ГОСТ Р ИСО/МЭК 27006-2020 Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности

Обложка ГОСТ Р ИСО/МЭК 27006-2020 Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности
Обозначение
ГОСТ Р ИСО/МЭК 27006-2020
Наименование
Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности
Статус
Действует
Дата введения
2021.01.07
Дата отмены
-
Заменен на
-
Код ОКС
03.120.20

ГОСТ Р ИСО/МЭК 27006-2020

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии. Методы и средства обеспечения безопасности

ТРЕБОВАНИЯ К ОРГАНАМ, ОСУЩЕСТВЛЯЮЩИМ АУДИТ И СЕРТИФИКАЦИЮ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems

ОКС 03.120.20

Дата введения 2021-07-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием "Российский научно-технический центр информации по стандартизации, метрологии и оценке соответствия" (ФГУП "") совместно с Обществом с ограниченной ответственностью "Агентство независимых экспертиз в сфере технического регулирования" на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 079 "Оценка соответствия"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 8 сентября 2020 г. N 628-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27006:2015* "Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности" (ISO/IEC 27006:2015 "Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - .

Изменение к указанному международному стандарту, принятое после его официальной публикации, внесено в текст настоящего стандарта и выделено двойной вертикальной линией, расположенной на полях напротив соответствующего текста, а обозначение и год принятия изменения приведены в скобках после соответствующего текста.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВЗАМЕН ГОСТ Р ИСО/МЭК 27006-2008

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Международный стандарт ИСО/МЭК 17021-1 содержит критерии для органов, осуществляющих аудит и сертификацию систем менеджмента организаций. При аккредитации указанных органов на соответствие требованиям ИСО/МЭК 17021-1 в части проведения аудита и сертификации систем менеджмента информационной безопасности (СМИБ) по ИСО/МЭК 27001:2013, необходимо учитывать дополнительные требования и руководящие указания по применению ИСО/МЭК 17021-1. Данная информация представлена в настоящем стандарте.

Текст настоящего стандарта повторяет структуру ИСО/МЭК 17021-1, а дополнительные требования, характерные для СМИБ, и руководящие указания по применению ИСО/МЭК 17021-1 для сертификации СМИБ обозначаются аббревиатурой "ИБ".

Термин "должен" используется в тексте настоящего стандарта для указания тех условий, которые, отражая требования ИСО/МЭК 17021-1 и ИСО/МЭК 27001, являются обязательными. Термин "следует" используется для обозначения рекомендаций.

Цель настоящего стандарта - предоставление возможности для органов по аккредитации более эффективно применять стандарты, по которым они обязаны оценивать органы по сертификации.

Примечание - В настоящем стандарте термины "система менеджмента" и "система" используются, заменяя друг друга. Определение системы менеджмента представлено в ИСО/МЭК 9000:2005. Систему менеджмента, применяемую в настоящем стандарте, не следует путать с другими типами систем, такими как системы информационных технологий.

1 Область применения

Настоящий стандарт устанавливает требования и предоставляет руководство для органов, осуществляющих аудит и сертификацию системы менеджмента информационной безопасности (СМИБ), в дополнение к требованиям, содержащимся в ИСО/МЭК 17021-1 и ИСО/МЭК 27001. В первую очередь стандарт предназначен для аккредитации органов по сертификации, осуществляющих сертификацию СМИБ.

Любой орган, осуществляющий сертификацию СМИБ, должен соответствовать требованиям, содержащимся в настоящем стандарте, на основе компетентности и надежности аккредитованного лица, а содержащиеся в стандарте руководящие указания - обеспечивать дополнительную интерпретацию этих требований к органу, осуществляющему сертификацию СМИБ.

Примечание - Настоящий стандарт допускается использовать в качестве документа, содержащего критерии для аккредитации, экспертной оценки или других процессов аудита.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).

ISO/IEC 17021-1:2015, Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 1: Requirements (Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования)

ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и словарь)

ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements (Информационная технология. Методы обеспечения защиты. Системы обеспечения информационной безопасности. Требования)

3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 17021-1, ИСО/МЭК 27000, а также следующий термин с соответствующим определением:

3.1 документы по сертификации (certification documents): Документы, указывающие на то, что СМИБ организации-заказчика соответствует стандартам СМИБ и дополнительной документации, требуемой в соответствии с указанной системой.

4 Принципы

Применяют принципы ИСО/МЭК 17021-1, раздел 4.

5 Общие требования

5.1 Правовые и договорные вопросы

Применяют требования ИСО/МЭК 17021-1, подраздел 5.1.

5.2 Управление беспристрастностью

Применяют требования ИСО/МЭК 17021-1, подраздел 5.2. Кроме того, применяют следующие требования и руководящие указания, дополняющие требования ИСО/МЭК 17021-1 в части сертификации СМИБ.

5.2.1 ИБ 5.2 Конфликт интересов

Органы по сертификации могут выполнять следующие виды работ, при этом они не рассматриваются как консультанты или лица, имеющие потенциальный конфликт интересов:

a) организация и участие в качестве преподавателя в учебных курсах при условии, что если эти курсы связаны с менеджментом информационной безопасности, взаимосвязанными системами менеджмента или аудитом, то органы по сертификации должны ограничиваться предоставлением общей информации и рекомендаций, которые являются общедоступными, т.е. они не должны предоставлять рекомендации для конкретной компании, что противоречит требованиям перечисления b);

b) предоставление или публикация по запросу информации, описывающей толкование органом по сертификации требований стандартов по сертификационному аудиту (см. 9.1.3.6);

c) деятельность до аудита, направленная исключительно на определение готовности к сертификационному аудиту; однако подобная деятельность не должна приводить к предоставлению рекомендаций или консультаций, противоречащих данному пункту, и орган по сертификации должен иметь возможность подтвердить, что подобная деятельность не противоречит указанным требованиям и не используется для обоснования сокращения возможной продолжительности сертификационного аудита;

d) проведение аудитов второй и третьей сторонами в соответствии со стандартами или правилами, отличными от тех, которые входят в область аккредитации;

e) повышение значимости сертификационного аудита и инспекционного контроля, например путем определения возможностей для улучшения, которые становятся очевидными в ходе аудита, без рекомендаций относительно конкретных решений.

Орган по сертификации не должен проводить внутренние аудиты СМИБ организации-заказчика. Кроме того, орган по сертификации должен быть независимым от органа или органов (включая любых физических лиц), которые проводят внутренний аудит СМИБ.

5.3 Обязательства и финансирование

Применяют требования ИСО/МЭК 17021-1, пункт 5.3.

6 Требования к структуре

Применяют требования ИСО/МЭК 17021-1, раздел 6.

7 Требования к ресурсам

7.1 Компетентность персонала

Применяются требования ИСО/МЭК 17021-1, подраздел 7.1. Кроме того, применяются следующие требования и руководящие указания, дополняющие требования ИСО/МЭК 17021-1 в части сертификации СМИБ.

7.1.1 ИБ 7.1.1 Общие положения

7.1.1.1 Общие требования к компетентности

Орган по сертификации должен обеспечивать уверенность в том, что он обладает знанием технологических, правовых и нормативных вопросов, относящихся к СМИБ организации-заказчика, оценку которой он осуществляет.

