ѕ–»Ќ÷»ѕџ

 

ѕримен€ютс€ принципы »—ќ/ћЁ  17021:2006, пункт 4.

 

5. ќЅў»≈ “–≈Ѕќ¬јЌ»я

 

5.1. ёридические и договорные вопросы

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 5.1.

5.2. ћенеджмент беспристрастности

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 5.2.  роме того, примен€ютс€ следующие, специфические дл€ —ћ»Ѕ, требовани€ и положени€.

5.2.1.»Ѕ 5.2  онфликты интересов

ќрган сертификации может выполн€ть следующие об€занности, без которых он считаетс€ консультативным органом, имеющим потенциальный конфликт интересов:

a) сертификацию, включа€ информационные совещани€, совещани€ по планированию, изучение документов, проведение аудита (не внутренних аудитов —ћ»Ѕ или внутренних проверок безопасности) и последующую де€тельность в отношении несоответствий;

b) организацию курсов обучени€ и участие в них в качестве преподавател€ при условии, что если эти курсы св€заны с менеджментом информационной безопасности, c взаимосв€занными системами менеджмента или с проведением аудита, то органам сертификации необходимо ограничиватьс€ предоставлением общей информации и рекомендаци€ми, €вл€ющимис€ свободно доступным общественным досто€нием, т.е. они не должны предоставл€ть консультации, ориентированные на конкретную компанию, что противоречит требовани€м пункта c);

c) обеспечение доступности или публикацию по запросу информации, описывающей интерпретацию органом сертификации требований стандартов по сертификационному аудиту;

d) проведение меропри€тий, предшествующих аудиту, имеющих целью исключительно определение готовности к сертификационному аудиту; однако подобные действи€ не должны приводить к предоставлению рекомендаций или консультаций, противоречащих этому пункту, и орган сертификации должен уметь подтвердить, что подобные действи€ не противоречат этим требовани€м и не используютс€ дл€ обосновани€ возможного сокращени€ продолжительности сертификационного аудита;

e) проведение аудитов второй и третьей стороной в соответствии со стандартами или нормативными требовани€ми, кроме тех, которые €вл€ютс€ частью области аккредитации;

f) повышение значимости сертификационных аудитов и инспекций с целью надзора, например, путем определени€ благопри€тных возможностей дл€ улучшений, которые станов€тс€ очевидными в процессе аудита, не рекоменду€ при этом конкретных решений.

ќрган сертификации должен быть независим от органа или органов (включа€ любых лиц), осуществл€ющих внутренний аудит подлежащей сертификации —ћ»Ѕ организации-клиента.

5.3. ќб€зательства и финансирование

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 5.3.

 

6. “–≈Ѕќ¬јЌ»я   —“–” “”–≈

 

6.1. —труктура организации и высшее руководство

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 6.1.

6.2.  омитет по обеспечению защиты беспристрастности

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 6.2.

 

7. “–≈Ѕќ¬јЌ»я   –≈—”–—јћ

 

7.1.  омпетентность руководства и персонала

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 7.1.  роме того, примен€ютс€ следующие, специфические дл€ —ћ»Ѕ, требовани€ и руководство.

7.1.1.»Ѕ 7.1 омпетентность руководства

¬ число основных элементов обеспечени€ компетентности, требующихс€ дл€ проведени€ сертификации —ћ»Ѕ, вход€т отбор, представление специалистов, чьи навыки и обща€ компетентность соответствуют видам де€тельности, предназначенным дл€ аудита, и св€занным с ними проблемам в области информационной безопасности, и руководство ими.

7.1.1.1. јнализ компетентности и проверка договора

ќрган сертификации должен гарантировать знание им технологических и правовых вопросов, относ€щихс€ к —ћ»Ѕ организации-клиента, которую он оценивает.

ќрган сертификации должен обладать эффективной системой дл€ анализа компетентности в сфере менеджмента информационной безопасности, применимой по отношению ко всем техническим област€м, в которых он действует.

¬ отношении каждого клиента орган сертификации должен быть способен продемонстрировать, что он провел анализ необходимой компетентности (оценка навыков, соответствующих вы€вленным потребност€м) исход€ из требований каждого соответствующего сектора торгово-промышленных отношений до осуществлени€ проверки договора. «атем орган сертификации должен осуществить проверку договора с организацией-клиентом, основыва€сь на результатах анализа компетентности. ¬ частности, орган сертификации должен быть способен продемонстрировать, что он обладает компетентностью дл€ выполнени€ следующих видов де€тельности:

a) изучение сфер де€тельности организации-клиента и св€занных с ними деловых рисков;

b) определение уровн€ компетентности, необходимой органу сертификации дл€ осуществлени€ сертификации в отношении определенной де€тельности, св€занной с информационной безопасностью, угроз активам, у€звимостей и воздействий на организацию-клиента;

c) подтверждение наличи€ требуемой компетентности.

7.1.1.2. –есурсы

–уководство органа сертификации должно располагать необходимыми процедурами и ресурсами дл€ определени€ компетентности отдельных аудиторов в отношении задач, которые они должны выполнить в области сертификации, в рамках которой они действуют.  омпетентность аудиторов может быть установлена на основе подтвержденного опыта и специального обучени€ или путем собеседовани€ (см. также ѕриложение B). ќрган сертификации должен быть способен эффективно поддерживать св€зь с клиентами, которым он предоставл€ет услуги.

7.2. ѕерсонал, участвующий в де€тельности по сертификации

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 7.2.  роме того, примен€ютс€ следующие, специфические дл€ —ћ»Ѕ, требовани€ и положени€.

7.2.1.»Ѕ 7.2  омпетентность персонала органа сертификации

ќрганы сертификации должны иметь персонал, обладающий компетентностью в следующих вопросах:

a) выбор аудиторов —ћ»Ѕ, соответствующих цел€м аудита, и проверка их компетентности;

b) инструктаж аудиторов —ћ»Ѕ и организаци€ необходимого обучени€;

c) прин€тие решени€ о разрешении, поддержке, отмене, приостановке, продлении или сокращении сроков действи€ сертификации;

d) организаци€ и ведение работ по рассмотрению апелл€ций и жалоб.

7.2.1.1. ќбучение аудиторских групп

” органа сертификации должны быть критерии обучени€ аудиторских групп, обеспечивающие:

a) знание стандарта —ћ»Ѕ и других соответствующих нормативных документов;

b) понимание вопросов информационной безопасности;

c) понимание оценки риска и менеджмента риска с точки зрени€ де€тельности;

d) технические знани€ о де€тельности, подлежащей аудиту;

e) общее знание нормативных требований, относ€щихс€ к —ћ»Ѕ;

f) знание систем менеджмента;

g) понимание принципов аудита, основанных на »—ќ 19011:2002;

h) знание анализа эффективности —ћ»Ѕ и измерени€ эффективности средств контрол€.

Ёти требовани€ к обучению примен€ютс€ ко всем членам аудиторской группы, за исключением требований пункта (d), которые можно распределить между членами аудиторской группы.

7.2.1.1.1. ѕри выборе аудиторской группы, котора€ будет назначена дл€ конкретного сертификационного аудита, орган сертификации должен обеспечить, чтобы члены группы обладали соответствующими необходимыми навыками дл€ каждого задани€. √руппа должна:

a) обладать соответствующими техническими знани€ми о конкретных действи€х в рамках области применени€ —ћ»Ѕ, дл€ которой проводитс€ сертификаци€, и, если необходимо, со взаимосв€занными процедурами и их потенциальными рисками информационной безопасности (эту функцию могут выполн€ть технические эксперты, не €вл€ющиес€ аудиторами);

b) обладать достаточным уровнем знани€ работы организации-клиента дл€ проведени€ надежного сертификационного аудита ее —ћ»Ѕ в части менеджмента аспектов, св€занных с информационной безопасностью ее де€тельности, продуктов и услуг;

c) обладать соответствующим знанием нормативных требований к —ћ»Ѕ организации-клиента.

7.2.1.1.2. ѕри необходимости аудиторска€ группа может дополн€тьс€ техническими экспертами, которые должны обладать специальными знани€ми в области технологии, подлежащей аудиту. Ќеобходимо отметить, что технических экспертов нельз€ использовать вместо аудиторов —ћ»Ѕ, но они могут консультировать аудиторов по вопросам технической адекватности в контексте системы менеджмента, подвергающейс€ аудиту. ќрганы сертификации должны осуществл€ть процедуры по следующим вопросам:

a) выбор аудиторов и технических экспертов на основе их компетентности, обучени€, квалификации и опыта;

b) первоначальна€ оценка поведени€ аудиторов и технических экспертов во врем€ проведени€ сертификационного аудита и последующий мониторинг де€тельности аудиторов и технических экспертов.

7.2.1.2. ”правление процессом прин€ти€ решений

–уководство должно быть технически грамотным и способным управл€ть процессом прин€ти€ решений относительно разрешени€, поддержки, продлени€, сокращени€, приостановки и отмены сертификации —ћ»Ѕ по требовани€м »—ќ/ћЁ  27001.

7.2.1.3. Ќеобходимые уровни образовани€, профессионального опыта, аудиторского обучени€ и аудиторского опыта аудиторов, провод€щих аудиты системы менеджмента информационной безопасности

7.2.1.3.1. ѕриведенные ниже критерии должны примен€тьс€ к каждому аудитору из аудиторской группы, осуществл€ющей аудит —ћ»Ѕ. јудитор должен:

a) иметь образование не ниже среднего;

b) иметь опыт практической работы в режиме полной зан€тости в области информационных технологий не менее четырех лет, из которых он не менее двух лет должен был заниматьс€ де€тельностью, св€занной с информационной безопасностью;

c) успешно завершить обучение продолжительностью не менее п€ти дней, программа которого включает вопросы аудита —ћ»Ѕ и менеджмента аудита;

d) приобрести опыт, касающийс€ всего процесса оценки информационной безопасности, до прин€ти€ на себ€ ответственности за де€тельность в качестве аудитора. Ётот опыт должен быть приобретен посредством участи€, как минимум, в четырех аудитах сертификации общей продолжительностью, по крайней мере, двадцать дней, включа€ проверку документации и анализ риска, оценку реализации и составление отчета о результатах аудита;

e) обладать достаточным современным опытом;

f) уметь рассматривать сложные операции в широкой перспективе и понимать роль отдельных подразделений в крупных организаци€х-клиентах;

g) поддерживать свои знани€ и навыки в сфере информационной безопасности и аудита на современном уровне путем посто€нного повышени€ профессионального уровн€.

“ехнические эксперты должны соответствовать критери€м пунктов a), b), e) и f).

7.2.1.3.2. ¬ дополнение к требовани€м из пункта 7.2.1.3.1 начальники аудиторских групп должны удовлетвор€ть следующим требовани€м, которые должны быть представлены в ходе аудитов, проведенных под их руководством и наблюдением:

a) обладать знани€ми и качествами, необходимыми дл€ управлени€ процессом сертификационного аудита;

b) иметь опыт участи€ в качестве аудитора, по крайней мере, в трех полных аудитах —ћ»Ѕ;

c) обладать способностью эффективно общатьс€ как в письменной, так и в устной форме.

7.3. ѕривлечение отдельных внешних аудиторов или внешних технических экспертов

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 7.3.  роме того, примен€ютс€ следующие, специфические дл€ —ћ»Ѕ, требовани€ и положени€.

7.3.1. »Ѕ 7.3 ѕривлечение внешних аудиторов или внешних технических экспертов в качестве членов аудиторской группы

ѕри привлечении внешних аудиторов или внешних технических экспертов в качестве членов аудиторской группы орган сертификации должен гарантировать, что они компетентны, соответствуют применимым к ним положени€м насто€щего стандарта и не участвуют ни напр€мую, ни через своего работодател€ в проектировании, внедрении или обслуживании —ћ»Ѕ или св€занной с ней системой (системами) менеджмента, поскольку это могло бы вли€ть на их беспристрастность.

7.3.1.1.ѕривлечение технических экспертов

„ленами аудиторской группы могут быть технические эксперты со специальными знани€ми, касающимис€ процесса и вопросов, св€занных с информационной безопасностью и безопасностью процесса, и законодательства, затрагивающего интересы организации-клиента, но не удовлетвор€ющие всем критери€м пункта 7.2. “ехнические эксперты должны работать под наблюдением аудитора.

7.4. «аписи данных о персонале

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 7.4.

7.5. јутсорсинг

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 7.5.

 

8. “–≈Ѕќ¬јЌ»я   »Ќ‘ќ–ћј÷»»

 

8.1. ќбщедоступна€ информаци€

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 8.1.  роме того, примен€ютс€ следующие, специфические дл€ —ћ»Ѕ, требовани€ и положени€.

8.1.1. »Ѕ 8.1 ѕроцедуры разрешени€, поддержани€, продлени€, сокращени€, приостановлени€ и отказа в сертификации

ќрган сертификации должен требовать от организации-клиента наличи€ документированной и внедренной —ћ»Ѕ, котора€ соответствует »—ќ/ћЁ  27001 и другим документам, необходимым дл€ сертификации.

” органа сертификации должны быть документально подтвержденные процедуры дл€ следующего:

a) первичного сертификационного аудита —ћ»Ѕ организации-клиента в соответствии с положени€ми »—ќ 19011, »—ќ/ћЁ  17021 и другими соответствующими документами;

b) надзорных и повторных сертификационных аудитов —ћ»Ѕ организации-клиента в соответствии с »—ќ 19011 и »—ќ/ћЁ  17021, проводимых периодически на предмет проверки непрерывного соответстви€ определенным требовани€м, а также дл€ подтверждени€ и регистрации, что организаци€-клиент своевременно предпринимает корректирующие действи€ по исправлению всех несоответствий.

8.2. ƒокументы по сертификации

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 8.2.  роме того, примен€ютс€ следующие, специфические дл€ —ћ»Ѕ, требовани€ и положени€.

8.2.1.»Ѕ 8.2 ƒокументы по сертификации —ћ»Ѕ

ќрган сертификации должен предоставить каждой из своих организаций-клиентов, чь€ —ћ»Ѕ сертифицирована, документы по сертификации, такие как письмо или сертификат, подписанный уполномоченным должностным лицом. ƒл€ организации-клиента и каждой из ее сертифицированных информационных систем эти документы должны определ€ть область действи€ сертификации и соответствовать стандарту »—ќ/ћЁ  27001 по —ћ»Ѕ, по которому эта —ћ»Ѕ сертифицирована.  роме того, в сертификате должна быть ссылка на определенную версию ѕоложени€ о применимости.

8.3. —писок сертифицированных клиентов

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 8.3.

8.4. —сылка на сертификацию и использование маркировки

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 8.4.  роме того, примен€ютс€ следующие, специфические дл€ —ћ»Ѕ, требовани€ и положени€.

8.4.1.»Ѕ 8.4  онтроль за маркировками сертификации

ќрган сертификации должен осуществл€ть надлежащий контроль за правом собственности, использованием и демонстрацией своих сертификационных знаков —ћ»Ѕ. ≈сли орган сертификации дает право использовать знак дл€ обозначени€ сертификации —ћ»Ѕ, то он должен быть уверен, что организаци€-клиент использует специальный знак в соответствии с письменным разрешением, полученным от органа сертификации. ќрган сертификации не должен позвол€ть организации-клиенту использовать этот знак на продукте таким способом, что он может интерпретироватьс€ в качестве обозначени€ соответстви€ продукта.