Орган по сертификации должен определять требования к компетентности персонала для выполнения каждой функции по сертификации, указанной в таблице А.1 ИСО/МЭК 17021-1. Орган по сертификации должен учитывать все требования, указанные в ИСО/МЭК 17021-1 и пунктах 7.1.2 и 7.2.1 настоящего стандарта, относящиеся к техническим областям СМИБ, определенным органом по сертификации.

Примечание - Приложение А содержит краткое изложение требований к компетентности персонала, выполняющего определенные функции по сертификации.

7.1.2 ИБ 7.1.2 Определение критериев компетентности

7.1.2.1 Требования к компетентности для проведения аудита СМИБ

7.1.2.1.1 Общие требования

Орган по сертификации должен иметь критерии с целью оценивания предыдущего опыта, специальной подготовки или проводить инструктажи для участников аудиторской группы, обеспечивающие как минимум следующее:

a) знания в области информационной безопасности;

b) технические знания о деятельности, подлежащей аудиту;

c) знание систем менеджмента;

d) знание принципов аудита.

Примечание - Дополнительную информацию о принципах аудита см. в [1];

e) знание мониторинга, измерения, анализа и оценки СМИБ.

Примечание - Указанные выше требования перечислений a)-e) применимы ко всем аудиторам - участникам аудиторских групп, за исключением перечисления b), обязанности по которому аудиторы - участники аудиторской группы могут разделить между собой.

Аудиторская группа должна быть компетентной и уметь отслеживать индикаторы инцидентов информационной безопасности в СМИБ организации-заказчика вплоть до соответствующих отдельных элементов СМИБ.

Аудиторская группа должна иметь соответствующий опыт работы по указанным выше перечислениям и навыки практического применения этих элементов (это не означает, что аудитору необходимо владеть полным диапазоном навыков и опыта по всем направлениям информационной безопасности, но в целом вся аудиторская группа должна иметь достаточно знаний и опыта для того, чтобы охватить область проверки СМИБ).

7.1.2.1.2 Терминология, принципы, практические методики и средства менеджмента информационной безопасности

В совокупности все участники аудиторской группы должны знать:

a) структуру документации СМИБ, иерархию и взаимоотношения в системе;

b) инструменты менеджмента информационной безопасности, средства и методику их применения;

c) подходы к оценке рисков информационной безопасности и управление рисками;

d) процессы, применимые к СМИБ;

e) существующие технологии, где информационная безопасность может иметь особое значение или может вызывать проблемы.

Каждый аудитор должен быть компетентным по перечислениям a), c) и d).

7.1.2.1.3 Стандарты и нормативные правовые акты системы менеджмента информационной безопасности

Аудиторы, участвующие в процессе аудита СМИБ, должны знать:

a) все требования, содержащиеся в ИСО/МЭК 27001.

В совокупности все участники аудиторской группы должны знать:

b) все меры обеспечения, содержащиеся в ИСО/МЭК 27002 (а если это определено, при необходимости, также из отраслевых стандартов), и их применение в следующей классификации:

1) политики информационной безопасности;

2) организация информационной безопасности;

3) кадровая безопасность;

4) управление активами;

5) контроль доступа, включая авторизацию;

6) криптография;

7) физическая защита и защита от воздействия окружающей среды;

8) производственная безопасность, включая услуги ИТ-сервисов;

9) безопасность коммуникаций, включая менеджмент безопасности информационных сетей и передачи информации;

10) процессы приобретения систем, их развития и технического обслуживания;

11) взаимоотношения с поставщиками, включая услуги сторонних организаций;

12) управление инцидентами информационной безопасности;

13) аспекты информационной безопасности менеджмента устойчивого развития бизнеса, включая резервирование систем;

14) соблюдение требований, включая проверку соблюдения информационной безопасности.

7.1.2.1.4 Практики менеджмента бизнеса

Аудиторы, участвующие в аудите СМИБ, должны знать:

a) передовые отраслевые методики и процедуры по обеспечению информационной безопасности;

b) политики и бизнес-требования к информационной безопасности;

c) общие концепции менеджмента бизнеса, практические методики и взаимоотношения между политикой, целями и результатами;

d) процессы менеджмента и соответствующую терминологию.

Примечание - К указанным процессам также относятся управление персоналом, внешний и внутренний обмен информацией и другие соответствующие вспомогательные процессы.

7.1.2.1.5 Сектор бизнеса организаций-заказчиков

Аудиторы, участвующие в аудите СМИБ, должны знать:

a) правовые и нормативные требования в конкретной области информационной безопасности, а также особенности географического расположения и юрисдикции.

Примечание - Знание правовых и нормативных требований не предполагает наличия углубленной правовой базы;

b) риски информационной безопасности, относящиеся к указанному бизнес-сектору;

c) общую терминологию, процессы и технологии, относящиеся к бизнес-сектору организации-заказчика;

d) соответствующие практические методики указанного бизнес-сектора.

Задачи в рамках перечисления а) аудиторы могут разделить между собой.

7.1.2.1.6 Продукция, процессы и структура организации-заказчика

В совокупности аудиторы, участвующие в аудите СМИБ, должны знать:

a) влияние типа, размера, системы управления, структуры, функций и их взаимоотношений на разработку и внедрение СМИБ, а также деятельность по сертификации, включая услуги сторонних лиц;

b) совокупность видов производственной деятельности в широкой перспективе;

c) правовые и нормативные требования, применимые к продукции или услугам.

7.1.2.2 Требования к компетентности руководителя аудиторской группы СМИБ

В дополнение к требованиям 7.1.2.1 руководители аудиторских групп должны отвечать следующим требованиям, которые должны быть продемонстрированы во время аудитов, проводимых под соответствующим руководством и контролем:

a) знания и навыки для управления процессом сертификационного аудита и аудиторской группой;

b) демонстрация способности к эффективной коммуникации, как устной, так и письменной.

7.1.2.3 Требования к компетентности персонала, отвечающего за рассмотрение заявки

7.1.2.3.1 Стандарты и нормативные документы системы менеджмента информационной безопасности

Персонал, проводящий рассмотрение заявки для определения необходимой компетентной аудиторской группы, выбора участников аудиторской группы и определения общей продолжительности/трудоемкости аудита, должен знать:

a) соответствующие стандарты СМИБ и другие нормативные документы, используемые в процессе сертификации.

7.1.2.3.2 Бизнес-сектор организации-заказчика

Персонал, проводящий рассмотрение заявки для определения необходимой компетентности аудиторской группы, выбора участников аудиторской группы и определения общей продолжительности/трудоемкости аудита, должен знать:

a) общую терминологию, процессы, технологию и риски, относящиеся к бизнес-сектору организации-заказчика.

7.1.2.3.3 Продукция, процессы и структура организации-заказчика

Персонал, проводящий рассмотрение заявки для определения необходимой компетентной аудиторской группы, выбора участников аудиторской группы и определения общей продолжительности/трудоемкости аудита, должен знать:

a) продукцию организации-заказчика, ее процессы, типы ее организации, размер, систему управления, структуру, функции и взаимоотношения при разработке и внедрении СМИБ и деятельности по сертификации, включая функции привлечения сторонних организаций.