8.5.  онфиденциальность

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 8.5.  роме того, примен€ютс€ следующие, специфические дл€ —ћ»Ѕ, требовани€ и положени€.

8.5.1.»Ѕ 8.5 ƒоступ к документам организации

ѕеред проведением аудита орган сертификации должен сделать запрос организации-клиенту о наличии документов о —ћ»Ѕ, которые не могут быть предоставлены дл€ проверки аудиторской группе, так как они содержат конфиденциальную или секретную информацию. ќрган сертификации должен определить, может ли быть адекватным проведение аудита —ћ»Ѕ при отсутствии этих документов. ≈сли орган сертификации приходит к выводу, что невозможно провести аудит —ћ»Ѕ адекватно без проверки определенных конфиденциальных или секретных документов, он должен предупредить организацию-клиента, что сертификационный аудит не может быть проведен до тех пор, пока не будет обеспечен доступ к этим документам.

8.6. ќбмен информацией между органом сертификации и его клиентами

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 8.6.

 

9. “–≈Ѕќ¬јЌ»я   ѕ–ќ÷≈——”

 

9.1. ќбщие требовани€

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 9.1.  роме того, примен€ютс€ следующие, специфические дл€ —ћ»Ѕ, требовани€ и положени€.

9.1.1.»Ѕ 9.1.1 ќбщие требовани€ к аудиту —ћ»Ѕ

9.1.1.1.  ритерии сертификационного аудита

јудит —ћ»Ѕ организации-клиента должен осуществл€тьс€ на основе критериев, содержащихс€ в стандарте »—ќ/ћЁ  27001 по —ћ»Ѕ, а также в других документах, необходимых дл€ проведени€ сертификации конкретных выполн€емых функций. ≈сли требуетс€ разъ€снение в отношении применени€ этих документов к конкретной программе сертификации, то подобное разъ€снение должно даватьс€ соответствующей независимой комиссией или лицами, обладающими необходимой технической компетентностью, и публиковатьс€ органом по сертификации.

9.1.1.2. ѕолитика и процедуры

ƒокументаци€ органа сертификации должна включать политику и процедуры осуществлени€ процесса сертификации, включа€ проверки применени€ документов, использованных при сертификации систем —ћ»Ѕ, а также процедуры проведени€ аудита и сертификации —ћ»Ѕ организации-клиента.

9.1.1.3. јудиторска€ группа

јудиторска€ группа должна официально назначатьс€ и обеспечиватьс€ соответствующими рабочими документами. ѕлан и дата аудита должны быть согласованы с организацией-клиентом. ѕолномочи€, данные аудиторской группе, должны быть четко определены, доведены до организации-клиента и должны об€зывать аудиторскую группу провер€ть структуру, политику и процедуры организации-клиента, подтверждать их [структуры, политики и процедур] соответствие всем требовани€м, относ€щимс€ к области действи€ сертификации, а также что указанные процедуры выполн€ютс€ и можно быть уверенным в эффективности —ћ»Ѕ организации-клиента.

9.1.2. »Ѕ 9.1.2 ќбласть действи€ сертификации

јудиторска€ группа должна проверить —ћ»Ѕ организации-клиента, вход€щую в заданную область действи€, на соответствие всем примен€емым требовани€м сертификации. ќрган сертификации должен обеспечить четкое определение области действи€ и границы —ћ»Ѕ организации-клиента на основе характеристик бизнеса, организации, ее местоположени€, активов и технологии. ќрган сертификации должен подтвердить, что в области действи€ —ћ»Ѕ организации-клиенты выполн€ют требовани€, изложенные в »—ќ/ћЁ  27001:2005, пункт 1.2.

ќрганы сертификации должны обеспечить, чтобы проводима€ организаци€ми-клиентами оценка риска информационной безопасности и обработка риска надлежащим образом отражали их де€тельность и распростран€лись до границ их сферы де€тельности, как определено в стандарте »—ќ/ћЁ  27001 по —ћ»Ѕ. ќрганы сертификации должны подтвердить, что все это отражено в области действи€ их —ћ»Ѕ и в ѕоложении о применимости организаций-клиентов.

ќрганы сертификации должны обеспечить, чтобы взаимодействие с услугами или видами де€тельности, которые не полностью включены в сферу действи€ —ћ»Ѕ, было учтено в сертифицируемой —ћ»Ѕ и включено в оценку риска информационной безопасности организации-клиента. ѕримером подобной ситуации €вл€етс€ совместное использование различных средств с другими организаци€ми (например, системы »“, базы данных и системы телекоммуникации).

9.1.3. »Ѕ 9.1.3 ¬рем€ аудита

ќрганы сертификации должны предоставл€ть аудиторам достаточное врем€ дл€ осуществлени€ всех действий, св€занных с первоначальным аудитом, надзорным или аудитом повторной сертификации. ¬рем€ должно рассчитыватьс€ на основе таких факторов, как:

a) масштаб области действи€ —ћ»Ѕ (например, количество используемых информационных систем, количество сотрудников);

b) сложность —ћ»Ѕ (например, критичность информационных систем, ситуаци€ с рисками —ћ»Ѕ), см. также ѕриложение A;

c) вид(ы) де€тельности, осуществл€емой в рамках области действи€ —ћ»Ѕ;

d) уровень и разнообразие технологии, использованной при внедрении различных компонентов —ћ»Ѕ (таких как внедренные средства контрол€, управление документацией и/или процессами, корректирующие/превентивные действи€ и т.д.);

e) количество объектов организации-клиента;

f) ранее продемонстрированное функционирование —ћ»Ѕ;

g) объем аутсорсинга и соглашений с третьими сторонами, использованных в рамках —ћ»Ѕ;

h) стандарты и нормативные требовани€, примен€ющиес€ к сертификации.

¬ ѕриложении C представлено руководство по продолжительности аудита. ќрган сертификации должен быть готов обосновать продолжительность времени, затраченного на первоначальный аудит, надзорные аудиты или аудит повторной сертификации.

9.1.4. »Ѕ 9.1.4 ћножественные объекты (площадки)

9.1.4.1. –ешени€ по выборке объектов в области сертификации —ћ»Ѕ €вл€ютс€ более сложными, чем те же самые решени€ в системах менеджмента качества. “ам, где организаци€-клиент имеет количество объектов сертификации, удовлетвор€ющее критери€м от a) до c), приведенным ниже, органы сертификации могут использовать основанный на выборке подход к сертификационному аудиту многочисленных объектов:

a) все объекты работают в рамках одной и той же —ћ»Ѕ, котора€ управл€етс€ централизованно, провер€етс€ и подлежит проверке центральным руководством;

b) все объекты включаютс€ в программу внутреннего аудита —ћ»Ѕ организации-клиента;

c) все объекты включаютс€ в программу проверки —ћ»Ѕ руководством организации-клиента.

9.1.4.2. ќрган сертификации, желающий использовать подход, основанный на выборке, должен выполн€ть процедуры, обеспечивающие следующее:

a) первоначальна€ проверка договора вы€вл€ет в максимально возможной степени разницу между объектами с целью определени€ адекватного объема выборки;

b) орган сертификации осуществил выборку представительного числа объектов с учетом следующего:

1) результатов внутренних аудитов главного офиса и объектов;

2) результатов анализа, проведенного руководством;

3) различий в размерах объектов;

4) различий в бизнес-цел€х объектов;

5) сложности —ћ»Ѕ;

6) сложности информационных систем в различных объектах;

7) различий в рабочих навыках;

8) различий в предприн€тых мерах;

9) потенциального взаимодействи€ с критическими информационными системами или информационными системами обработки информации ограниченного доступа;

10) любых отличающихс€ юридических требований;

c) представительный образец выбираетс€ на всех объектах в сфере действи€ —ћ»Ѕ организации-клиента; этот выбор должен основыватьс€ на субъективном выборе дл€ отражени€ факторов, представленных в пункте b), а также элемента случайности;

d) каждый включенный в —ћ»Ѕ объект, который подвергаетс€ значительным рискам, провер€етс€ органом сертификации до проведени€ сертификации;

e) программа надзора, разработанна€ на основе вышеизложенных требований, охватывает за соответствующий период времени все объекты организации-клиента или объекты, вход€щие в область действи€ сертификации —ћ»Ѕ;

f) при вы€влении несоответстви€ в главном офисе или в одном из объектов примен€ютс€ корректирующие действи€ по отношению к главному офису и всем сертифицируемым объектам.

јудит, описанный в »Ѕ 9.1.5, должен учитывать действи€ главного офиса организации-клиента, чтобы гарантировать, что едина€ —ћ»Ѕ охватывает все объекты (площадки) и обеспечивает центральное управление на оперативном уровне. јудит должен учитывать все вышеописанные требовани€.

9.1.5. »Ѕ 9.1.5 ћетодологи€ аудита

ќрган сертификации должен иметь процедуры, позвол€ющие требовать от организации-клиента способности продемонстрировать, что внутренние аудиты —ћ»Ѕ спланированы, а программа и процедуры их проведени€ €вл€ютс€ действующими.

ѕроцедуры органа сертификации не должны предполагать особого способа реализации —ћ»Ѕ или особого формата дл€ документации и записей. ѕроцедуры сертификации должны концентрироватьс€ на установлении того, что —ћ»Ѕ организации-клиента удовлетвор€ет требовани€м стандарта »—ќ/ћЁ  27001, а также политике и цел€м организации-клиента.

ѕлан аудита должен определ€ть методы аудита с применением сетевых технологий, которые будут использоватьс€ при необходимости во врем€ аудита.

ѕримечание. ћетоды аудита с применением сетевых технологий могут включать, например, телеконференции, интернет-совещани€, интерактивную св€зь на базе интернет-технологий и удаленный электронный доступ к документации —ћ»Ѕ и/или процессам —ћ»Ѕ. ÷елью применени€ этих методов должно быть повышение эффективности и продуктивности аудита, а также поддержание целостности процесса аудита.

 

9.1.6. »Ѕ 9.1.6 ќтчет по сертификационному аудиту

9.1.6.1. ќрган сертификации может использовать различные процедуры, св€занные с составлением отчетов, которые соответствуют его потребност€м, но эти процедуры, как минимум, должны обеспечить следующее:

a) до того, как аудиторска€ группа покинет территорию организации-клиента, проводитс€ встреча аудиторской группы и руководства организации-клиента, в ходе которой аудиторска€ группа:

1) в письменной или устной форме сообщает о соответствии —ћ»Ѕ организации-клиента определенным требовани€м сертификации;

2) предоставл€ет возможность представител€м организации-клиента задавать вопросы по поводу сделанных выводов и оснований дл€ них;

b) представл€ет в орган сертификации отчет о результатах аудита в отношении соответстви€ —ћ»Ѕ организации-клиента всем требовани€м сертификации.

9.1.6.2. ¬ отчете о результатах аудита должна быть представлена следующа€ информаци€:

a) причина аудита, включа€ краткое изложение анализа документов;

b) причина сертификационного аудита по анализу степени риска информационной безопасности организации-клиента;

c) общее врем€, затраченное на аудит, и подробное описание времени, затраченного на анализ документов, оценку анализа рисков, аудит на местах и составление отчетов о результатах аудита;

d) вопросы аудита, основна€ причина их выбора и примененна€ методологи€.

9.1.6.3. ќтчет о результатах аудита, представленный органу сертификации, должен быть достаточно подробным дл€ упрощени€ прин€ти€ решени€ о сертификации и его поддержки и должен содержать:

a) области, включенные в аудит (например, требовани€ сертификации и проверенные объекты), включа€ значимые контрольные записи и использованные методологии аудита (см. »Ѕ 9.1.5);

b) наблюдени€ как положительного (например, заслуживающие внимани€ особенности), так и отрицательного (например, потенциальные несоответстви€) характера;

c) подробности вы€вленных несоответствий, подтвержденные объективными данными, и ссылку этих несоответствий на соответствующие требовани€ стандарта »—ќ/ћЁ  27001 по —ћ»Ѕ или другие документы, требуемые дл€ сертификации;

d) замечани€ о соответствии —ћ»Ѕ организации-клиента требовани€м сертификации с четким за€влением о несоответствии, ссылку на версию ѕоложени€ о применимости и, в случа€х, где это уместно, любое полезное сравнение с результатами предыдущих сертификационных аудитов организации-клиента.

—оставной частью отчета о результатах аудита могут быть заполненные опросные листы, перечни контрольных вопросов, результаты наблюдени€, журналы регистрации или замечани€ аудитора. ¬ случае использовани€ соответствующих методов эти документы должны подаватьс€ в орган сертификации в качестве свидетельства дл€ поддержки решени€ о сертификации. »нформацию о выборках, оцененных во врем€ аудита, следует включить в отчет о результатах аудита или в другую документацию по сертификации.

¬ отчете должна рассматриватьс€ правильность внутренней структуры и процедур, прин€тых организацией-клиентом дл€ обеспечени€ довери€ к —ћ»Ѕ.

¬ дополнение к требовани€м, предъ€вл€емым к составлению отчетов »—ќ/ћЁ  17021:2006, пункт 9.1.10, отчет должен содержать:

- степень довери€ к внутренним аудитам —ћ»Ѕ и проверкам со стороны руководства;

- краткое изложение самых важных наблюдений как положительного, так и отрицательного характера, касающихс€ внедрени€ и результативности —ћ»Ѕ;

- рекомендацию аудиторской группы в отношении того, следует ли сертифицировать —ћ»Ѕ организации-клиента, с информацией дл€ обосновани€ этой рекомендации.

9.2. ѕервоначальный аудит и сертификаци€

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 9.2.  роме того, примен€ютс€ следующие, специфические дл€ —ћ»Ѕ, требовани€ и положени€.

9.2.1.»Ѕ 9.2.1 омпетентность аудиторской группы

ѕриведенные ниже требовани€ примен€ютс€ к сертификационной оценке в дополнение к требовани€м, перечисленным в пункте 7.2. ƒл€ действий по надзору примен€ютс€ только те требовани€, которые имеют отношение к запланированной де€тельности по надзору.

 о всей аудиторской группе примен€ютс€ следующие требовани€:

a) в каждой из рассмотренных областей по крайней мере один член аудиторской группы должен удовлетвор€ть критери€м органа сертификации, чтобы вз€ть на себ€ ответственность в группе за:

1) руководство группой;

2) системы и процессы менеджмента, применимые в —ћ»Ѕ;

3) знание законодательных и нормативных требований в отдельной области информационной безопасности;

4) идентификацию угроз информационной безопасности и тенденций инцидентов;

5) идентификацию у€звимостей организации-клиента и понимание веро€тности их использовани€, вли€ни€, уменьшени€ и контрол€;

6) знание средств контрол€ —ћ»Ѕ и их реализации;

7) знание анализа результативности —ћ»Ѕ и средств контрол€;

8) взаимосв€занные и/или соответствующие стандарты —ћ»Ѕ, лучший практический опыт в промышленности, политики и процедур безопасности;

9) знание методов обработки инцидентов и обеспечени€ непрерывности бизнеса;

10) знание материальных и нематериальных информационных активов и анализ вли€ни€;

11) знание современной технологии, где безопасность может быть уместной или может представл€ть проблему;

12) знание процессов и методов менеджмента рисков;

b) аудиторска€ группа должна быть компетентной дл€ отслеживани€ указаний на инциденты безопасности в —ћ»Ѕ организации-клиента к соответствующим элементам —ћ»Ѕ;

c) аудиторска€ группа должна обладать соответствующим опытом работы и примен€ть вышеуказанные пункты на практике (это не значит, что аудитор должен быть опытным во всех област€х информационной безопасности, но в целом аудиторска€ группа должна иметь достаточные знани€ и опыт, чтобы охватить всю область действи€ провер€емой —ћ»Ѕ).

јудиторска€ группа может состо€ть из одного человека при условии, что он удовлетвор€ет всем вышеизложенным критери€м пункта a).

9.2.1.1.»Ѕ 9.2.1.1 ƒемонстраци€ компетентности аудиторов

јудиторы должны быть способны доказать свои знани€ и опыт, как указано выше, например посредством:

a) общепризнанных квалификаций по —ћ»Ѕ;

b) регистрации в качестве аудитора;

c) пройденных курсов подготовки по —ћ»Ѕ;

d) последних документов, подтверждающих факт непрерывного повышени€ квалификации;

e) практической демонстрации проведени€ аудита реальных систем клиента в присутствии других аудиторов.

9.2.2. »Ѕ 9.2.2 ќбща€ подготовка к первоначальному аудиту

ќрган сертификации должен потребовать от организации-клиента сделать все необходимые приготовлени€ к проведению сертификационного аудита, включа€ приготовлени€ дл€ изучени€ документации и доступ ко всем област€м, документам (включа€ отчеты о внутреннем аудите и отчеты о независимых проверках информационной безопасности) и персоналу с целью сертификационного аудита, аудита повторной сертификации и удовлетворени€ жалоб.

ƒо проведени€ сертификационного аудита на месте организаци€-клиент должна предоставить следующую информацию:

a) общую информацию, касающуюс€ —ћ»Ѕ и осуществл€емых ею действий;

b) копию документации —ћ»Ѕ, требуемую по »—ќ/ћЁ  27001:2005, пункт 4.3.1.

9.2.3. »Ѕ 9.2.3 ѕервоначальный сертификационный аудит

9.2.3.1. »Ѕ 9.2.3.1ѕервый этап аудита

Ќа этом этапе аудита орган сертификации должен получить документацию по проектированию —ћ»Ѕ, включа€ документацию, требуемую по »—ќ/ћЁ  27001:2005, пункт 4.3.1.

÷ель первого этапа аудита - обеспечить концентрацию на планировании аудита второго этапа путем ознакомлени€ со —ћ»Ѕ организации-клиента в контексте ее политики и целей и, в особенности, состо€ни€ готовности организации-клиента к аудиту.

ѕервый этап аудита включает проверку документации (но не должен ограничиватьс€ ею). ќрган сертификации должен договоритьс€ с организацией-клиентом о месте и времени проведени€ проверки документов. ¬ любом случае проверка документов должна быть завершена до начала второго этапа аудита.

–езультаты первого этапа аудита должны быть задокументированы в письменном отчете. ќрган сертификации должен проанализировать отчет первого этапа аудита до вынесени€ решени€ о проведении второго этапа аудита и дл€ выбора членов аудиторской группы с необходимым уровнем компетентности дл€ проведени€ второго этапа.

ќрган сертификации должен поставить в известность организацию-клиента о дополнительной информации и документах, которые могут потребоватьс€ дл€ тщательного изучени€ во врем€ второго этапа аудита.

9.2.3.2. »Ѕ 9.2.3.2 ¬торой этап аудита

9.2.3.2.1. ¬торой этап аудита всегда проводитс€ на объектах организации-клиента. Ќа основе полученных данных, отраженных в отчете о результатах первого этапа аудита, орган сертификации намечает план проведени€ второго этапа аудита. ÷ел€ми второго этапа аудита €вл€ютс€:

a) подтверждение, что организаци€-клиент придерживаетс€ собственных политики, целей и процедур;

b) подтверждение соответстви€ —ћ»Ѕ всем требовани€м стандарта »—ќ/ћЁ  27001:2005 и цел€м политики организации-клиента.

9.2.3.2.2. ƒл€ осуществлени€ этого аудит должен быть сосредоточен на следующем:

a) оценке рисков информационной безопасности и на том, дают ли эти оценки сопоставимые и воспроизводимые результаты;

b) требовани€х к документации, перечисленных в »—ќ/ћЁ  27001:2005, пункт 4.3.1;

c) выборе целей контрол€ и средств контрол€, основанных на оценке риска и процессах обработки риска;

d) анализе результативности —ћ»Ѕ и измерени€х результативности средств контрол€ информационной безопасности, составлении отчетов и проведении анализа в отношении целей —ћ»Ѕ;

e) внутренних аудитах —ћ»Ѕ и анализе со стороны руководства;

f) ответственности руководства за политику информационной безопасности;

g) соответствии между выбранными и внедренными средствами контрол€, за€влении о применимости и результатах оценки степени риска, процессе обработки риска, а также политике и цел€х —ћ»Ѕ;

h) введении в действие средств контрол€ (см. ѕриложение D), принима€ во внимание измерени€ результативности средств контрол€ организации-клиента [см. d)], чтобы определить, реализуютс€ ли средства контрол€ и эффективны ли они дл€ достижени€ намеченных целей;

i) программах, процессах, процедурах, запис€х, внутренних аудитах и анализах эффективности —ћ»Ѕ с целью обеспечени€ их прослеживаемости до решений менеджмента, политики и целей —ћ»Ѕ.

9.2.3.3. »Ѕ 9.2.3.3 ќсобые элементы аудита —ћ»Ѕ

‘ункцией органа сертификации €вл€етс€ установление последовательности дл€ организации-клиента в создании и поддержании процедур по идентификации, изучению и оценке угроз активам, св€занным с информационной безопасностью, у€звимостью и воздействием на организацию-клиента. ќрганы сертификации должны:

a) требовать от организации-клиента свидетельства, что анализ угроз, св€занных с информационной безопасностью, €вл€етс€ значимым и соответствующим работе организации-клиента;

ѕримечание. ќрганизаци€-клиент отвечает за определение критериев, по которым риски организации-клиента, св€занные с информационной безопасностью, идентифицируютс€ как значительные, и за разработку процедуры (процедур), необходимой дл€ осуществлени€ этого определени€.

 

b) установить, согласуютс€ ли процедуры организации-клиента по идентификации, изучению и оценке угроз, св€занных с информационной безопасностью активов, у€звимости и воздействий, и результаты их применени€ с политикой, цел€ми и планами организации-клиента.

ќрган сертификации должен также установить, €вл€ютс€ ли процедуры, используемые в анализе значимости, надежными и надлежащим образом реализованными. ≈сли угроза активам, св€занна€ с информационной безопасностью, у€звимость или воздействие на организацию-клиента идентифицированы как значимые, их менеджмент должен осуществл€тьс€ в рамках —ћ»Ѕ.

9.2.3.3.1. ѕравовое и нормативное соответствие

ѕоддержание и оценка выполнени€ правовых и нормативных норм €вл€ютс€ об€занностью организации-клиента. ќрган сертификации должен ограничиватьс€ проверками и выборками дл€ создани€ довери€ к тому, что —ћ»Ѕ функционирует в данном направлении. ќрган сертификации должен подтверждать наличие у организации-клиента системы менеджмента дл€ установлени€ правового и нормативного соответстви€, приемлемого дл€ рисков информационной безопасности и воздействий на нее.

9.2.3.3.2. »нтеграци€ документации системы менеджмента информационной безопасности с документацией других систем менеджмента

ќрганизаци€-клиент может комбинировать документацию —ћ»Ѕ с документацией других систем менеджмента (таких как система менеджмента качества, охраны труда, экологического менеджмента), если —ћ»Ѕ может быть четко идентифицирована вместе с соответствующими средствами других систем.

9.2.3.3.3. ќбъединение аудитов системы менеджмента

ќрган сертификации может предложить сертификацию другой системы менеджмента, св€занной с сертификацией —ћ»Ѕ, или сертификацию только —ћ»Ѕ.

јудит —ћ»Ѕ может объедин€тьс€ с аудитами других систем менеджмента. Ёто объединение возможно, если аудиты удовлетвор€ют всем требовани€м по сертификации —ћ»Ѕ. ¬се элементы, значимые дл€ —ћ»Ѕ, должны быть четко выраженными и быть легко идентифицируемыми в отчетах о результатах аудитов. ќбъединение аудитов не должно отрицательно вли€ть на качество аудита —ћ»Ѕ.

ѕримечание. »—ќ 19011 предоставл€ет руководство по проведению совместных аудитов систем менеджмента.

 

9.2.4. »Ѕ 9.2.4 »нформаци€ дл€ разрешени€ первоначальной сертификации

ƒл€ прин€ти€ решени€ о сертификации орган сертификации должен затребовать подробные отчеты, предоставл€ющие достаточную информацию дл€ прин€ти€ этого решени€. Ќа разных этапах процесса сертификационного аудита органу сертификации требуютс€ отчеты аудиторских групп. ¬ сочетании с информацией, хран€щейс€ в файле, эти отчеты должны содержать, по крайней мере, информацию, требуемую в »Ѕ 9.1.6.

9.2.5. »Ѕ 9.2.5 –ешение о сертификации

—убъект, который может быть физическим лицом, принимающий решение о разрешении/отмене сертификации в рамках органа сертификации, должен обладать достаточным уровнем знаний и опыта во всех област€х дл€ оценки процедур аудита и рекомендаций аудиторской группы.

–ешение о сертификации —ћ»Ѕ организации-клиента должно приниматьс€ органом сертификации на основе информации, собранной в процессе сертификации, и любой другой информации, относ€щейс€ к делу. Ћица, принимающие решение о сертификации, не должны участвовать в аудите. Ёто решение должно основыватьс€ на полученных данных и рекомендаци€х по сертификации аудиторской группы, представленных в ее отчете о результатах сертификационного аудита (см. »Ѕ 9.1.6), и на любой другой релевантной информации, доступной органу сертификации.

—убъекту, принимающему решение о разрешении сертификации, обычно не следует опровергать отрицательную рекомендацию аудиторской группы. ¬ подобной ситуации орган сертификации должен официально оформить и дать основание дл€ решени€ об опровержении рекомендации.

ѕо вопросу вынесени€ решени€ о сертификации в »—ќ/ћЁ  17021:2006 не упоминаетс€ о конкретном периоде времени, в течение которого должны происходить по меньшей мере один полный внутренний аудит —ћ»Ѕ и одна проверка менеджмента организации-клиента. Ётот период может устанавливатьс€ органом сертификации. Ќезависимо от того, прин€л ли орган сертификации решение об определении минимальной периодичности аудитов, им должны быть предприн€ты меры дл€ обеспечени€ результативности анализа со стороны руководства организации-клиента и процессов внутреннего аудита —ћ»Ѕ организации-клиента.

—ертификаци€ не должна быть разрешена организации-клиенту до тех пор, пока не будет убедительного свидетельства, что меропри€ти€ по анализу менеджмента и внутренним аудитам —ћ»Ѕ были реализованы, €вл€ютс€ эффективными и будут поддерживатьс€.

9.3. ƒе€тельность по надзору

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 9.3.  роме того, примен€ютс€ следующие, специфические дл€ —ћ»Ѕ, требовани€ и положени€.

9.3.1.»Ѕ 9.3 јудиты надзора

9.3.1.1. ѕроцедуры аудита надзора должны согласовыватьс€ с процедурами, относ€щимис€ к сертификационному аудиту —ћ»Ѕ организации-клиента, как определено в насто€щем стандарте.

÷елью надзора €вл€етс€ подтверждение продолжени€ реализации утвержденной —ћ»Ѕ, рассмотрение предпосылок дл€ изменений в этой системе, инициированных в результате изменений в работе организации-клиента, и подтверждение посто€нного соответстви€ требовани€м сертификации. ѕрограммы надзора обычно должны включать:

a) элементы поддержки функционировани€ системы, которыми €вл€ютс€ внутренний аудит —ћ»Ѕ, анализ со стороны руководства, а также предупредительные и корректирующие действи€;

b) информацию, поступающую от внешних сторон, как это требуетс€ стандартом »—ќ/ћЁ  27001 и другими документами, необходимыми дл€ сертификации;

c) изменени€ в документально оформленной системе;

d) области, подлежащие изменению;

e) элементы, выбранные из »—ќ/ћЁ  27001;

f) при необходимости другие выбранные области.

9.3.1.2. ѕри надзоре со стороны органа сертификации подлежат анализу, как минимум, следующие факторы:

a) результативность —ћ»Ѕ в отношении достижени€ целей политики информационной безопасности организации-клиента;

b) функционирование процедур периодической оценки и проверки соответстви€ правовым и нормативным требовани€м, св€занным с информационной безопасностью;

c) меры, прин€тые в отношении несоответствий, вы€вленных во врем€ последнего аудита.

9.3.1.3. Ќадзор, осуществл€емый органом сертификации, должен по меньшей мере выполн€тьс€ в соответствии с пунктами, предусмотренными »—ќ/ћЁ  17021. ѕри этом учитываетс€ следующее:

a) орган сертификации должен быть способен адаптировать свою программу надзора к проблемам информационной безопасности, св€занным с угрозами активам, у€звимост€ми и воздействи€ми на организацию-клиента, и обосновать эту программу;

b) программа надзора органа сертификации должна определ€тьс€ органом сертификации.  онкретные даты инспекций могут согласовыватьс€ с сертифицируемой организацией-клиентом;

c) аудиты надзора могут объедин€тьс€ с аудитами других систем менеджмента. ¬ отчетах должны четко указыватьс€ аспекты, значимые дл€ каждой системы менеджмента;

d) орган сертификации требуетс€ дл€ осуществлени€ надзора за надлежащим использованием сертификата.

¬о врем€ аудитов надзора органы сертификации должны провер€ть записи обращений и жалоб, представленных заранее на рассмотрение органу сертификации, и в случа€х обнаружени€ какого-либо несоответстви€ или невыполнени€ требований сертификации, записи об исследовании организацией-клиентом собственной —ћ»Ѕ и процедур, а также прин€тии соответствующих корректирующих мер.

ќтчет по надзору должен содержать в себе, в частности, информацию об устранении обнаруженных ранее несоответствий. ќтчеты, полученные в результате надзора, должны собиратьс€, чтобы в совокупности удовлетвор€ть требованию пункта a).

9.4. ѕовторна€ сертификаци€

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 9.4.  роме того, примен€ютс€ следующие, специфические дл€ —ћ»Ѕ, требовани€ и положени€.

9.4.1.»Ѕ 9.4 јудиты повторной сертификации

 ак изложено в насто€щем стандарте, процедуры аудитов повторной сертификации должны согласовыватьс€ с процедурами, относ€щимис€ к сертификационному аудиту —ћ»Ѕ организации-клиента.