7.1.2.4 Требования к компетентности персонала, отвечающего за анализ аудиторских отчетов и принятие решений по сертификации

7.1.2.4.1 Общие требования

Персонал, выполняющий анализ аудиторских отчетов и принимающий решения о сертификации, должен обладать знаниями, позволяющими им осуществлять проверку соответствия области сертификации, а также изменений в этой области и влияния указанных изменений на эффективность аудита, в частности на непрерывность процесса выявления взаимосвязей и взаимозависимостей, а также соответствующих рисков.

Кроме того, персонал, выполняющий анализ аудиторских отчетов и принимающий решения о сертификации, должен знать:

a) общие основы систем менеджмента в целом;

b) процессы и процедуры аудита;

c) принципы, практики и технологии аудита.

7.1.2.4.2 Терминология, принципы, практики и технологии менеджмента информационной безопасности

Персонал, выполняющий анализ аудиторских отчетов и принимающий решения о сертификации, должен знать:

a) информацию, приведенную в 7.1.2.1.2, перечисления a), c) и d);

b) правовые и нормативные требования, относящиеся к информационной безопасности.

7.1.2.4.3 Стандарты и нормативные документы системы менеджмента информационной безопасности

Персонал, выполняющий анализ аудиторских отчетов и принимающий решения о сертификации, должен знать:

a) соответствующие стандарты СМИБ и другие нормативные документы, применяемые в процессе сертификации.

7.1.2.4.4 Бизнес-сектор организации-заказчика

Персонал, выполняющий анализ аудиторских отчетов и принимающий решения о сертификации, должен знать:

a) общую терминологию и риски, связанные с соответствующей практической деятельностью в бизнес-секторе.

7.1.2.4.5 Продукция, процессы и структура организации-заказчика

Персонал, выполняющий анализ аудиторских отчетов и принимающий решения о сертификации, должен знать:

a) продукцию организации-заказчика, процессы, тип и размер организации, систему управления, структуру, функции и их взаимоотношения.

7.2 Персонал, участвующий в деятельности по сертификации

Применяют требования ИСО/МЭК 17021-1, подраздел 7.2. Кроме того, применяют следующие требования и руководящие указания, дополняющие требования ИСО/МЭК 17021-1 в части сертификации СМИБ.

7.2.1 ИБ 7.2 Демонстрация знаний и опыта аудитора

Орган по сертификации должен продемонстрировать наличие у аудиторов знаний и опыта посредством:

a) признанных квалификаций, относящихся к СМИБ;

b) регистрации (сертификации) их в качестве аудиторов, где это применимо;

c) участия в учебных курсах СМИБ и получения соответствующих подтверждающих документов;

d) ведения записей о повышении уровня профессиональной квалификации;

e) участия в аудитах СМИБ, засвидетельствованных другим аудитором СМИБ.

7.2.1.1 Выбор аудиторов

В дополнение к положениям 7.1.2.1 критерии отбора аудиторов должны гарантировать, что каждый аудитор:

a) имеет профессиональное образование или прошел подготовку до уровня, эквивалентного высшему образованию;

b) имеет не менее четырех лет опыта практической работы в штатной должности в области информационной технологии, из которых не менее двух лет в роли или функции, относящейся к информационной безопасности;

c) успешно прошел по крайней мере пять дней обучения, объем которого охватывает аудиты СМИБ и управление аудитом;

d) приобрел опыт аудита СМИБ, прежде чем выступать в качестве аудитора в аудите СМИБ. Указанный опыт должен быть приобретен путем проведения в качестве обучающегося аудитора под наблюдением оценщика СМИБ (см. ИСО/МЭК 17021-1:2015, подпункт 9.2.2.1.4) по меньшей мере одного первоначального сертификационного аудита СМИБ (первого и второго этапов) или аудита по ресертификации и как минимум одного инспекционного контроля. Этот опыт должен быть приобретен не менее чем в течение 10 дней проведения аудита СМИБ на месте и выполнен в течение последних 5 лет. Участие должно включать в себя анализ документации и оценку рисков, оценку внедрения и аудиторскую отчетность;

(Amd.1:2020)

e) имеет соответствующий опыт практической работы;

f) постоянно актуализирует свои знания и навыки в области информационной безопасности и проведении аудитов посредством непрерывного профессионального развития;

g) обладает компетенцией в области аудита СМИБ в соответствии с ИСО/МЭК 27001.

(Amd.1:2020)

Технические эксперты должны отвечать требованиям критериев, приведенных в перечислениях a), b) и e).

7.2.1.2 Выбор аудиторов на роль руководителя группы

В дополнение к положениям 7.1.2.2 и 7.2.1.1 критерии отбора аудитора на роль руководителя аудиторской группы должны гарантировать, что аудитор:

а) активно принимал участие на всех этапах не менее трех аудитов СМИБ. Участие должно включать в себя первоначальную оценку и планирование, анализ документации и оценку рисков, оценку практического внедрения и официальную отчетность по проведенному аудиту.

7.3 Привлечение внешних аудиторов и технических экспертов

Применяют требования ИСО/МЭК 17021-1, подраздел 7.3. Кроме того, применяются следующие требования и руководящие указания, дополняющие требования ИСО/МЭК 17021-1 в части сертификации СМИБ.

7.3.3 ИБ 7.3 Включение внешних аудиторов или технических экспертов в состав аудиторской группы

Технические эксперты должны работать под контролем аудитора. Минимальные требования к техническим экспертам приведены в 7.2.1.1.

7.4 Записи данных о персонале

Применяют требования ИСО/МЭК 17021-1, подраздел 7.4.

7.5 Аутсорсинг

Применяют требования ИСО/МЭК 17021-1, подраздел 7.5.

8 Требования к информации

8.1 Общедоступная информация

Применяются требования ИСО/МЭК 17021-1, подраздел 8.1.

8.2 Документы по сертификации

Применяются требования ИСО/МЭК 17021-1, подраздел 8.2. Кроме того, применяются следующие требования и руководящие указания.

8.2.1 ИБ 8.2 Документы по сертификации СМИБ

Документы по сертификации должны быть подписаны должностным лицом, которому предоставлены соответствующие полномочия. Версия ведомости применимости мер обеспечения информационной безопасности должна быть включена в комплект документации по сертификации.

Примечание - Изменение ведомости применимости мер обеспечения информационной безопасности, которое не изменяет меры обеспечения в области сертификации, не требует внесения изменений в сертификат соответствия.

В документах по сертификации допускаются ссылки на национальные и международные стандарты в качестве источника(ов) контрольного набора мер обеспечения, которые определены как необходимые в ведомости применимости мер обеспечения информационной безопасности организации в соответствии с ИСО/МЭК 27001:2013, пункт 6.1.3 d). Ссылка на документы по сертификации должна быть четко указана только как источник контрольного набора мер обеспечения, применяемых в ведомости применимости мер обеспечения информационной безопасности.

(Amd.1:2020)

8.3 Ссылка на сертификацию и использование знаков

Применяют требования ИСО/МЭК 17021-1, подраздел 8.3.

8.4 Конфиденциальность

Применяют требования ИСО/МЭК 17021-1, подраздел 8.4. Кроме того, применяют следующие требования и руководящие указания.