ќрганы сертификации должны иметь строго определенные процедуры, утверждающие обсто€тельства и услови€, при которых поддерживаетс€ сертификаци€. ≈сли во врем€ надзора или повторных сертификационных аудитов вы€вл€ютс€ несоответстви€, то они должны эффективным образом корректироватьс€ в оговоренное органом сертификации врем€. ≈сли коррекци€ не была проведена в согласованный срок, область действи€ сертификации должна быть сокращена, действие сертификата должно быть приостановлено или он должен быть отменен. ѕериод времени, необходимый дл€ устранени€ несоответстви€, должен соответствовать его серьезности и риску довери€ к продуктам и услугам организации-клиента.

9.5. —пециальные аудиты

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 9.5.  роме того, примен€ютс€ следующие, специфические дл€ —ћ»Ѕ, требовани€ и положени€.

9.5.1.»Ѕ 9.5 ќсобые случаи

ƒействи€ по надзору должны проводитьс€ по специальному положению в случае осуществлени€ организацией-клиентом с сертифицированной —ћ»Ѕ существенной модификации своей системы или внесени€ изменений, которые могут затрагивать основу ее сертификации.

9.6. ѕриостановка, отмена или сокращение сферы действи€ сертификации

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 9.6.

9.7. јпелл€ции

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 9.7.

9.8. ∆алобы

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 9.8.  роме того, примен€ютс€ следующие, специфические дл€ —ћ»Ѕ, требовани€ и положени€.

9.8.1.»Ѕ 9.8 ∆алобы

∆алобы €вл€ютс€ источником информации о возможном несоответствии. ќрган сертификации должен потребовать от сертифицированной организации-клиента, чтобы при получении жалобы сертифицированна€ организаци€-клиент установила и, при необходимости, сообщила причину жалобы, включа€ любые предопредел€ющие (или предрасполагающие) факторы в рамках —ћ»Ѕ организации-клиента.

ќргану сертификации следует самому убедитьс€ в том, что организаци€-клиент использует подобные исследовани€ дл€ разработки корректирующих действий, в которые следует включать меры по:

a) уведомлению соответствующих органов, если это требуетс€ по положению;

b) восстановлению соответстви€;

c) предотвращению повторени€;

d) оценке и см€гчению любых неблагопри€тных инцидентов информационной безопасности и св€занных с ними воздействий;

e) обеспечению удовлетворительного взаимодействи€ с другими компонентами —ћ»Ѕ;

f) оценке результативности прин€тых исправительных/корректирующих мер.

ќрган сертификации должен требовать от каждой организации-клиента, чь€ —ћ»Ѕ сертифицируетс€, делать доступными по его запросу записи обо всех жалобах и корректирующих мерах по их устранению, предприн€тых в соответствии с требовани€ми »—ќ/ћЁ  27001:2005.

9.9. ƒокументы за€вителей и клиентов

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 9.9.

 

10. “–≈Ѕќ¬јЌ»я —»—“≈ћџ ћ≈Ќ≈ƒ∆ћ≈Ќ“ј   ќ–√јЌјћ —≈–“»‘» ј÷»»

 

10.1. ¬арианты

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 10.1.

10.2. ¬ариант 1 - требовани€ системы менеджмента в соответствии с »—ќ 9001

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 10.2.

10.3. ¬ариант 2 - общие требовани€ системы менеджмента

ѕримен€ютс€ требовани€ »—ќ/ћЁ  17021:2006, пункт 10.3.  роме того, примен€ютс€ следующие, специфические дл€ —ћ»Ѕ, требовани€ и положени€.

10.3.1.»Ѕ ¬недрение системы менеджмента информационной безопасности

–екомендуетс€, чтобы органы сертификации внедр€ли —ћ»Ѕ в соответствии с »—ќ/ћЁ  27001:2005.

 

 

 

 

 

ѕриложение A

(справочное)

 

јЌјЋ»« —Ћќ∆Ќќ—“» ќ–√јЌ»«ј÷»»- Ћ»≈Ќ“ј » ј—ѕ≈ “ќ¬,

—ѕ≈÷»‘»„≈— »’ ƒЋя —≈ “ќ–ќ¬ “ќ–√ќ¬ќ-ѕ–ќћџЎЋ≈ЌЌќ…

ƒ≈я“≈Ћ№Ќќ—“»

 

A.1. ѕотенциал риска организации-клиента

ѕри определении времени аудита и компетентности аудитора должна учитыватьс€ сложность —ћ»Ѕ. ƒанное ѕриложение €вл€етс€ примером анализа организации-клиента.

 атегори€ сложности, установленна€ дл€ —ћ»Ѕ, может использоватьс€ дл€ определени€ следующего:

a) требовани€ к компетентности аудиторов дл€ аудита —ћ»Ѕ (пример которых дан в ѕриложении B);

b) требовани€ ко времени аудита —ћ»Ѕ (пример которых дан в ѕриложении C).

“аблица A.1. €вл€етс€ общим перечнем возможных факторов, рассматриваемых при определении сложности —ћ»Ѕ. ћожет возникнуть необходимость адаптации данной таблицы к конкретным обсто€тельствам или включени€ специальных факторов.

 

“аблица A.1

 

 ритерии сложности области действи€ системы

менеджмента информационной безопасности

 

┌────────────────┬─────────────────────────────┬──────────────────────────┐

†††† ‘актор†††† †††††††††  атегор舆†††††††† †††††††† «начимость††††††

†† сложност膆† ├──────────┬─────────┬────────┤†††††††††††††††††††††††††

†† †††††††††††††│ высока€│ средн€€ │ низка€ │†††††††††††††††††††††††††

├────────────────┼──────────┼─────────┼────────┼──────────────────────────┤

†††  оличество│ >= 1000│ >= 200│ < 200│Ўкалареализации —ћ»Ѕ†††

│сотрудникоↆ + │††††††††† †† ††††††††††††† │јдминистративна€ информа- │

│штат подр€дчиков│††††††††† †††††††† ††††††† │ционна€ система††††††††††

††††††††††††††† ††††††††† †††††††† ††††††† │—истемы,††† св€занны円† с│

††††††††††††††† ††††††††† †††††††† ††††††† │управлением производством │

††††††††††††††† ††††††††† †††††††† ††††††† │—истемы,††† св€занны円† с│

††††††††††††††† ††††††††† †††††††† ††††††† │продажей/распространением/│

††††††††††††††† ††††††††† †††††††† ††††††† │общим обслуживание솆††††

††††††††††††††† ††††††††† †††††††† ††††††† │»нформационные технологии/│

††††††††††††††† ††††††††† †††††††† ††††††† │»нформационны円 услугии│

††††††††††††††† ††††††††† †††††††† ††††††† │св€занные с ними системы

††††††††††††††† ††††††††† †††††††† ††††††† │—истемы, св€занные с††

††††††††††††††† ††††††††† †††††††† ††††††† │строительством/судостро-

††††††††††††††† ††††††††† †††††††† ††††††† │ением/машиностроение솆††

├────────────────┼──────────┼─────────┼────────┼──────────────────────────┤

†††  оличество│>= 1000000│>= 200000│< 200000│‘инансовые системы†††††††

│пользователе醆 ††††††††† †††††††† ††††††† │ѕравительственные, учеб-

††††††††††††††† ††††††††† †††††††† ††††††† │ные, медицинские/††††††††

††††††† ††††††††††††††††† †††††††† ††††††† │больничные системы†††††††

├────────────────┼──────────┼─────────┼────────┼──────────────────────────┤

†††  оличеств >= 5†† >= 2†† ††† 1†† │Ўкалареализации —ћ»Ѕ†††

│объектоↆ††††† ††††††††† ††††††† ††††††† │‘изическа€††† безопасность│

††††††††††††††† ††††††††† †††††††† ††††††† │ибезопасность окружающей│

††††††††††††††† ††††††††† †††††††† ††††††† │среды††††††††††††††††††††

††††††††††††††† ††††††††† †††††††† ††††††† │(»—ќ/ћЁ 27001:2005, ј.9)│

├────────────────┼──────────┼─────────┼────────┼──────────────────────────┤

†††  оличество│ >= 100†† │ >= 10†† │ < 10†† │Ўкалареализации —ћ»Ѕ†††

│сервероↆ††††† ††††††††† †††††††† ††††††† │‘изическа€††† безопасность│

††††††††††††††† ††††††††† †††††††† ††††††† │ибезопасность окружающей│

††††††††††††††† ††† †††††††††††††† ††††††† │среды (ј.9)††††††††††††††

††††††††††††††† ††††††††† †††††††† ††††††† │”правление доступо솆††††

††††††††††††††† ††††††††† †††††††† ††††††† │(»—ќ/ћЁ  27001:2005, ј.11)│

††††††††††††††† ††††††††† †††††††† ††††††† │“елекоммуникаци膆†††††††

††††††††††††††† ††††††††† †††††††† ††††††† │и управление работо醆†††

††††††††††††††† ††††††††† †††††††† ††††††† │(»—ќ/ћЁ  27001:2005, ј.10)│

├────────────────┼──────────┼─────────┼────────┼──────────────────────────┤

†††  оличество│ >= 300†† │ >= 50†† │ < 50†† │ онтроль доступа†††††††††

│рабочих станций │††††††††† †††††††† ††††††† │(»—ќ/ћЁ  27001:2005, ј.11)│

│ +†† ѕ †† +†††† ††††††††† †††††††† ††††††† †††††††††††††††††††††††††

│портативных†††† ††††††††† †††††††† ††††††† †††††††††††††††††††††††††

│компьютероↆ†† ††††††††† †††††††† ††††††† †††††††††††††††††††††††††

├────────────────┼──────────┼─────────┼────────┼──────────────────────────┤

†††  оличество│ >= 100†† │ >= 20†† │ < 20 ††│ѕриобретение, разработка

│персонала,††††† ††††††††† †††††††† ††††††† │и обслуживание информаци- │

│занимающегос€†† ††††††††† †††††††† ††††††† │онных систе솆†††††††††††

│разработко醆†† ††††††††† †††††††† ††††††† │(»—ќ/ћЁ  27001:2005, ј.12)│

│приложени醆 膆††††††† †††††††† ††††††† †††††††††††††††††††††††††

│технически솆†† ††††††††† †††††††† ††††††† †††††††††††††††††††††††††

│обслуживание솆 ††††††††† †††††††† ††††††† †††††††††††††††††††††††††

├────────────────┼──────────┼─────────┼────────┼──────────────────────────┤

††† —етева€ и†† │ ¬нешние/ │¬нешние/ │¬нешние/│“елекоммуникаци膆†††††† и│

│криптографичес- │интернет│интернет │интернет│управление работо醆†††††

│ка€ технологи€│соединени€│соедине- │соедине-│(»—ќ/ћЁ  27001:2005, ј.10)│

│(»—ќ/ћЁ ††††††† │с требова-│ни€ с ис-│ни€ без │ онтроль†††††††††† доступа│

│27001:2005, ј.9)│ни€м膆†† │пользова-│требова-│(»—ќ/ћЁ  27001:2005, ј.11)│

††††††††††††††† │шифровани€│нием шиф-│ни醆†† ††††††††††††††††††† ††††††

††††††††††††††† │/цифровой │ровани€│шифрова-│†††††††††††††††††††††††††

††††††††††††††† │подписи/│во встро-│ни€/††† †††††††††††††††††††††††††

††††††††††††††† │инфра-††† │енно醆† │цифровой│†††††††††††††††††††††††††

††††††††††††††† │структуры │стандарт-│подписи/│†††††††††††††††††††††††††

††††††††††††††† │открытых│ной аппа-│инфраст-│†††††††††††††††††††††††††

††††††††††††††† │ключе醆† │ратур円 │руктуры │†††††††††††††††††††††††††

††††††††††††††† ††††††††† │и бе熆† │открытых│†††††††††††††††††††††††††

††††††††††††††† ††††††††† │требова- │ключе醆†††††††††††††††††††††††

††††††††††††††† ††††††††† │ни醆††† ††††††† †††††††††††††††††††††††††

††††††††††††††† ††††††††† │цифровой │††††††† †††††††††††††††††††††††††

††††††††††††††† ††††††††† │подписи/ │††††††† †††††††††††††††††††††††††

††††††††††††††† ††††††††† │инфрас-††††††† †††††††††††††††††††††††††

††††††††††††††† ††††††††† │труктуры │††††††† †††††††††††††††††††††††††

††††††††††††††† ††††††††† │открытых │††††††† †††††††††††††††††††††††††

††††††††††††††† ††††††††† │ключе醆 ††††††† †††††††††††††††††††††††††

├────────────────┼──────────┼─────────┼────────┼──────────────────────────┤

††† «начимость│Ќесоответ-│Ќесоот-│Ќесоот- │«аконы††и††† руковод€щие│

│юридическог† │стви円†† │ветствие │ветствие│документы††††††††††††††††

│соответств舆†† │ведет ꆆ │ведет к│ведет к │(»—ќ/ћЁ  27001:2005, ј.15)│

††††††††††††††† │возможному│значите- │незначи-│†††††††††††††††††††††††††

††††††††††††††† │судебному │льны솆† │тельным │†††††††††††††††††††††††††

††††††††††† ††††│преследо- │финансо- │финансо-│†††††††††††††††††††††††††

††††††††††††††† │ванию†††† │вым штра-│вы솆†† †††††††††††††††††††††††††

††††††††††††††† ††††††††† │фам или│штрафам │†††††††††††††††††††††††††

††††††††††††††† ††††††††† │нанесению│ил膆†† †††††††††††††††††††††††††

††††††††††††††† ††††††††† │ущерба†† │нанесе- │†††††††††††††††††††††††††

††††††††††††††† ††††††††† │нематери-│нию†††† †††††††††††††††††††††††††

††††††††††††††† ††††††††† │альны솆 │ущерба†††††††††††††††††††† †††††

††††††††††††††† ††††††††† │активам│немате- │†††††††††††††††††††††††††

††††††††††††††† ††††††††† †††††††† │риальным│†††††††††††††††††††††††††

††††††††††††††† ††††††††† †††††††† │активам │†††††††††††††††††††††††††

├────────────────┼──────────┼─────────┼────────┼──────────────────────────┤

††† ѕрименимость│ѕримен€ют-│Ќе приме-│Ќе при- │Ўкала реализации —ћ»Ѕ††††

│конкретного дл€ │с€ специ- │н€ютс€†† │мен€ютс€│«аконы††† 膆† руковод€щие│

│сектора†† риска │фические│специфи- │специфи-│документы††††††††††††††††

│(см.ↆ A.2†† │дл€ секто-│чески円 │ческие│(»—ќ/ћЁ  27001:2005, ј.15)│

│примеры специфи-│ра законы │д눆†† д눆† †††††††††††††††††††††††††

│ческих††† д눆† ††† 膆†† │сектора│сектора │†††††††††††††††††††††††††

│сектора катего- │положени€ │зако톆† │зако톆 †††††††††††††††††††††††††

│рий риска инфор-│††††††††† │и положе-│иполо-│†††††††††††††††††††††††††

│мационно醆†††† ††††††††† │ние, но│жени円 †††††††††††††††††††††††††

│безопасности)†† ††††††††† │примен€- │膆 н円†††††††††††††††††††††††

††††††††††††††† ††††††††† │етс€ зна-│примен€-│†††††††††††††††††††††††††

††††††††††††††† ††††††††† │чительный│етс€††† †††††††††††††††††††††††††

††††††††††††††† ††††††††† │конкрет- │значи-†††††††††††††††††††††††††

††††††††††††††† ††††††††† │ный дл€│тельный │†††††††††††††††††††††††††

††††††††††††††† ††††††††† │сектора│конкрет-│†††††††††††††††††††††††††

††††††††††††††† ††††††††† │рисꆆ†† │ный дл€ │††††††† ††††††††††††††††††

††††††††††††††† ††††††††† †††††††† │сектора │†††††††††††††††††††††††††

††††††††††††††† ††††††††† †††††††† │рисꆆ† †††††††††††††††††††††††††

└────────────────┴──────────┴─────────┴────────┴──────────────────────────┘

 

Ќа основе использовани€ различных факторов из таблицы A.1 аспекты сложности области действи€ —ћ»Ѕ могут классифицироватьс€ по трем категори€м: "высока€", "средн€€" и "низка€". «а общую категорию сложности может быть прин€та максимальна€ категори€ всех рассматриваемых факторов.