8.4.1 ИБ 8.4 Доступ к записям организации

Перед проведением сертификационного аудита орган по сертификации должен попросить организацию-заказчика сообщить, если какая-либо связанная с СМИБ информация (такая как записи СМИБ или информация относительно структуры, состава и эффективности мер обеспечения) не может быть представлена для проверки аудиторской группой, поскольку она содержит конфиденциальную или секретную информацию. Орган по сертификации должен определить, можно ли провести аудит СМИБ должным образом в отсутствие такой информации. Если орган по сертификации приходит к выводу, что невозможно провести аудит СМИБ должным образом без проверки выявленной конфиденциальной или секретной информации, он должен сообщить организации-заказчику, что сертификационный аудит не может быть проведен до тех пор, пока не будут предоставлены соответствующие механизмы доступа.

8.5 Обмен информацией между органом по сертификации и его заказчиками

Применяют требования ИСО/МЭК 17021-1, подраздел 8.5.

9 Технологические требования

9.1 Предсертификационная деятельность

9.1.1 Заявка

Применяют требования ИСО/МЭК 17021-1, пункт 9.1.1. Кроме того, применяют следующие требования и руководящие указания.

9.1.1.1 ИБ 9.1.1 Готовность заявки

Орган по сертификации должен затребовать у организации-заказчика документы, подтверждающие наличие внедренной СМИБ, соответствующей требованиям ИСО/МЭК 27001, и других документов, необходимых для сертификации.

9.1.2 Анализ заявки

Применяют требования ИСО/МЭК 17021-1, пункт 9.1.2.

9.1.3 Программа аудита

Применяют требования ИСО/МЭК 17021-1, пункт 9.1.3. Кроме того, применяют следующие требования и руководящие указания.

9.1.3.1 ИБ 9.1.3 Общие требования

Программа аудита СМИБ должна учитывать определенные меры обеспечения информационной безопасности.

9.1.3.2 ИБ 9.1.3 Методология аудита

Процедуры органа по сертификации не должны предусматривать конкретные методы внедрения СМИБ или конкретный формат ведения документации или записей. Процедуры сертификации должны быть направлены на установление факта соответствия СМИБ организации-заказчика требованиям, указанным в ИСО/МЭК 27001, а также политикам и целям организации-заказчика.

Примечание - Более подробные руководящие указания по проведению аудита приведены в [2].

9.1.3.3 ИБ 9.1.3 Общая подготовка к первоначальному аудиту

Орган по сертификации должен потребовать от организации-заказчика предоставления доступа к отчетам по результатам внутренних аудитов и отчетам о независимых проверках информационной безопасности.

На первом этапе сертификационного аудита организация-заказчик должна предоставить как минимум следующую информацию:

a) общую информация о СМИБ и перечень видов деятельности, которые она охватывает;

b) копии необходимой документации СМИБ, указанной в ИСО/МЭК 27001, и при необходимости сопутствующую документацию.

9.1.3.4 ИБ 9.1.3 Периодичность проверок

Орган по сертификации не должен сертифицировать СМИБ, если не был проведен по крайней мере один анализ со стороны руководства и один внутренний аудит СМИБ, охватывающий область сертификации.

9.1.3.5 ИБ 9.1.3 Область сертификации

Аудиторская группа должна провести аудит СМИБ организации-заказчика в объеме, охватываемом областью сертификации, в соответствии со всеми применимыми для сертификации требованиями. Орган по сертификации должен подтвердить, что СМИБ организации-заказчика распространяется на его деятельность и соответствует требованиям, изложенным в ИСО/МЭК 27001, подраздел 4.3.

Органы по сертификации должны установить, что оценка и управление рисками информационной безопасности организации-заказчика надлежащим образом применяются в рамках указанной деятельности согласно заявленной области сертификации. Органы по сертификации должны подтвердить, что это отражено в области действия СМИБ организаций-заказчиков и в ведомости применимости мер обеспечения информационной безопасности. Орган по сертификации должен удостовериться, что на каждую область сертификации имеется как минимум одна ведомость применимости мер обеспечения информационной безопасности.

Органы по сертификации должны убедиться, что область взаимодействия с услугами или видами деятельности, которые не полностью включены в область действия СМИБ, также находят свое отражение в СМИБ, на которую распространяется сертификация, и включены в систему оценки рисков информационной безопасности организации-заказчика. Примером такого положения может быть совместное использование технических средств (например, ИТ-системы, базы данных и телекоммуникационные системы или аутсорсинг бизнес-функций) с другими организациями.

9.1.3.6 ИБ 9.1.3 Критерии сертификационного аудита

Критерии, на основании которых проводится аудит СМИБ организации-заказчика, должны соответствовать ИСО/МЭК 27001. Для сертификации, в зависимости от видов деятельности, могут потребоваться и другие документы.

9.1.4 Определение общей продолжительности/трудоемкости аудита

Применяют требования ИСО/МЭК 17021-1, пункт 9.1.4. Кроме того, применяют следующие требования и руководящие указания.

9.1.4.1 ИБ 9.1.4 Общая продолжительность/трудоемкость аудита

Органы по сертификации должны предоставлять аудиторам достаточное время для проведения всех мероприятий, связанных с первоначальным аудитом, инспекционным контролем и ресертификационным аудитом. При расчете общей продолжительности/трудоемкости аудита в нее должно быть включено время на подготовку акта по результатам аудита.

Для определения общей продолжительности/трудоемкости аудита органы по сертификации должны применять положения приложения В.

Примечание - Более подробные практические указания и примеры расчета общей продолжительности/трудоемкости аудита приведены в приложении С.

9.1.5 Выборочные проверки объектов (площадок)

Применяют требования ИСО/МЭК 17021-1, пункт 9.1.5. Кроме того, применяют следующие требования и руководящие указания.

9.1.5.1 ИБ 9.1.5 Несколько объектов (площадок)

9.1.5.1.1 Если организация-заказчик имеет несколько объектов, отвечающих критериям перечислений a)-c), органы по сертификации могут использовать подход к сертификационному аудиту нескольких объектов, основанный на их выборочной проверке:

a) все объекты (площадки) работают в рамках одной и той же СМИБ, которая администрируется и управляется централизованно и подлежит анализу со стороны центрального руководства;

b) все объекты (площадки) включены в программу внутреннего аудита СМИБ организации-заказчика;

c) все объекты (площадки) включены в программу анализа со стороны руководства СМИБ организации-заказчика.

9.1.5.1.2 Орган по сертификации, предполагающий использовать подход, основанный на выборочной проверке, должен иметь действующие процедуры, обеспечивающие следующее:

a) при заключении договора на сертификацию с организацией-заказчиком выявляется, насколько это возможно, разница между объектами (площадками), чтобы можно было определить адекватный уровень выборки;

b) репрезентативное количество объектов (площадок) отобрано органом по сертификации с учетом:

1) результатов внутренних аудитов центрального офиса и на объектах (площадках);

2) результатов анализа со стороны руководства центрального офиса и на объектах (площадках);

3) различий в размерах объектов (площадок);

4) различий бизнес-целей объектов;

5) сложности информационных систем на различных объектах;

6) различий в методах работы;

7) различий в видах деятельности;

8) различий в конструкции и работе мер обеспечения;

9) потенциального взаимодействия с критическими информационными системами или информационными системами, обрабатывающими конфиденциальную информацию;

10) любых отличающихся правовых требований;

11) географических и культурных аспектов;

12) рисковых ситуаций на объектах;

13) инцидентов информационной безопасности на конкретных объектах;

c) репрезентативная выборка осуществляется из всех объектов в рамках СМИБ организации-заказчика; этот выбор должен основываться на экспертном мнении с целью отражения факторов, представленных в перечислении b), а также учета элемента случайности;

d) каждый включенный в СМИБ объект, который подвержен значительным рискам, проверяется органом по сертификации до проведения сертификации;

e) программа аудита должна быть разработана с учетом вышеуказанных требований и охватывать проверку всех объектов (площадок), входящих в область распространения СМИБ, и репрезентативных объектов (площадок) в течение трехлетнего периода;

f) в случае обнаружения несоответствия либо в центральном офисе, либо на одном объекте (площадке), процедура корректирующих действий применяется к центральному офису и всем объектам, на которые распространяется действие сертификата.

Аудит должен охватывать деятельность центрального офиса организации-заказчика, чтобы гарантировать, что единая СМИБ применяется ко всем объектам (площадкам) и обеспечивает централизованное управление на оперативном уровне. Аудит должен учитывать все указанные выше вопросы.

9.1.6 Множественные системы управления

Применяют требования ИСО/МЭК 17021-1, пункт 9.1.6. Кроме того, применяют следующие требования и руководящие указания.

9.1.6.1 ИБ 9.1.6 Интеграция документации СМИБ с документацией других систем менеджмента

Орган по сертификации может принять документацию, которая объединена с другими системами менеджмента (например, для обеспечения информационной безопасности, качества, здоровья и безопасности окружающей среды), при условии, что СМИБ четко идентифицирована и надлежащим образом показаны ее связи и взаимодействие с другими системами.

9.1.6.2 ИБ 9.1.6 Комплексные аудиты систем менеджмента

Аудит СМИБ может быть совмещен с аудитами других систем менеджмента при условии, что есть возможность продемонстрировать, что такой аудит отвечает всем требованиям сертификации СМИБ. Все элементы, имеющие значение для СМИБ, должны быть четко обозначены и легко идентифицироваться в отчетах по проведенным аудитам. На качество аудита не должно отрицательно влиять совмещение аудитов различных систем менеджмента.

9.2 Планирование аудитов

9.2.1 Определение целей, области и критериев аудита

Применяют требования ИСО/МЭК 17021-1, пункт 9.2.1. Кроме того, применяют следующие требования и руководящие указания.

9.2.1.1 ИБ 9.2.1 Цели аудита

Цели аудита должны включать в себя определение результативности системы менеджмента, гарантирующей, что на основании оценки рисков организация-заказчик реализовала применимые меры обеспечения и достигла поставленных целей обеспечения информационной безопасности.

9.2.2 Отбор участников аудиторской группы и закрепление за ними соответствующих обязанностей

Применяют требования ИСО/МЭК 17021-1, пункт 9.2.2. Кроме того, применяют следующие требования и руководящие указания.

9.2.2.1 ИБ 9.2.2 Аудиторская группа

Аудиторская группа должна быть официально назначена и обеспечена соответствующими рабочими документами. Предписание, выданное аудиторской группе, должно иметь четкую формулировку и должно быть доведено до сведения организации-заказчика. Аудиторская группа может состоять из одного человека при условии, что такой специалист соответствует всем критериям 7.1.2.1.

9.2.2.2 ИБ 9.2.2 Компетентность аудиторской группы

Применяют требования 7.1.2. Для работ в рамках инспекционного контроля и специального аудита применяют только те требования, которые имеют отношение к плановому инспекционному контролю или специальному аудиту.

При выборе и управлении аудиторской группой, которая назначается для проведения конкретного сертификационного аудита, орган по сертификации должен гарантировать, что все участники аудиторской группы обладают соответствующими компетенциями. Группа должна:

a) иметь надлежащие технические знания особенностей деятельности в рамках СМИБ, представленной на сертификацию, и, при необходимости, связанных процедур и их потенциальных рисков информационной безопасности (эту функцию могут выполнять технические специалисты);

b) иметь представление о деятельности организации-заказчика, достаточное для проведения полноценного сертификационного аудита СМИБ, с учетом сферы действия и роли СМИБ в организации при управлении аспектами информационной безопасности ее деятельности, продукции и услуг;

c) иметь достаточное понимание правовых и нормативных требований, применимых к СМИБ организации-заказчика.

Примечание - Достаточное понимание не предполагает наличие углубленной правовой базы.

9.2.3 План аудита

Применяют требования ИСО/МЭК 17021-1, пункт 9.2.3. Кроме того, применяют следующие требования и руководящие указания.

9.2.3.1 ИБ 9.2.3 Общие положения

План проведения аудита СМИБ должен учитывать определенные меры обеспечения информационной безопасности.

9.2.3.2 ИБ 9.2.3 Методики проведения аудита с использованием технических ресурсов

План проведения аудита должен содержать определение необходимых методик проведения аудита с использованием технических ресурсов.

Такие методики могут включать в себя, например, телеконференции, интернет-совещания, интерактивную интернет-связь и удаленный электронный доступ к документации СМИБ или процессам СМИБ. Цель использования таких методик заключается в повышении результативности и качества аудита, а также обеспечении целостности всего процесса.

9.2.3.3 ИБ 9.2.3 Продолжительность аудита

Орган по сертификации должен согласовать с проверяемой организацией сроки проведения аудита, в которые наилучшим образом будет возможно продемонстрировать всю сферу деятельности организации. При рассмотрении этого вопроса следует учитывать время года, месяц, день недели/дату и смену, в зависимости от ситуации.

9.3 Первоначальная сертификация

Применяют требования ИСО/МЭК 17021-1, подраздел 9.3. Кроме того, применяют следующие требования и руководящие указания.

9.3.1 ИБ 9.3.1 Первоначальный сертификационный аудит

9.3.1.1 ИБ 9.3.1.1 Первый этап

На данном этапе аудита орган по сертификации должен получить документацию по структуре СМИБ, включая документацию, требуемую согласно ИСО/МЭК 27001.

Орган по сертификации должен иметь достаточное понимание СМИБ в контексте структуры организации-заказчика, системы оценки и снижения рисков (включая определенные меры обеспечения), политики и целей информационной безопасности, и в частности готовности организации-заказчика к проведению аудита. Все это позволит осуществить планирование второго этапа аудита.

Результаты первого этапа аудита должны быть документально оформлены в виде письменного отчета. Орган по сертификации должен проанализировать отчет первого этапа аудита, прежде чем принимать решение о переходе ко второму этапу, и подтвердить, что члены группы аудита второго этапа обладают необходимой компетенцией; это может быть выполнено аудитором, возглавляющим группу, проводившую первый этап аудита, если он будет признан компетентным и соответствующим.

Примечание - Независимая проверка (т.е. представителем органа по сертификации, не участвующим в аудите) является одной из мер по снижению рисков, связанных с принятием решения о том, следует ли и в каком составе переходить ко второму этапу. Однако для достижения той же цели могут быть приняты другие меры по снижению рисков.

(Amd.1:2020)

Орган по сертификации должен поставить в известность организацию-заказчика о предоставлении дополнительной информации и записей, которые могут потребоваться для детальной проверки во время второго этапа аудита.