A.2. —пецифические дл€ сектора категории риска информационной безопасности

–иски дл€ информации могут быть специфическими дл€ вида рассматриваемой информации или сектора, в котором функционирует организаци€-клиент. —ледующие примеры иллюстрируют различные категории риска.

—пецифические категории, примен€емые ко всем организаци€м-клиентам:

зарплаты, пенсии, здоровье и безопасность, документы организации-клиента, внутренн€€ и межведомственна€ информаци€ и т.д.;

люба€ друга€ лично идентифицируема€ информаци€;

люба€ друга€ коммерчески секретна€/важна€ информаци€, така€ как научно-исследовательска€, опытно-конструкторска€, подробности об организации-клиенте, финансовые результаты и прогнозы, бизнес-планы, права на интеллектуальную собственность, производственные процессы и т.д.

ѕравительственна€ секретна€/важна€ информаци€:

дл€ общественности;

дл€ электронного правительства;

о гражданах (например, здоровье, доходы, налоги, документы и т.д.);

которой оперируют правительственные поставщики и производители, така€ как проекты » “, оборудование, продукты, услуги и т.д.

—пецифические категории, примен€емые к классам организации:

корпоративное управление - перечисленные компании (возможно, также другие крупные экономические объекты).

—пецифические категории, примен€емые к секторам торгово-промышленной де€тельности:

здравоохранение;

образование;

авиакосмическа€ промышленность;

телекоммуникации;

финансовые услуги;

благотворительные учреждени€ и некоммерческие организации.

 

 

 

 

 

ѕриложение B

(справочное)

 

ѕ–»ћ≈–Ќџ≈ ќЅЋј—“»  ќћѕ≈“≈Ќ“Ќќ—“» ј”ƒ»“ќ–ј

 

B.1. ќбща€ оценка компетентности

—уществует несколько способов, с помощью которых аудитор может продемонстрировать свои знани€ и опыт, например, посредством использовани€ общепризнанных квалификаций, регистрации под IRCA или любой другой признанной формы регистрации аудитора. “ребуемый уровень компетентности дл€ аудиторской группы должен быть установлен, согласу€сь с промышленной/технологической областью организации и фактором сложности.

B.2. —пецифическа€ оценка компетентности

B.2.1. «нание мер управлени€ из ѕриложени€ A »—ќ/ћЁ  27001:2005

Ќиже изложены типовые вопросы проведени€ аудита —ћ»Ѕ.  роме знани€ мер управлени€ из ѕриложени€ A »—ќ/ћЁ  27001:2005, которые перечислены ниже, аудиторы должны быть осведомлены о других стандартах из серии »—ќ/ћЁ  27000.

 

“аблица B.1

 

ћеры управлени€

 

††† “иповые вопросы аудита††††††

»сточники, определ€ющие меры управлени€

††† «нание и опыт вполитикахи

требовани€х деловойде€тельности

к информационной безопасност膆†

ѕолитика безопасност膆†††††††††††††††

††† ќбщее знание и опыт в бизнес-

процессах, практиках и организа-

ционных структурах††††††††††††††

ќрганизаци€ информационной безопасности

††† «нани円†† оценк膆† активов,

материально-производственных††††

запасов,†††† классификаци醆††† и

приемлемого использовани€ политик

”правление активам膆†††††††††††††††††

††† ќбще円 знани円 膆 опыт†† в

процессах††††† 膆††† процедурах,

используемых†††††† департаментами

трудовых ресурсоↆ†††††††††††††

Ѕезопасность трудовых ресурсоↆ††††††

††† «нание физической безопаснос-

ти окружающей среды†††††††††††††

‘изическа€ безопасность ибезопасность

окружающей среды††††††††††††††††††††††

††† «наниеновейшихстандартов,

процессов,техниꆆ 膆 методов,

использованных дл€ информационной

безопасности, включа€ меропри€ти€

менеджмента,†† атакж円 наличие

соответствующегоуровн€ иопыта

проведен舆†††††† техническо醆†

экспертизы. Ёто включаетвсеб€

современны円 знан舆†† некоторых

общих практик бизнеса†††††††††††

”правление коммуникаци€ми и операци€ми

”правление доступо솆†††††††††††† †††††

ѕриобретение, разработка и обслуживание

информационных систе솆†††††††††††††††

††† —овременные знани€ иопытв

процессах†††††† 膆††† процедурах

менеджмента инцидентоↆ††††††††

ћенеджмент†† инцидентовинформационной

безопасност膆†††††††††††† ††††††††††††

††† —овременные знани€ иопытв

стандартах,†† процессах,†† планах

и методах испытаний непрерывности

бизнеса†††††††††††††††††††††††††

”правление непрерывностью бизнеса†††††

††† —овременноезнаниевопросов

контрактоↆ бизнеса††† 膆 общих

законовиположений,св€занных

со —ћ»Ѕ†††††††††††††††††††††††††

—оответстви円††††††††††††††††††††††††

 

B.2.2. “ипичные знани€, св€занные с системой менеджмента информационной безопасности

јудиторы должны знать и понимать следующие процессы проведени€ аудита и объекты —ћ»Ѕ:

программирование и планирование аудита —ћ»Ѕ;

тип и методологи€ аудита —ћ»Ѕ;

аудиторский риск;

анализ процессов информационной безопасности;

цикл ƒеминга (PDCA) дл€ посто€нного совершенствовани€;

проведение внутреннего аудита информационной безопасности.

јудиторы должны знать и понимать следующие регул€тивные требовани€:

интеллектуальна€ собственность;

содержание, защита и сохранение документов организации-клиента;

защита данных и конфиденциальность;

регулирование криптографических средств контрол€;

предупреждение терроризма;

электронна€ коммерци€;

электронные и цифровые подписи;

инспекци€ рабочих мест;

перехват в телекоммуникаци€х и мониторинг данных (например, электронна€ почта);

злоупотребление компьютером;

сбор электронных данных;

испытание на проникновение;

международные и национальные, конкретные дл€ сектора, требовани€ (например, банковское дело).

јудиторы должны знать и понимать следующие требовани€ менеджмента:

обработка рисков информационной безопасности;

риски безопасности аутсорсинга ICT;

риски информационной безопасности дл€ цепочки поставок.

 

 

 

 

 

ѕриложение C

(справочное)

 

ѕ–ќƒќЋ∆»“≈Ћ№Ќќ—“№ ј”ƒ»“ј

 

C.1. ¬ведение

¬ насто€щем ѕриложении содержитс€ дополнительна€ информаци€, касающа€с€ пунктов 9.1, 9.2, 9.3 и 9.4 »—ќ/ћЁ  17021:2006. ≈е следует читать вместе с пунктами »Ѕ 9.1.2, »Ѕ 9.1.3, »Ѕ 9.1.5, »Ѕ 9.1.6, »Ѕ 9.2.3.1, »Ѕ 9.2.3.2 и »Ѕ 9.2.3.3 насто€щего стандарта. Ёто ѕриложение представл€ет собой руководство дл€ органа сертификации по разработке собственных процедур определени€ времени, требуемого дл€ сертификации области действи€ —ћ»Ѕ организаций-клиентов различных размеров и сложности в широком спектре де€тельности.

ќрганам сертификации необходимо определить продолжительность аудита, котора€ должна затрачиватьс€ на первоначальную сертификацию, надзор и повторную сертификацию дл€ каждой организации-клиента и сертифицированной —ћ»Ѕ. »спользование данного ѕриложени€ в период планировани€ аудита может привести к формированию последовательного подхода к определению соответствующего времени, требуемого аудитору. ¬ руководстве, приведенном в насто€щем ѕриложении, также учитываютс€ гибкость в отношении результатов аудита, особенно во врем€ его первого этапа, и сложность рассматриваемой области действи€ —ћ»Ѕ.

C.2. ѕроцедура определени€ продолжительности аудита

ќпыт показывает, что область действи€ —ћ»Ѕ и количество сотрудников (как проиллюстрировано в таблице времени аудитора в пункте C.3), размер, характеристики, сложность и значимость потенциальных рисков информационной безопасности (ниже объ€сн€етс€ более подробно) обусловливают врем€ дл€ аудитов данной —ћ»Ѕ. ¬ пункте »Ѕ 9.1.3, а также в пунктах »Ѕ 9.2.3.1, »Ѕ 9.2.3.2 и »Ѕ 9.2.3.3 перечисл€ютс€ критерии, которые должны учитыватьс€ при определении необходимого времени аудитора. Ёти и другие факторы должны рассматриватьс€ в процессе анализа договора органа сертификации ввиду их потенциального вли€ни€ на назначение времени аудитора.

¬ажно отметить, что все эти факторы должны приниматьс€ во внимание при определении продолжительности аудита и что таблица времени аудитора в пункте C.3 не может использоватьс€ отдельно. —ледующие примеры иллюстрируют факторы, которые могут повли€ть на продолжительность аудита, и конкретизируют перечень факторов, данных в пункте »Ѕ 9.1.3, а именно:

факторы, касающиес€ размера области действи€ —ћ»Ѕ (например, количество использованных информационных систем, объем обрабатываемой информации, количество пользователей, количество привилегированных пользователей, количество платформ »“, количество объектов и их размер);

факторы, касающиес€ сложности —ћ»Ѕ (например, критичность информационных систем, ситуаци€ риска —ћ»Ѕ, объемы и виды обрабатываемой секретной и критической информации, количество и типы электронных сделок, количество и объем опытно-конструкторских работ, размер удаленного рабочего места, объем документации —ћ»Ѕ);

вид(ы) де€тельности, осуществл€емой в области действи€ —ћ»Ѕ, требовани€ безопасности, правовые, регулирующие, договорные и требовани€, касающиес€ этих видов де€тельности;

объем и разнообразие технологий, использованных в реализации различных компонентов —ћ»Ѕ (такие как: внедренные меры управлени€, контроль документации и/или управление процессом, корректирующие/предупредительные действи€, информационные системы, системы »“, сети, например, €вл€ютс€ ли они фиксированными, мобильными, беспроводными, внешними, внутренними);

количество объектов в пределах области действи€ —ћ»Ѕ, насколько они идентичны или различны и будет ли провер€тьс€ вс€ совокупность объектов или выборка из них;

ранее продемонстрированное функционирование —ћ»Ѕ;

объем аутсорсинга и меропри€тий третьей стороны, использованных в области действи€ —ћ»Ѕ и зависимость от этих услуг;

стандарты, законы и нормативы, примен€ющиес€ к сертификации, и специфические дл€ сектора требовани€, которые могут примен€тьс€.

—ертификаци€ —ћ»Ѕ обычно занимает больше времени, чем сертификаци€ системы менеджмента качества или системы экологического менеджмента, из-за возросших требований к —ћ»Ѕ, таких как требовани€ к политике —ћ»Ѕ, менеджменту риска, цел€м управлени€ —ћ»Ѕ и средствам контрол€. ќрган сертификации об€зан:

a) проверить правильность и последовательность метода, посредством которого организаци€-клиент определ€ет значимость рисков информационной безопасности и воздействий на нее;

b) подтвердить, что система, предназначенна€ дл€ достижени€ соответстви€ (со всеми соответствующими законами и другими требовани€ми, относ€щимис€ к —ћ»Ѕ), способна это выполнить и что она работает и поддерживаетс€;

c) подтвердить, что цели управлени€ и средства контрол€ выбраны и реализованы правильно, их результативность оцениваетс€ и что процесс достижени€ "предотвращени€ и соответствующего реагировани€ на нарушени€ безопасности" €вл€етс€ правильным и соблюдаетс€;

d) подтвердить выполнение требований документации —ћ»Ѕ организации-клиента;

e) реагировать на возросшие требовани€, по€вившиес€ в результате первого этапа аудита.

C.3. “аблица времени аудитора

C.3.1. ќбщие положени€

¬ таблице времени аудитора (таблица C.1) установлено среднее количество дней дл€ первоначального аудита (здесь и в дальнейшем оно включает в себ€ дни аудита первого и второго этапов), которое, как показал опыт, целесообразно дл€ области действи€ —ћ»Ѕ с заданным числом сотрудников. ƒл€ областей действи€ сходных по размерам —ћ»Ѕ требуетс€ разное количество времени аудитора.

»зменение времени, затраченного на каждую сертификацию, зависит от количества факторов, включа€ размер, область действи€ аудита, материально-техническое обеспечение, сложность организации и ее состо€ние готовности к проведению аудита (см. также пункт C.2). Ёти и другие факторы должны рассматриватьс€ в процессе анализа договора органом сертификации ввиду их потенциального вли€ни€ на определение времени, требуемого аудитору. —ледовательно, таблица времени аудитора не может использоватьс€ отдельно.

“аблица времени аудитора представл€ет основную схему, котора€ может использоватьс€ дл€ планировани€ аудита путем определени€ отправной точки, основанной на общем количестве сотрудников всех смен, и регулировани€ этого количества на основе значимых факторов, примен€ющихс€ к области действи€ —ћ»Ѕ, котора€ должна подвергатьс€ аудиту, и придани€ каждому фактору своего коэффициента важности (аддитивный или субтрактивный) с целью определени€ необходимого числа сотрудников. “ермины, использующиес€ в этой таблице, объ€сн€ютс€ в пункте C.3.2.