9.3.1.2 ИБ 9.3.1.2 Второй этап

9.3.1.2.1 На основании данных, отраженных в отчете по результатам первого этапа аудита, орган по сертификации разрабатывает план аудита для проведения второго этапа аудита. В дополнение к оценке результативности внедрения СМИБ целями второго этапа аудита являются:

а) подтверждение, что организация-заказчик придерживается своей собственной политики, целей и процедур.

9.3.1.2.2 Для этого аудит должен быть сосредоточен:

a) на лидерстве высшего руководства и приверженности политике и целям информационной безопасности;

b) требованиях к документации, перечисленных в ИСО/МЭК 27001;

c) оценке рисков, связанных с информационной безопасностью, и том, что данные оценки дают последовательные, действительные и сопоставимые результаты, если они повторяются;

d) определении целей и мер обеспечения на основе оценки рисков информационной безопасности и процессов снижения рисков;

e) результативности и эффективности СМИБ относительно целей информационной безопасности;

f) соответствии между определенными мерами обеспечения, ведомостью применимости мер обеспечения информационной безопасности и результатами процесса оценки и снижения рисков информационной безопасности, а также политикой и целями информационной безопасности;

g) внедрении мер обеспечения (см. приложение D) с учетом внешнего и внутреннего контекста и связанных с ним рисков, мониторинге, измерении и анализе организации процессов и мер обеспечения в области информационной безопасности, проводимых организацией-заказчиком, для определения того, являются ли меры обеспечения эффективными и отвечают ли они заявленным целям в области информационной безопасности;

h) программах, процессах, процедурах, записях, внутренних аудитах и проверках результативности СМИБ, чтобы гарантировать, что они прослеживаются до решения высшего руководства и политики и целей информационной безопасности.

9.4 Проведение аудитов

Применяют требования ИСО/МЭК 17021-1, подраздел 9.4. Кроме того, применяют следующие требования и руководящие указания.

9.4.1 ИБ 9.4 Общие положения

Орган по сертификации должен иметь документированные процедуры:

a) для первоначального сертификационного аудита СМИБ организации-заказчика в соответствии с положениями ИСО/МЭК 17021-1;

b) инспекционных контролей и ресертификационных аудитов СМИБ организации-заказчика в соответствии с ИСО/МЭК 17021-1, проводимых на регулярной основе с целью обеспечения непрерывного соответствия требованиям, а также для проверки и регистрации своевременного принятия организацией-заказчиком корректирующих действий по устранению несоответствий.

9.4.2 ИБ 9.4 Особые элементы аудита СМИБ

Орган по сертификации, представленный аудиторской группой, должен:

a) потребовать от организации-заказчика продемонстрировать, что оценка рисков, связанных с информационной безопасностью, является актуальной и адекватной для функционирования СМИБ в рамках ее области действия;

b) установить, соответствуют ли процедуры организации-заказчика по выявлению, анализу и оценке рисков, связанных с информационной безопасностью, результатам их практической реализации.

Орган по сертификации также должен установить, являются ли процедуры, используемые при оценке рисков, надежными и надлежащим образом реализованными.

9.4.3 ИБ 9.4 Отчет по результатам аудита

9.4.3.1 В дополнение к требованиям по отчетности в ИСО/МЭК 17021-1, пункт 9.4.8, отчет по результатам аудита должен содержать следующую информацию или ссылку на нее:

a) отчет о проверке, включая краткое изложение анализа документации;

b) отчет об анализе рисков информационной безопасности организации-заказчика при проведении сертификационного аудита;

c) отклонения от плана аудита (например, большее или меньшее время потрачено на определенные запланированные действия);

d) область действия СМИБ.

9.4.3.2 Отчет по результатам аудита должен быть достаточно подробным, чтобы обосновать и принять решение о сертификации. Он должен содержать:

a) важные контрольные данные аудита, включая применяемые методологии аудита (см. 9.1.3.2);

b) выполненные наблюдения, как положительные (например, особенности, заслуживающие внимания), так и отрицательные (например, потенциальные несоответствия);

c) комментарии о соответствии СМИБ организации-заказчика требованиям сертификации с четкими формулировками несоответствий, ссылку на версию ведомости применимости мер обеспечения информационной безопасности и, где это применимо, необходимые сравнения с результатами предыдущих сертификационных аудитов организации-заказчика.

Заполненные анкеты, контрольные карты, наблюдения, журналы регистрации или записи аудитора могут составлять неотъемлемую часть отчета по результатам аудита. Если используются данные методы, то такие документы должны быть представлены в орган по сертификации в качестве доказательств, обосновывающих принятое решения о сертификации. Информация об объектах, оцененных в ходе аудита, должна быть включена в отчет по результатам аудита или в другую документацию по сертификации.

В отчете должна быть рассмотрена адекватность внутренней структуры организации и процедур, принятых организацией-заказчиком для обеспечения доверия к СМИБ.

В дополнение к требованиям к отчетности, приведенным в ИСО/МЭК 17021-1, пункт 9.4.8, отчет должен содержать:

- краткое изложение наиболее важных наблюдений, как положительных, так и отрицательных, относительно внедрения и результативности требований к СМИБ и мер обеспечения;

- рекомендацию аудиторской группы в отношении того, следует ли сертифицировать СМИБ организации-заказчика, а также информацию, обосновывающую соответствующую рекомендацию.

9.5 Решение о сертификации

Применяют требования ИСО/МЭК 17021-1, подраздел 9.5. Кроме того, применяют следующие требования и руководящие указания.

9.5.1 ИБ 9.5 Решение о сертификации

В дополнение к требованиям ИСО/МЭК 17021-1 решение о сертификации должно основываться на рекомендации аудиторской группы в отношении сертификации, изложенной в ее отчете по результатам аудита (см. 9.4.3).

Лица или комиссии, которые принимают решение о сертификации, как правило, должны принимать во внимание отрицательные рекомендации аудиторской группы. Но если возникает обратная ситуация, орган по сертификации должен документально оформить и обосновать свое решение не принимать во внимание отрицательную рекомендацию аудиторской группы.

Организация-заказчик не сертифицируется до тех пор, пока не имеется достаточных доказательств того, что механизмы проведения анализа со стороны руководства и внутренних аудитов СМИБ были внедрены, являются эффективными и будут поддерживаться.

9.6 Подтверждение сертификации

9.6.1 Общие требования

Применяют требования ИСО/МЭК 17021-1, пункт 9.6.1.

9.6.2 Деятельность по инспекционному контролю

Применяют требования ИСО/МЭК 17021-1, пункт 9.6.2. Кроме того, применяют следующие требования и руководящие указания.

9.6.2.1 ИБ 9.6.2 Деятельность по инспекционному контролю

9.6.2.1.1 Процедуры инспекционного контроля должны соответствовать процедурам сертификационного аудита СМИБ организации-заказчика, как описано в настоящем стандарте.