 

“аблица C.1

 

“аблица времени аудитора

 

───────────┬──────────────┬──────────────┬─────────┬─────────────┬─────────

 оличество │¬рем€ аудитора│ѕродолжитель- │ѕродолжи-│јддитивные и │ ќбщее

сотрудников│дл€ первона-│ность перво-│тельность│субтрактивные│ врем€

†††††††††† │чальног††† │начальног† │первона- │†† факторы†† │аудитора

†††††††††† │аудита системы│аудита††††††† │чального │††††††††††††

†††††††††† │менеджмента†† │системы эко-│аудита†† ††††††††††††

†††††††††† │качества (дни │логическог │—ћ»Ѕ (дни│††††††††††††

†††††††††† │аудитора)†††† │менеджмента†† │аудитора)│††††††††††††

†††††††††† †††††††† †††††│(дни аудитора)│†††††††† ††††††††††††

───────────┴──────────────┴──────────────┴─────────┴─────────────┴─────────

†† ††††††††††2††††††††††† 3†††††††††††† 5††††† —м. ѕриложение

††† ††††††††††††††††††††††††††††††††††††††††††††††††C.2

───────────────────────────────────────────────────────────────────────────

††††††††††3††††††††††††††††††††††††† 7††††† —м. ѕриложение

††††††††††††††††††††††††††††††††††††††††††††††††††† C.2

───────────────────────────────────────────────────────────────────────────

††††††††††4†††††††††† 6††††††††††††† 8,5††† —м. ѕриложение

††††††††††††††††††††††††††††††††††††††††††††††††††† C.2

───────────────────────────────────────────────────────────────────────────

††††††††††5†††††††††††††††††††††††† 10††††† —м. ѕриложение

††††††† ††††††††††††††††††††††††††††††††††††††††††††C.2

───────────────────────────────────────────────────────────────────────────

††††††††††6†††††††††††††††††††††††† 11††††† —м. ѕриложение

††††††††††††††††††††††††††††††††††††††††††††††††††† C.2

───────────────────────────────────────────────────────────────────────────

†††††††††7†††††††††† 8†††††††††††† 12††††† —м. ѕриложение

††††††††††††††††††††††††††††††††††††††††††††††††††† C.2

───────────────────────────────────────────────────────────────────────────

†††††††† 8†††††††††††††††††††††††† 13††††† —м. ѕриложение

††††††††††††††††††††††††††††††††††††††††††††††††††† C.2

───────────────────────────────────────────────────────────────────────────

†††††††† 9†††††††††††††††††††††††† 14††††† —м. ѕриложение

††††††††††††††††††††††††††††††††††††††††††††††††††† C.2

───────────────────────────────────────────────────────────────────────────

††††††† 10†††††††††††††††††††††††† 15††††† —м. ѕриложение

††††††††††††††††††††††††††††††††††††††††††††††††††† C.2

───────────────────────────────────────────────────────────────────────────

††††††† 11††††††††† 12†††††††††††† 16,5††† —м. ѕриложение

††††††††††††††††††††††††††††††††††††††††††††††††††† C.2

───────────────────────────────────────────────────────────────────────────

††††††† 12†††††††††††††††††††††††† 17,5††† —м. ѕриложение

††††††††††††††††††††††††††††††††††††††††††††††††††† C.2

───────────────────────────────────────────────────────────────────────────

†††††† 13††††††††††††††††††††††† 18,5†††† —м. ѕриложение

††††††††† ††††††††††††††††††††††††††††††††††††††††††C.2

───────────────────────────────────────────────────────────────────────────

†††††† 14††††††††††††††††††††††† 19,5††† —м. ѕриложение

††††††††††††††††††††††††††††††††††††††††††††††††††† C.2

───────────────────────────────────────────────────────────────────────────

††††† 15††††††††† 18††††††††††† 21†††††† —м. ѕриложение

††††††††††††††††††††††††††††††††††††††††††††††††††† C.2

───────────────────────────────────────────────────────────────────────────

††††† 16††††††††††††††††††††††† 22†††††† —м. ѕриложение

††††††††††††††††††††††††††††††††††††††††††††††††††† C.2

───────────────────────────────────────────────────────────────────────────

††††† 17††††††††††††††††††††††† 23†††††† —м. ѕриложение

††††††††††††††††††††††††††††††††††††††††††††††††††† C.2

───────────────────────────────────────────────────────────────────────────

††††† 18††††††††††††††††††††††† 24†††††† —м. ѕриложение

†††† †††††††††††††††††††††††††††††††††††††††††††††††C.2

───────────────────────────────────────────────────────────────────────────

††††† 19††††††††††††††††††††††† 25†††††† —м. ѕриложение

††††††††††††††††††††††††††††††††††††††††††††††††††† C.2

───────────────────────────────────────────────────────────────────────────

††††† 20††††††††††††††††††††††† 26†††††† —м. ѕриложение

††††††††††††††††††††††††††††††††††††††††††††††††††† C.2

───────────────────────────────────────────────────────────────────────────

††††† 21††††††††††††††††††††††† 27†††††† —м. ѕриложение

†††††††††††††††††††† †††††††††††††††††††††††††††††††C.2

───────────────────────────────────────────────────────────────────────────

†††† 22††††††††††††††††††††††† 28†††††† —м. ѕриложение

††††††††††††††††††††††††††††††††††††††††††††††††††† C.2

───────────────────────────────────────────────────────────────────────────

> 10,700†††† “а же сама€†††††††††††††† “а же сама€—м. ѕриложение

††††††††††††† прогресс舆†††††††††††††† прогресси€C.2

───────────────────────────────────────────────────────────────────────────

 

C.3.2. ќбъ€снение терминов

“ермин "сотрудники", упоминающийс€ в таблице времени аудитора, относитс€ ко всем лицам, чь€ рабоча€ де€тельность имеет отношение к области действи€ —ћ»Ѕ. ќбщее количество сотрудников всех смен €вл€етс€ отправной точкой дл€ определени€ продолжительности аудита.

‘актическое количество сотрудников включает непосто€нный (сезонный, временный и субподр€дный) штат, который будет представлен во врем€ аудита. ќрган сертификации должен согласовать с организаци€ми-клиентами расчет продолжительности аудита, за которую наилучшим образом будет продемонстрирована вс€ область де€тельности организации. ѕо обстановке, этот расчет может включать врем€ года, мес€ц, день/дату и смену.

„астично зан€тые сотрудники должны рассматриватьс€ как сотрудники с полной зан€тостью. “акое решение зависит от количества отработанных часов по сравнению с отработанными часами сотрудников с полной зан€тостью.

“ермин "врем€ аудитора" означает врем€, затраченное аудитором или аудиторской группой на первый и второй этапы аудита и планирование (включа€ при необходимости внешнюю проверку документов); согласование с организацией-клиентом, персоналом, запис€ми, документацией и процессом; написание отчета. ѕредполагаетс€, что "врем€ аудитора", затраченное на планирование и написание отчета, обычно не должно сокращать общее "врем€ аудитора" на месте менее чем до 70% времени, показанного в таблице времени аудитора. ¬рем€ передвижений аудитора не включаетс€ в этот расчет и €вл€етс€ дополнительным ко времени аудитора, обозначенному в таблице.

ѕримечание 1. 70% времени €вл€ютс€ фактором, основанным на опыте проведени€ аудитов —ћ»Ѕ.

 

≈сли используютс€ технологии проведени€ удаленного аудита, такие как интерактивное веб-сотрудничество, веб-собрани€, телеконференции и/или электронна€ проверка процессов организации-клиента, они должны быть оговорены в плане аудита (см. »Ѕ 9.1.5) и могут рассматриватьс€ как факторы, увеличивающие общее "врем€ аудитора на месте".

≈сли орган сертификации разрабатывает план аудита, дл€ которого технологии проведени€ удаленного аудита составл€ют более чем 30% от запланированного времени аудитора на месте, орган сертификации должен обосновать этот план аудита и получить специальное одобрение от органа аккредитации до его реализации.

ѕримечание 2. ¬рем€ аудитора на месте относитс€ ко времени аудитора, определенному дл€ индивидуальных объектов. Ёлектронные аудиты удаленных объектов рассматриваютс€ как дистанционные аудиты, даже если эти электронные аудиты физически осуществл€ютс€ в помещени€х организации-клиента.

 

"¬рем€ аудитора" в таблице исчисл€етс€ в "дн€х аудитора", затраченных на аудит. ќбычно "днем аудитора" €вл€етс€ полный рабочий день.

ƒл€ цикла первоначального сертификационного аудита врем€ надзора дл€ данной организации должно быть пропорционально времени, затраченному на первоначальный аудит с общим временем, затраченным в год на надзор, составл€ющим 1/3 времени, затраченного на первоначальный аудит. «апланированное врем€ надзора должно периодически пересматриватьс€, чтобы учесть все изменени€ в организации, технологическую зрелость системы и т.д., по крайней мере, во врем€ аудита повторной сертификации.

ќбщее врем€, затраченное на осуществление аудита повторной сертификации, будет зависеть от полученных данных анализа, определенных в пункте »Ѕ 9.1.6 насто€щего стандарта и »—ќ/ћЁ  17021:2006, пункт 9.4. ¬рем€, затраченное на повторный сертификационный аудит, должно быть пропорционально времени, затраченному на первоначальный сертификационный аудит той же самой организации, и должно составл€ть около 2/3 от времени, которое потребовалось бы дл€ первоначального сертификационного аудита той же самой организации. ¬рем€ аудита повторной сертификации превышает, как описано выше, врем€ регул€рного надзора, но когда повторный сертификационный аудит выполн€етс€ за то же самое врем€, что запланированна€ инспекци€ по регул€рному надзору, аудита повторной сертификации также будет достаточно дл€ удовлетворени€ требований к надзору. –уководство »Ѕ 9.1.2 примен€етс€ независимо от сделанного вывода.

ѕосле выбора общей отправной точки дл€ определени€ необходимой продолжительности аудита области действи€ типичной —ћ»Ѕ с заданным количеством сотрудников должны быть рассмотрены некоторые уточнени€, чтобы учесть различи€, которые могли бы повли€ть на действительное врем€ аудитора, необходимое дл€ выполнени€ эффективного аудита дл€ конкретной провер€емой —ћ»Ѕ в дополнение к факторам, указанным в пункте C.2.

ѕримерными факторами, требующими дополнительного времени аудитора, могут быть:

сложное материально-техническое обеспечение, включающее более одного здани€ или помещени€ в области действи€ —ћ»Ѕ;

штат, говор€щий на нескольких €зыках (требуетс€ переводчик (и) или предотвращение независимой работы отдельных аудиторов);

высока€ степень регулировани€;

—ћ»Ѕ охватывает очень сложные процессы или относительно большое количество видов де€тельности, или уникальную в своем роде де€тельность;

процедуры, предусматривающие использование комбинации аппаратных средств, программного обеспечени€ процессов и услуг;

действи€, требующие инспекции временных объектов дл€ подтверждени€ правильности действи€ посто€нного объекта(ов), чь€ система менеджмента подлежит сертификации (см. ѕримечание 3).

ѕримерными факторами, позвол€ющими сокращать врем€ аудитора, могут быть:

процессы/продукты с низкой степенью риска;

априорное знание организации-клиента (например, если организаци€-клиент уже сертифицировалась по другому стандарту тем же органом сертификации);

готовность организации-клиента к сертификации (например, уже сертифицированной или признанной по другой схеме третьей стороны);

процессы, использующие один общий вид де€тельности (например, только предоставление услуг);

зрелость системы менеджмента;

высокий процент сотрудников, выполн€ющих аналогичные простые задачи.

ѕримечание 3. ¬ ситуаци€х, когда клиент сертификации или сертифицированна€ организаци€ представл€ет свой(и) продукт(ы) или услуги на временных объектах, важно, чтобы оценки подобных объектов включались в сертификационный аудит и программы надзора.

 

¬ременный объект - это место, отличное от объекта/места, идентифицированного в документе по сертификации, где де€тельность в рамках области действи€ сертификации реализуетс€ за определенный период времени. Ёти объекты могут варьироватьс€ от главных объектов по управлению проектом до второстепенных объектов дл€ обслуживани€/инсталл€ции. Ќеобходимость инспекции подобных объектов и объем выборки объектов дл€ проверки должны основыватьс€ на оценке рисков дефекта продукта или эксплуатационного отказа системы. ќбразец выбранных объектов должен представл€ть совокупность потребностей в компетентности и вариантов услуг организации-клиента с учетом масштабов и типов де€тельности и различных этапов действующих проектов.

Ќеобходимо рассматривать все особенности области действи€ —ћ»Ѕ, процессы и продукты/услуги и осуществл€ть качественную корректировку факторов, которые могли бы более или менее обосновать врем€ аудитора, требуемое дл€ проведени€ эффективного аудита. ¬о всех случа€х внесени€ поправок в таблицу времени аудитора дл€ обосновани€ этих изменений, должно быть достаточно оснований и документов.

ѕриведенна€ диаграмма на рисунке C.1 иллюстрирует потенциальное вли€ние аддитивных и субтрактивных факторов на врем€, требуемое аудитору, из таблицы C.1.

 

 

–исунок C.1. ѕотенциальное вли€ние аддитивных

и субтрактивных факторов на врем€, требуемое аудитору

 

 

 

 

 

ѕриложение D

(справочное)

 

–” ќ¬ќƒ—“¬ќ ѕќ јЌјЋ»«” –≈јЋ»«ќ¬јЌЌџ’ ћ≈– ”ѕ–ј¬Ћ≈Ќ»я

»« ѕ–»Ћќ∆≈Ќ»я A »—ќ/ћЁ  27001:2005

 

D.1. ÷ель

¬ насто€щем ѕриложении представлено руководство по анализу внедрени€ мер управлени€, перечисленных в ѕриложении A »—ќ/ћЁ  27001:2005, и сбору свидетельств аудита в отношении эффективности этих мер во врем€ первоначального аудита и последующих инспекций с целью надзора. ¬недрение всех средств контрол€, выбранных организацией-клиентом дл€ —ћ»Ѕ (согласно утверждению о применимости), должно провер€тьс€ во врем€ второго этапа первоначального аудита и во врем€ де€тельности, св€занной с надзором или повторной сертификацией.

—видетельство аудита, которое собирает орган сертификации, должно быть достаточным, чтобы сделать вывод об эффективности мер управлени€.  аким образом предполагаетс€ осуществл€ть управление, должно быть определено в процедурах или политиках организации-клиента, заданных или вз€тых из утверждени€ о применимости. ќчевидно, что меры управлени€ вне области действи€ —ћ»Ѕ провер€тьс€ не будут.

D.1.1. —видетельство аудита

Ќаилучшее свидетельство аудита может быть получено в процессе визуального наблюдени€ аудитора (например, что запираема€ дверь действительно заперта; что служащие действительно подписывают соглашени€ о соблюдении конфиденциальности; что перечень активов существует и содержит зарегистрированные активы; что наход€щиес€ под наблюдением параметры настройки €вл€ютс€ адекватными и т.д.). —видетельство может быть получено на основе просмотра результатов осуществлени€ контрол€ (например, распечаток прав доступа, подписанных соответствующим уполномоченным лицом; записей о разрешении инцидентов; полномочий дл€ обработки, подписанных соответствующим уполномоченным лицом; протоколов административных (или других) совещаний и т.д.). —видетельство может быть результатом пр€мого испытани€ аудитором (или повторного действи€) средств контрол€ (например, попытки выполнить задачи, за€вленные как запрещенные средствами контрол€; определение, установлено ли программное обеспечение дл€ защиты от вредоносной программы и обновл€етс€ ли оно на машинах, предоставл€ютс€ ли права доступа (после проверки полномочий) и т.д.). —видетельства могут собиратьс€ посредством проведени€ опроса сотрудников/подр€дчиков о процессах и средствах контрол€ и определени€, €вл€ютс€ ли они действительно корректными.

D.2.  ак работать с таблицей D.1

D.2.1. олонки "ќрганизационный контроль" и "“ехнический контроль"

"X" в соответствующей колонке показывает, €вл€етс€ ли контроль организационным или техническим. “ак как некоторые средства контрол€ €вл€ютс€ как организационными, так и техническими, дл€ таких средств контрол€ став€тс€ отметки в обеих колонках.