Цель инспекционного контроля состоит в том, что утвержденная СМИБ продолжает внедряться, изменения этой системы, вызванные изменениями в деятельности организации-заказчика, принимаются во внимание, а соответствие сертификационным требованиям постоянно подтверждается. Программы инспекционного контроля должны как минимум охватывать следующие вопросы:

a) элементы обеспечения функционирования системы, такие как оценка и контроль рисков информационной безопасности, внутренние аудиты СМИБ, анализ со стороны руководства и корректирующие мероприятия;

b) информация, поступающая от сторонних организаций, согласно требованиям ИСО/МЭК 27001 и других документов, используемых при сертификации;

c) изменения в документированной системе;

d) направления деятельности, подверженные изменениям;

e) отдельные требования ИСО/МЭК 27001;

f) другие отдельные области деятельности по мере необходимости.

9.6.2.1.2 При проведении инспекционного контроля со стороны органа по сертификации должно рассматриваться как минимум следующее:

a) результативность СМИБ в отношении достижения организацией-заказчиком целей политики информационной безопасности;

b) функционирование процедур периодической оценки и проверки соответствующих законодательных и нормативных требований в области информационной безопасности;

c) изменения в определенных мерах обеспечения и соответствующие изменения в ведомости применимости мер обеспечения информационной безопасности;

d) реализация и результативность мер обеспечения в соответствии с программой аудита.

9.6.2.1.3 Орган по сертификации должен быть способен адаптировать свою программу инспекционного контроля к вопросам информационной безопасности, связанным с рисками и воздействиями на организацию-заказчика, и обосновать эту программу.

Инспекционный контроль может комбинироваться с аудитами других систем менеджмента. Отчетные документы органа по сертификации должны четко указывать аспекты, относящиеся к каждой системе менеджмента.

В ходе инспекционного контроля органы по сертификации должны проверять записи по обращениям и жалобам, направленным в орган по сертификации, и, в случае выявления любого несоответствия или несоблюдения требований сертификации, устанавливать, что организация-заказчик в рамках процедур СМИБ предприняла соответствующие корректирующие действия.

Отчет по результатам инспекционного контроля должен также содержать информацию об устранении выявленных ранее несоответствий, а также версию ведомости применимости мер обеспечения информационной безопасности, содержащую важные изменения, произошедшие после предыдущего аудита. Отчеты, полученные в результате инспекционного контроля, должны быть составлены таким образом, чтобы в своей совокупности они могли охватывать требования 9.6.2.1.1 и 9.6.2.1.2.

9.6.3 Ресертификация

Применяют требования ИСО/МЭК 17021-1, пункт 9.6.3. Кроме того, применяют следующие требования и руководящие указания.

9.6.3.1 ИБ 9.6.3 Ресертификационный аудит

Процедуры ресертификационных аудитов должны соответствовать процедурам, касающимся первоначального сертификационного аудита СМИБ организации-заказчика, как описано в настоящем стандарте.

Время, отведенное для выполнения корректирующих действий, должно соответствовать степени серьезности несоответствия и связанному с этим несоответствием риску информационной безопасности.

9.6.4 Специальные аудиты

Применяют требования ИСО/МЭК 17021-1, пункт 9.6.4. Кроме того, применяют следующие требования и руководящие указания.

9.6.4.1 ИБ 9.6.4 Особые случаи

Действия, необходимые для проведения специальных аудитов, должны осуществляться по специальному положению, если организация-заказчик, имеющая сертифицированную СМИБ, вносит существенные изменения в свою систему или если имеют место другие изменения, которые могут повлиять на область сертификации.

9.6.5 Приостановка, отмена или сокращение области действия сертификации

Применяют требования ИСО/МЭК 17021-1, пункт 9.6.5.

9.7 Апелляции

Применяют требования ИСО/МЭК 17021-1, подраздел 9.7.

9.8 Жалобы

Применяют требования ИСО/МЭК 17021-1, подраздел 9.8. Кроме того, применяют следующие требования и руководящие указания.

9.8.1 ИБ 9.8 Жалобы

Наличие жалоб означает возможность наступления инцидента и является признаком потенциального несоответствия.

9.9 Записи об организациях-заказчиках

Применяют требования ИСО/МЭК 17021-1, подраздел 9.9.

10 Требования к системе менеджмента органов по сертификации

10.1 Варианты

Применяют требования ИСО/МЭК 17021-1, подраздел 10.1. Кроме того, применяют следующие требования и руководящие указания.

10.1.1 ИБ 10.1 Внедрение СМИБ

Рекомендуется, чтобы органы по сертификации внедряли СМИБ в соответствии с ИСО/МЭК 27001.

10.2 Вариант А. Общие требования к системам менеджмента

Применяют требования ИСО/МЭК 17021-1, подраздел 10.2.

10.3 Вариант В. Требования к системам менеджмента, установленные в ИСО 9001 [3]

Применяют требования ИСО/МЭК 17021-1, подраздел 10.3.

Приложение A
(справочное)

Знания и навыки, необходимые для аудита и сертификации СМИБ

A.1 Обзор

В таблице A.1 приведены сводные данные по знаниям и навыкам, необходимым для проведения сертификационного аудита, при этом данная таблица является справочной, поскольку она только определяет области знаний и навыков, необходимых для выполнения определенных функций процесса сертификации.

Требования по компетентности в рамках каждой функции приведены в основном тексте настоящего стандарта, а в данной таблице содержатся ссылки на конкретные требования.

Таблица A.1 - Знания, необходимые для аудита и сертификации СМИБ

Функции процесса сертификации

Анализ заявки (анализ заявки с целью определения необходимого уровня компетенций аудиторской группы, отбора участников аудиторской группы и определения общей продолжительности/ трудоемкости аудита)

Анализ отчетов по результатам аудита и принятие решений о сертификации

Проведение аудита и руководство работой аудиторской группы

Знания

Терминология, принципы, практические методы и технологии менеджмента информационной безопасности

7.1.2.4.2

7.1.2.1.2

Стандарты и нормативные документы системы менеджмента информационной безопасности

7.1.2.3.1

7.1.2.4.3

7.1.2.1.3

Практики делового администрирования

7.1.2.1.4

Сфера деятельности организации-заказчика

7.1.2.3.2

7.1.2.4.4

7.1.2.1.5

Продукция, процессы и структура организации-заказчика

7.1.2.3.3

7.1.2.4.5

7.1.2.1.6

На основе использования различных факторов из таблицы A.1 аспекты сложности области действия СМИБ могут классифицироваться по трем категориям: "высокая", "средняя" и "низкая". За общую категорию сложности может быть принята максимальная категория всех рассматриваемых факторов.

A.2 Общие аспекты компетентности

Существует несколько способов, которыми аудитор может продемонстрировать свои знания и опыт. Знания и опыт могут быть оценены, например, при помощи использования общепризнанных квалификационных характеристик. Регистрационные записи в рамках квалификационной аттестации персонала могут также использоваться для оценки необходимых знаний и опыта. Требуемый уровень компетенций для аудиторской группы должен быть установлен с учетом сложности структуры СМИБ, а также отраслевых и технологических особенностей деятельности организации-заказчика.

A.3 Конкретные аспекты знаний и опыта

A.3.1 Типичные знания, связанные с СМИБ

В дополнение к требованиям, изложенным в 7.1.2, необходимо учитывать следующее. Аудиторы должны знать и понимать следующие процедуры аудита и СМИБ:

- составление программы аудита и его планирование;

- тип и методология аудита;

- риски, связанные с аудитом;

- анализ процессов информационной безопасности;

- непрерывное совершенствование;

- внутренний аудит информационной безопасности.