—видетельства функционировани€ организационных средств контрол€ могут собиратьс€ при помощи анализа записей о функционировании средств контрол€, опросов, наблюдени€ и физического осмотра. —видетельства функционировани€ технических средств контрол€ зачастую могут собиратьс€ при помощи испытани€ системы или посредством использовани€ специальных инструментов аудита/предоставлени€ отчетности.

D.2.2.  олонка "»спытание системы"

"»спытание системы" означает пр€мую проверку систем (например, проверка параметров настройки системы или конфигурации). ќтветы на вопросы аудиторов можно получить на пульте управлени€ системы или они могут содержатьс€ в оценке результатов тестировани€ инструментальных средств. ≈сли организаци€-клиент имеет компьютерное инструментальное средство, известное аудитору, то оно может использоватьс€ дл€ поддержки аудита или дл€ проверки результатов оценки, осуществленной организацией-клиентом (или ее субподр€дчиками).

—уществуют две категории проверки технических средств контрол€:

"возможно": тестирование системы возможно дл€ оценки введени€ в действие средства контрол€, но обычно это не €вл€етс€ необходимым;

"рекомендуетс€": тестирование системы обычно необходимо.

D.2.3.  олонка "¬изуальна€ проверка"

"¬изуальна€ проверка" означает, что обычно средства контрол€ дл€ оценки их эффективности требуют визуального осмотра на месте. Ёто значит, что недостаточно проверить соответствующую документацию на бумаге или при помощи опросов - аудитор должен проверить это средство контрол€ на месте его эксплуатации.

D.2.4.  олонка "–уководство по анализу аудита"

¬ колонке "–уководство по анализу аудита" представлены возможные области повышенного внимани€ дл€ оценки классифицируемой меры управлени€ в качестве дальнейшего руководства дл€ аудитора.

 

“аблица D.1

 

 лассификаци€ мер управлени€

 

ћеры управлени€ в††

ѕриложении A »—ќ/ћЁ 

††††† 27001:2005†††††

ќргани-

зацион-

ны醆††

контроль

“ехни-

ческий

конт-

роль

»спыта-

ни円†

системы

¬изу-

альна€

про-

верка

††† –уководств†

по анализу аудита

A.5.††††††††† ѕолитика

безопасност膆†††††††

 

 

 

 

 

A.5.1. ѕолитика††††††

информационно醆†††††

безопасности (»Ѕ)††††

 

 

 

 

 

A.5.1.1.ƒокументаци€

политики »Ѕ††††††††††

††† X††

 

 

 

 

A.5.1.2.††††††† јнализ

политики »Ѕ††††††††††

††† X††

 

 

 

ѕротоколы†† анализа

с††††††† стороны

руководства†††††††

A.6. ќрганизаци€ »Ѕ††

 

 

 

 

 

A.6.1.††††† ¬нутренн€€

организац舆†††††††††

 

 

 

 

 

A.6.1.1. ќб€зательство

менеджмента по »Ѕ††††

††† X††

 

 

 

ѕротоколы заседаний

руководства†††††††

A.6.1.2.††  оординаци€

»Ѕ†††††††††††††††††††

††† X††

 

 

 

ѕротоколы заседаний

руководства†††††††

A.6.1.3. –аспределение

об€занностей по »Ѕ†††

††† X††

 

 

 

 

A.6.1.4.†††††† ѕроцесс

санкционирован舆††††

средстↆ††† обработки

информаци膆†††††††††

††† X††

 

 

 

 

A.6.1.5.††† —оглашени€

о конфиденциальности

††† X††

 

 

 

¬ыбрать†† несколько

копий из архива†††

A.6.1.6.††††††  онтакт

с власт€м膆†††††††††

††† X††

 

 

 

 

A.6.1.7.  онтакт†††††

со специальным膆††††

группами людей, объе-

диненными общим膆†††

интересам膆†††††††††

††† X††

 

 

 

 

A.6.1.8.†† Ќезависима€

проверка »Ѕ††††††††††

††† X††

 

 

 

„итать отчеты†††††

A.6.2. ¬нешние стороны

 

 

 

 

 

A.6.2.1.†† ќпределение

рисков,††††† св€занных

с внешними сторонами

††† X††

 

 

 

 

A.6.2.2.†† ќпределение

безопасност膆†††† при

обращении с клиентами

††† X††

 

 

 

 

A.6.2.3.†† ќпределение

безопасност膆†††††† в

соглашени€х стретьей

стороно醆†††††††††††

††† X††

 

 

 

ѕроверить некоторые

услови€ контракта

A.7.††††††† ћенеджмент

активам膆†††††††††††

 

 

 

 

 

A.7.1. ќтветственность

за активы††††††††††††

 

 

 

 

 

A.7.1.1. ќпись активов

††† X††

 

 

 

»дентифицировать††

активы††††††††††††

A.7.1.2.††††† ¬ладение

активам膆†††††††††††

††† X††

 

 

 

 

A.7.1.3.††† ѕриемлемое

использование активов

††† X††

 

 

 

 

A.7.2.††  лассификаци€

информаци膆†††††††††

 

 

 

 

 

A.7.2.1.†††††† ѕравила

классификаци膆††††††

††† X††

 

 

 

 

A.7.2.2.††† ћаркировка

и обработка информации

††† X††

 

 

 

Ќаименование:†††††

директории, файлы,

напечатанны円††††

отчеты, носител膆

данных с запис€ми

(например, магнит-

ные ленты, дискеты

и CD), электронные

сообщени€ и†††††††

передача файлоↆ†

A.8.†††††††††  адрова€

безопасность†††††††††

 

 

 

 

ѕровест膆† выборку

нескольких††††††††

кадровых де놆††††

A.8.1.††††††† ”слови€,

предшествующие найму

 

 

 

 

 

A.8.1.1.††††††††† –оли

и об€занност膆††††††

††† X††

 

 

 

 

A.8.1.2. ќтбор†††††††

††† X††

 

 

 

 

A.8.1.3. ”слови€ найма

††† X††

 

 

 

 

A.8.2. ”слови€ работы

 

 

 

 

 

A.8.2.1.†† ќб€занности

руководства††††††††††

††† X††

 

 

 

 

A.8.2.2.†††††††††††††

ќсведомленность об »Ѕ,

образование и обучение

††† X††

 

 

 

ќпросить††††† штат,

осведомленыли они

††††† конкретных

вопросах,†† которые

они должны знать††

A.8.2.3.††††† ѕроцесс,

св€занны醆††††††††††

с дисциплино醆††††††

††† X††

 

 

 

 

A.8.3.†††††† ќкончание

илиизменениеработы

по найм󆆆††††††††††

 

 

 

 

 

††† A.8.3.1.†††††††††

ќб€занности, св€занные

с окончанием найма†††

††† X††

 

 

 

 

A.8.3.2.†† ¬озвращение

активоↆ††††††††††††

††† X††

 

 

 

 

A.8.3.3.Ћишение прав

доступа††††††††††††††

††† X††

X††

–еко-

менду-

етс€††

 

 

A.9. ‘изическа€ защита

отвли€ни€ окружающей

среды††††††††††††††††

 

 

 

 

 

A.9.1.††††† Ѕезопасные

област膆††††††††††††

 

 

 

 

 

A.9.1.1.††††† ѕериметр

физической защиты††††

††† X††

 

 

 

 

A.9.1.2.††††† —редства

физическог контрол€

входа в помещени円††

††† X††

X††

¬озмож-

н††

X††

јрхивировани円†††

записей о доступе

A.9.1.3.†† ќбеспечение

безопасност膆 офисов,

комнат и помещени醆†

††† X††

 

 

X††

 

A.9.1.4.†† «ащита†† от

внешнихугроз и угроз

окружающей среды†††††

††† X††

 

 

X††

 

A.9.1.5.††††††† –абота

в безопасных зонах†††

††† X††

 

 

X††

 

A.9.1.6.†††††† ќбласти

доступа††† ꆆ† местам

общественног††††††

пользовани€,поставки

и погрузк膆†††††††††

††† X††

 

 

X††

 

A.9.2.††† Ѕезопасность

оборудован舆††††††††

 

 

 

 

 

A.9.2.1.††† –азмещение

оборудован舆† 膆 его

защита†††††††††††††††

††† X††

X††

¬озмож-

н††

X††

 

A.9.2.2.†††††††††††††

¬спомогательно円††††

оборудовани円†††††††

††† X††

X††

¬озмож-

н††

X††

 

A.9.2.3.Ѕезопасность

кабельной системы††††

††† X††

 

 

X††

 

A.9.2.4.ќбслуживание

оборудован舆††††††††

††† X††

 

 

 

 

A.9.2.5.Ѕезопасность

дистанционног†††††

оборудован舆††††††††

††† X††

X††

¬озмож-

н††

 

Ўифрование порта-

тивных (переносных)

устройстↆ†††††††

A.9.2.6.††† Ѕезопасное

устранение или повтор-

ное использовани円††

оборудован舆††††††††

††† X††

X††

¬озмож-

н††

X††

 

A.9.2.7.††† Ћиквидаци€

собственност膆††††††

††† X††

 

 

 

 

A.10.†††††† ”правление

коммуникаци€м膆 иих

работо醆††††††††††††

 

 

 

 

 

A.10.1. Ёксплуатацион-

ные процедуры††††††††

и об€занност膆††††††

 

 

 

 

 

A.10.1.1. ƒокументаль-

но оформленны円†††††

способы эксплуатации

††† X††

 

 

 

 

A.10.1.2.†† ”правление

изменени€м膆††††††††

††† X††

X††

–еко-

менду-

етс€††

 

 

A.10.1.3. –аспределе-

ние об€занносте醆†††

††† X††

 

 

 

 

A.10.1.4.†† –азделение

разработки,испытани€

膆†††††††††† рабочего

оборудован舆††††††††

††† X††

X††

¬озмож-

н††

 

 

A.10.2.†††† ”правление

доставко醆††††† услуг

третьей стороно醆†††

 

 

 

 

 

A.10.2.1.†††† ƒоставка

услуㆆ††††††††††††††

††† X††

 

 

 

 

A.10.2.2.†† ћониторинг

膆† проверка††† услуг

третьей стороны††††††

††† X††

X††

¬озмож-

н††

 

 

A.10.2.3.†† ћенеджмент

изменени€м膆††† услуг

третьей стороны††††††

 

††† X††

 

 

 

 

A.10.3.†† ѕланирование

и приемка системы††††

 

 

 

 

 

A.10.3.1.†† ”правление

пропускно醆†††††††††

способностью†††††††††

††† X††

X††

¬озмож-

н††

 

 

A.10.3.2.††††† ѕриемка

системы††††††††††††††

††† X††

 

 

 

 

A.10.4. «ащита†††††††

от вредоносного прог-

раммного обеспечени€

и мобильных программ

 

 

 

 

 

A.10.4.1. —редства†††

контрол€ в отношении

вредоносного прог-†††

раммного обеспечени€

††† X††

X††

–еко-

менду-

етс€††

 

¬ыборка серверов,

настольных компью-

теров, межсетевых

интерфейсоↆ†††††

A.10.4.2.†††† —редства

контрол€вотношении

мобильных програм솆†

††† X††

X††

¬озмож-

н††

 

 

A.10.5. –езервирование

 

 

 

 

 

A.10.5.1. –езервиро-

вание информаци膆†††

††† X††

X††

–еко-

менду-

етс€††

 

ѕопытатьс€††††††††

восстановить††††††

A.10.6.†††† ”правление

защитой сет膆†††††††

 

 

 

 

 

A.10.6.1.†††† —редства

контрол€ сет膆††††††

††† X††

X††

¬озмож-

н††

 

 

A.10.6.2. Ѕезопасность

сетевых услуㆆ††††††

††† X††

 

 

 

—оглашени€ об уров-

не сервиса, функции

безопасност膆††††

A.10.7.ќбращени円 с

носител€ми информации

 

 

 

 

 

A.10.7.1.†† ”правление

съемным膆† носител€ми

информаци膆†††††††††

††† X††

X††

¬озмож-

н††

 

 

A.10.7.2.”ничтожение

носителей информации

††† X††

 

 

 

 

A.10.7.3.††† ѕроцедуры

обработки информации

††† X††

 

 

 

 

A.10.7.4. Ѕезопасность

документации системы

††† X††

X††

¬озмож-

н††

X††

 

A.10.8.††††††††† ќбмен

информацие醆††††††††

 

 

 

 

 

A.10.8.1.†††† ѕолитики

膆 процедуры†† обмена

информацие醆††††††††

††† X††

 

 

 

 

A.10.8.2.†† —оглашени€

об обмен円††††††††††

††† X††

 

 

 

 

A.10.8.3.†† ‘изические

носител膆† информации

в процессе передач膆

††† X††

X††

¬озмож-

н††

 

Ўифровани円††† или

физическа€ защита

A.10.8.4.Ёлектронный

обмен сообщени€м膆††

††† X††

X††

¬озмож-

н††

 

ѕодтвердить, чт

выборочные сообще-

ни€ соответствуют

политике/†††††††††

процедура솆††††††

A.10.8.5.††††† —истемы

бизнес-информаци膆††

††† X††

 

 

 

 

A.10.9.†††††††† ”слуги

электронной коммерции

 

 

 

 

 

A.10.9.1.Ёлектронна€

коммерц舆†††††††††††

††† X††

X††

¬озмож-

н††

 

 

A.10.9.2.†† —делк膆 в

режиме он-лай톆†††††

††† X††

X††

–еко-

менду-

етс€††

 

ѕроверить: целост-

ность, авторизацию

доступа†††††††††††

A.10.9.3. ќбщедоступ-

на€ информац舆††††††

††† X††

X††

¬озмож-

н††

 

 

A.10.10. ћониторинㆆ

 

 

 

 

 

A.10.10.1.†††† ¬едение

регистрации аудита†††

††† X††

X††

¬озмож-

н††

 

ќн-лай톆†††††† или

печатна€††††††††††

A.10.10.2.ћониторинг

использовани€ системы

††† X††

X††

¬озмож-

н††

 

 

A.10.10.3.††††† «ащита

информаци膆† журналов

регистраци膆††††††††

††† X††

X††

¬озмож-

н††

 

 

A.10.10.4. ∆урналы†††

регистрации де€тель-

ности администраторов

и оператороↆ†††††††

††† X††

X††

¬озмож-

н††

 

 

A.10.10.5.†††††††††††

‘иксирование ошибоꆆ

††† X††

 

 

 

 

A.10.10.6.†††††††††††

—инхронизаци€ часоↆ

 

X††

¬озмож-

н††

 

 

A.11.  онтроль доступа

 

 

 

 

 

A.11.1.†††† “ребовани€

бизнеса†† ꆆ контролю

доступа††††††††††††††

 

 

 

 

 

A.11.1.1.†††† ѕолитика

контрол€ доступа†††††

††† X††

 

 

 

 

A.11.2.†††† ”правление

доступом пользователей

 

 

 

 

 

A.11.2.1.–егистраци€

пользователе醆††††††

††† X††

 

 

 

¬ыбрать сотрудни-

ков/подр€дчикоↆ†

дл€ проверк膆††††

наличи€ разрешений

всех прав доступа

ко всем система솆

A.11.2.2.†† ”правление

привилеги€м膆†††††††

††† X††

X††

¬озмож-

н††

 

¬нутренне円††††††

перемещение штата

A.11.2.3.†† ”правление

парол€ми пользователей

††† X††

 

 

 

 

A.11.2.4.††† ѕересмотр

праↆ†††††††† доступа

пользователе醆††††††

††† X††

 

 

 

 

A.11.3.††† ќб€занности

пользователе醆††††††

 

 

 

 

 

A.11.3.1.††††††††††††

»спользование паролей

††† X††

 

 

 

ѕроверить руко-†††

водства/политику††

дл€ пользователей

A.11.3.2. ќборудова-

ние, не обслуживаемое

пользователе솆††††††

††† X††

 

 

 

ѕроверить руко-†††

водства/политику††

дл€ пользователей

A.11.3.3.†††† ѕолитика

чистого рабочего стола

и чистого экрана†††††

††† X††

 

 

X††

 

A.11.4.††††††  онтроль

доступа к сет膆†††††

 

 

 

 

 

A.11.4.1.†††† ѕолитика

использовани€сетевых

услуㆆ††††††††††††††

††† X††

 

 

 

 

A.11.4.2. јутентифика-

ци€ пользовател€ дл€

внешних соединени醆†

††† X††

X††

–еко-

менду-

етс€††

 

 

A.11.4.3. »дентифика-

ци€ оборудовани€ сетей

 

X††

 

 

 

A.11.4.4. «ащита дис-

танционной диагностики

и порта конфигурации

 

X††

–еко-

менду-

етс€††

 

 

A.11.4.5.†† –азделение

в сет€х††††††††††††††

††† X††

X††

¬озмож-

н††

 

—етевые графики:††

глобальна€ сеть,††

локальна€ сеть,†††

виртуальна€ локаль-

на€ сеть, виртуаль-

на€ частна€ сеть,

сетевые объекты,††

сегменты сет膆†††

(например,демили-

таризованна€ зона)

A.11.4.6.††††  онтроль

сетевых соединени醆†

††† X††

X††

–еко-

менду-

етс€††

 

—овместн†††††††

используемые сети,

малораспространен-

ные сет膆††††††††

A.11.4.7.††††  онтроль

маршрутизации в сети

††† X††

X††

–еко-

менду-

етс€††

 

ћежсетевыеэкраны,

маршрутизаторы/†††

переключатели: база

правил,††††† списки

управлен舆†††††††

доступом,политики

управлени€ доступом

A.11.5.  онтроль†††††

доступа к операцион-

ным система솆†††††††

 

 

 

 

 

A.11.5.1.††† ѕроцедуры

безопасног††† входа

в систем󆆆†††††††††

††† X††

X††

–еко-

менду-

етс€††

 

 

A.11.5.2. »дентифика-

ци€ и аутентификаци€

пользователе醆††††††

††† X††

X††

–еко-

менду-

етс€††

 

 

A.11.5.3.††††† —истема

управлени€ парол€м膆

††† X††

X††

–еко-

менду-

етс€††

 

 

A.11.5.4.††††††††††††

»спользовани円††††††

системных утилит†††††

††† X††

X††

–еко-

менду-

етс€††

 

 

A.11.5.5.††††††† Ћимит

времени в сеансе св€зи

††† X††

X††

¬озмож-

н††

X††

 

A.11.5.6.ќграничение

времени соединен舆††

††† X††

X††

¬озмож-

н††

X††

 

A.11.6.†††† ”правление

доступом к информации

 

 

 

 

 

A.11.6.1.ќграничение

доступа к информации

††† X††

X††

–еко-

менду-

етс€††

 

 

A.11.6.2.†††† »зол€ци€

секретной системы††††

††† X††

X††

¬озмож-

н††

 

 

A.11.7.††††† ћобильные

компьютерны円†† среды

и дистанционна€ работа

 

 

 

 

 

A.11.7.1.††† ћобильные

компьютерны円†† среды

и коммуникаци膆†††††

††† X††

X††

¬озмож-

н††

 

 

A.11.7.2.††††††††††††

ƒистанционна€ работа

††† X††

X††

¬озмож-

н††

 

 

A.12. ѕриобретение,††

разработка и обслужи-

вание информационных

систе솆†††††††††††††

 

 

 

 

 

A.12.1. “ребован舆††

безопасности информа-

ционных систе솆†††††

 

 

 

 

 

A.12.1.1. јнали熆†††

и подробное изложение

требований безопас-††

ност膆††††††††††††††

††† X††

 

 

 

 

A.12.2.†††† ѕравильна€

обработка†† данных†† в

прикладных программах

 

 

 

 

 

A.12.2.1. ѕодтвержде-

ние правильност膆†††

входных данных†††††††

††† X††

X††

–еко-

менду-

етс€††

 

–уководства по раз-

работке програм-††

много обеспечени€,

тестировани円††††

программных†††††††

средств;††††††††††

подтвердить†††††††

в выборке бизнес-

приложений,†††††††

что средства конт-

рол€, требующиес€

пользовател€м,††††

существуют††††††††

на практик円†††††

A.12.2.2.†† ”правление

внутренней обработкой

††† X††

X††

¬озмож-

н††

 

ѕринципы разработки

программных†††††††

средств,††††††††††

тестировани円††††

программных†††††††

средств;††††††††††

подтвердить†††††††

в выборке бизнес-

приложений,†††††††

что требующиес€†††

пользовател€м†††††

средства контрол€

существуют††††††††

на практик円†††††

A.12.2.3.÷елостность

сообщени醆††††††††††

 

X††

¬озмож-

н††

 

 

A.12.2.4. ѕодтвержде-

ние правильност膆†††

выходных данных††††††

††† X††

X††

¬озмож-

н††

 

–уководства†††††††

по разработк円†††

программног††††

обеспечени€,††††††

тестировани円††††

программных†††††††

средств;††††††††††

подтвердить†††††††

в выборк円†††††††

бизнес-приложений,

что средства††††††

контрол€,†††††††††

требующиес€†††††††

пользовател€м,††††

существуют††††††††

на практик円†††††

A.12.3.  риптографи-

ческие средства††††††

контро눆††††††††††††

 

 

 

 

 

A.12.3.1. ѕолитика†††

использовани€ крипто-

графических средстↆ

контро눆††††††††††††

††† X††

X††

¬озмож-

н††

 

ѕроверить†††† также

внедрение политики,

где это необходимо

A.12.3.2.††††††††††††

–аспределение ключей

††† X††

X††

–еко-

менду-

етс€††

 

 

A.12.4.†† Ѕезопасность

системных файлоↆ†††

 

 

 

 

 

A.12.4.1.  онтроль†††

системного програм-††

много обеспечен舆†††

††† X††

X††

¬озмож-

н††

 

 

A.12.4.2.†††††† «ащита

данных†††††† испытаний

системы††††††††††††††

††† X††

X††

¬озмож-

н††

X††

 

A.12.4.3.††††  онтроль

доступа†††† ꆆ†† коду

источника программы††

††† X††

X††

–еко-

менду-

етс€††

 

 

A.12.5.††† ќбеспечение

безопасности в про-††

цессах разработк膆††

и поддержк膆††††††††

 

 

 

 

 

A.12.5.1.††† ѕроцедуры

контрол€ изменени醆†

††† X††

 

 

 

 

A.12.5.2.“ехническа€

проверка††† приложений

посл円 изменени醆† в

операционной системе

††† X††

 

 

 

 

A.12.5.3.ќграничени€

п††††††† изменени€м

в программных пакетах

†† X††

 

 

 

 

A.12.5.4.†††††† ”течка

информаци膆†††††††††

††† X††

X††

¬озмож-

н††

 

Ќеизвестные услуги

A.12.5.5. –азработка

программного обеспе-

чени€ аутсорсинга††††

††† X††

 

 

 

 

A.12.6.†††† ”правление

техническо醆††††††††

у€звимостью††††††††††

 

 

 

 

 

A.12.6.1.††††  онтроль

технических††††††††††

у€звимосте醆††††††††

††† X††

X††

–еко-

менду-

етс€††

 

–аспределени円†††

патче醆††††††††††

A.13. ћенеджмент†††††

инцидентов информа-††

ционной безопасности

 

 

 

 

 

A.13.1.††† —оставление

отчетоↆ особыти€х,

св€занных†††† с††† »Ѕ,

и слабых местах††††††

 

 

 

 

 

A.13.1.1.—оставление

отчетоↆ особыти€х,

св€занных с »Ѕ†††††††

††† X††

 

 

 

 

A.13.1.2.—оставление

отчетоↆ† † слабых

местах безопасност膆

††† X††

 

 

 

 

A.13.2.†††† ћенеджмент

инцидентоↆ††††††† »Ѕ

и улучшени醆††††††††

 

 

 

 

 

A.13.2.1.ќб€занности

и процедуры††††††††††

††† X††

 

 

 

 

A.13.2.2.†† »звлечение

уроковизинцидентов

»Ѕ†††††††††††††††††††

††† X††

 

 

 

 

A.13.2.3. —бор данных

††† X††

 

 

 

 

A.14.†††††† ”правление

непрерывностью бизнеса

 

 

 

 

 

A.14.1. јспекты »Ѕ†††

управлени€ непрерыв-

ностью бизнеса†††††††

 

 

 

 

ѕротоколы†† анализа

с††††††† стороны

руководства†††††††

A.14.1.1. ¬ключени円

безопасности в про-††

цесс управлен舆†††††

непрерывностью бизнеса

††† X††

 

 

 

 

A.14.1.2.ќбеспечение

непрерывностибизнеса

и оценка риска†††††††

††† X††

 

 

 

 

A.14.1.3.†† –азработка

膆 реализаци€планов

непрерывности бизнеса,

включа€ »Ѕ†††††††††††

††† X††

X††

¬озмож-

н††

X††

»нспекци€ объектов

дл€ восстановлени€

после бедстви€,†††

удаленность объек-

тов дл€восстанов-

лени€ посл円†††††

бедстви€ в††††††††

соответстви膆††††

с оценкой риска†††

и применимым膆†††

правовыми/††††††††

регулирующим膆†††

требовани€м膆††††

A.14.1.4. ќснова†††††

планировани€ непрерыв-

ности бизнеса††††††††

††† X††

 

 

 

 

A.14.1.5. “естирование

поддержани€ и повтор-

ной оценки планоↆ††

непрерывности бизнеса

††† X††

 

 

 

 

A.15. —оответстви円†

 

 

 

 

 

A.15.1.†† —оответствие

правовым требовани€м

 

 

 

 

 

A.15.1.1. ќпределение

применимого законода-

тельства†††††††††††††

††† X††

 

 

 

 

A.15.1.2. ѕрава†††† на

интеллектуальную†††††

собственность††††††††

††† X††

 

 

 

 

A.15.1.3.†††††† «ащита

документов организации

††† X††

X††

¬озмож-

н††

 

 

A.15.1.4.†††††† «ащита

данныхиобеспечение

конфиденциальност膆†

личной информаци膆††

††† X††

X††

¬озмож-

н††

 

 

A.15.1.5.††††††††††††

ѕредотвращени円†††††

неправильног††††††

использовани€средств

обработки информации

††† X††

 

 

 

 

A.15.1.6.††††††††††††

–егулировани円††††††

криптографических††††

средств контро눆††††

††† X††

 

 

 

 

A.15.2. —оответствие

политикам и стандартам

безопасности и техни-

ческое соответстви円

 

 

 

 

 

A.15.2.1. —оответствие

политикам и стандартам

безопасност膆†††††††

††† X††

 

 

 

 

A.15.2.2.†††† ѕроверка

техническог†††††††

соответств舆††††††††

††† X††

X††

 

 

ќценить†††† процесс

膆† дополнительные

данны円††††††††††

A.15.3.†† –ассмотрение

аудитаинформационных

систе솆†††††††††††††

 

 

 

 

 

A.15.3.1.†††† —редства

контро눆†††††† аудита

информационных систем

††† X††

 

 

 

 

A.15.3.2. «ащита ин-

струментальных средств

аудита информационных

систе솆†††††††††††††

††† X††

X††

¬озмож-

н††

 

 

 

 

 

 

 

ѕриложение E

(об€зательное)

 

—¬≈ƒ≈Ќ»я ќ —ќќ“¬≈“—“¬»» Ќј÷»ќЌјЋ№Ќџ’ —“јЌƒј–“ќ¬

–ќ——»…— ќ… ‘≈ƒ≈–ј÷»» ——џЋќ„Ќџћ ћ≈∆ƒ”Ќј–ќƒЌџћ —“јЌƒј–“јћ

 

“аблица E.1

 

┌──────────────────┬────────┬─────────────────────────────────────────────┐

††† ќбозначени円 │—тепень │ ќбозначение и наименование соответствующего │

††† ссылочног† │соответ-│††††††††††† национального стандарта†††††††††

международного│ств舆† ††††††††††††††††††††††††††††††††††††††††††††

††† стандарта†††† ††††††† ††††††††††††††††††††††††††††††††††† †††††††††

├──────────────────┼────────┼─────────────────────────────────────────────┤

│»—ќ 9000:2005†††† IDT†† √ќ—“ –»—ќ9000-2008—истемы†† менеджмента│

††††††††††††††††† ††††††† │качества. ќсновные положени€ и словарь††††††

├──────────────────┼────────┼─────────────────────────────────────────────┤

│»—ќ 9001:2008†††† IDT†† √ќ—“ –»—ќ9001-2008—истемы†† менеджмента│

††††††††††††††††† ††††††† │качества. “ребован舆†††††††††††††††††††††††

├──────────────────┼────────┼─────────────────────────────────────────────┤

│»—ќ/ћЁ  17021:2006│IDT†† √ќ—“†† »—ќ/ћЁ ††† 17021-2008†††† ќценка††

††††††††††††††††† ††††††† │соответстви€.†††† “ребован舆†† ꆆ† органам,│

††††††††††††††††† ††††††† │провод€щи솆 аудит†† 膆 сертификациюсистем│

††††††††††††††††† ††††††† │менеджмента†††††††††††††††††††††††††††††††††

├──────────────────┼────────┼─────────────────────────────────────────────┤

│»—ќ 19011:2002††† IDT†† √ќ—“ – »—ќ 19011-2003 –уковод€щие указани€ по│

†††††††††††† †††††††††††† │аудитусистемменеджмента†† качестваи/или│

††††††††††††††††† ††††††† │систем экологического менеджмента†††††††††††

├──────────────────┼────────┼─────────────────────────────────────────────┤

│»—ќ/ћЁ  27001:2005│IDT†† √ќ—“ –»—ќ/ћЁ †† 27001-2006†† »нформационна€│

††††††††††††††††† ††††††† │технологи€.ћетодыисредстваобеспечени€│

††††††††††††††††† ††††††† │безопасности.†††††† —истемы†††††† менеджмента│

††††††††††††††††† ††††††† │информационной безопасности. “ребован舆††††

├──────────────────┴────────┴─────────────────────────────────────────────┤

††† ѕримечание: внасто€ще醆 таблицеиспользованоследующееусловное│

│обозначение степени соответстви€ стандартов:††††††††††††††††††††††††††††

††† - IDT - идентичные стандарты.†††††††††††††††††††††††††††††††††††††††

└─────────────────────────────────────────────────────────────────────────┘