Аудиторы должны знать и понимать следующие нормативные требования:

- интеллектуальная собственность;

- содержание, защита и хранение документов организации-заказчика;

- защита данных и конфиденциальность;

- регулирование средств криптографической защиты информации;

- электронная коммерция;

- электронные и цифровые подписи;

- надзор за рабочими местами;

- перехват в телекоммуникациях и мониторинг данных (например, электронная почта);

- использование компьютеров в преступных целях;

- сбор электронных данных;

- испытание на возможность проникновения в систему;

- международные и национальные требования в сфере деятельности (например, банковское дело).

Приложение B
(обязательное)

Общая продолжительность/трудоемкость аудита

B.1 Введение

В данном приложении содержатся дополнительные требования, касающиеся ИСО/МЭК 17021-1, подраздел 9.1. Данное приложение содержит минимальные требования и руководящие указания для органа по сертификации по разработке своих собственных процедур определения времени, требуемого для сертификации систем СМИБ организации-заказчика различных размеров и сложности в широком спектре деятельности.

Органы по сертификации должны определить общую продолжительность/трудоемкость аудита, проводимого при первоначальной сертификации, инспекционном контроле и ресертификации для каждой организации-заказчика и сертифицированной СМИБ. Использование данного приложения на этапе планирования аудита приводит к формированию последовательного подхода к определению соответствующей общей продолжительности/трудоемкости аудита. Кроме того, общую продолжительность/трудоемкость аудита можно скорректировать на основании того, что обнаруживается в ходе аудита, особенно во время его первого этапа (например, различия в оценках сложности структуры СМИБ или появление дополнительных объектов аудита).

В данном приложении представлены:

- концепции, применяемые для расчета общей продолжительности/трудоемкости аудита (В.2);

- требования в отношении процедур определения общей продолжительности/трудоемкости аудита на различных этапах аудита (B.3-B.5);

- требования, связанные с аудитами на нескольких площадках (B.6).

Примеры расчета общей продолжительности/трудоемкости аудита для иллюстрации применения приложения В приведены в приложении С.

Базовое предположение, лежащее в основе данного подхода, заключается в том, что схема расчета для определения общей продолжительности/трудоемкости аудита должна:

a) учитывать только обоснованные признаки, которые могут быть определены;

b) быть достаточно простой для эффективного применения органами по сертификации;

c) быть достаточно комплексной для выявления отличительных особенностей.

Определение общей продолжительности/трудоемкости аудита основывается на данных, приведенных в таблице B.1, и должно учитывать факторы, способствующие изменениям.

B.2 Концепции

B.2.1 Численность персонала, выполняющего работу под контролем организации-заказчика

Общая численность персонала, выполняющего работу под контролем организации-заказчика во всех сменах в рамках сертификации, является первым шагом к определению общей продолжительности/трудоемкости аудита.

(Amd.1:2020)

Примечание - Термин "персонал, выполняющий работу под контролем организации-заказчика" в ИСО/МЭК 17021-1 имеет определение "персонал".

Лиц, занятых неполный рабочий день, выполняющих работу под контролем организации-заказчика, включают в число персонала, выполняющего работу под контролем организации-заказчика, пропорционально количеству часов отработки, по сравнению со штатным персоналом, выполняющим работу под контролем организации-заказчика. Такое решение зависит от количества отработанных часов по сравнению со штатным персоналом.

B.2.2 Аудиторский день

Общая продолжительность/трудоемкость аудита, указанная в таблице B.1, означает аудиторские дни, затраченные на проведение аудита. Основанием для расчетов по приложению B является 8-часовой рабочий день.

B.2.3 Временный объект

Временным объектом считается площадка, не входящая в число объектов, указанных в документах на сертификацию, где деятельность, попадающая в область сертификации, осуществляется в течение определенного периода времени. Диапазон таких объектов может включать в себя как основные объекты проектного управления, так и мелкие вспомогательные и (или) монтажные площадки. Необходимость посещения таких площадок, а также число выборочных проверок следует определять на основании оценки рисков невыполнения целей информационной безопасности (ИБ) по причине несоответствий, возникающих на таком временном объекте. Выборочные проверки, проводимые на таких отобранных объектах, должны представлять весь диапазон компетенций организации-заказчика и варьирующихся потребностей с учетом размера и видов деятельности, а также этапов реализации проектов. Информацию по общим данным выборочных проверок см. в 9.1.5.1.

B.3 Процедура определения общей продолжительности/трудоемкости первоначального аудита

B.3.1 Общие требования

При расчете общей продолжительности/трудоемкости аудита необходимо придерживаться следующих документированных процедур.

B.3.2 Удаленный аудит

Если для взаимодействия с организацией-заказчиком используются такие методики удаленного аудита, как интерактивное взаимодействие через Интернет, интернет-совещания, телеконференции и (или) электронные проверки технологических процедур организации-заказчика, то соответствующие действия должны быть указаны в плане аудита (см. 9.2.3) и могут быть определены как частично входящие в общую продолжительность/трудоемкость выездного аудита.

Если орган по сертификации разрабатывает план аудита, в котором действия по удаленному аудиту составляют более 30% плановой общей продолжительности/трудоемкости выездного аудита, то орган по сертификации должен обосновать такой план аудита и получить целевое одобрение от органа по аккредитации до начала его реализации.

Примечание - Термин "общая продолжительность/трудоемкость выездного аудита" означает общую продолжительность/трудоемкость аудита, распределяемую по отдельным объектам. Электронный аудит удаленных объектов считается удаленным аудитом даже в том случае, если электронный аудит физически выполняется на территории или в помещениях организации-заказчика.

B.3.3 Расчет общей продолжительности/трудоемкости аудита

Таблица общей продолжительности/трудоемкости аудита, представленная ниже, устанавливает среднее количество дней для первоначального аудита [здесь и далее это число включает в себя дни для первоначального аудита (первого и второго этапов), которые, как показывает опыт, являются достаточными для области действия СМИБ с данной численностью персонала, выполняющего работу под контролем организации-заказчика]. Опыт также показывает, что для областей действия СМИБ, сходных по размерам, может потребоваться различное время.

Представленная ниже таблица общей продолжительности/трудоемкости аудита определяет основную схему, которая может использоваться для планирования аудита путем определения исходной точки, основанной на общем числе персонала, выполняющего работу под контролем организации-заказчика, всех смен, и его корректировки на основе значимых факторов, применяющихся к области действия СМИБ, которая должна подвергаться аудиту, и придания каждому фактору добавочной или вычитательной оценки для изменения базовой цифры. Таблицу общей продолжительности/трудоемкости аудита необходимо использовать с учетом как способствующих факторов, так и ограничений в отношении максимальных значений отклонения (см. B.3.4 и B.3.5). Термины, применяемые в таблице B.1, объяснены в B.2, а в приложении С приведены примеры того, как это возможно выполнить.

Таблица B.1 - Таблица общей продолжительности/трудоемкости аудита

Число персонала, выполняющего работу под контролем организации-
заказчика

Общая продолжи-
тельность/ трудоемкость первоначального аудита системы менеджмента качества (рабочие дни аудитора)

Общая продолжи-
тельность/ трудоемкость первоначального аудита системы экологического менеджмента (рабочие дни аудитора)

Общая продолжи-
тельность/ трудоемкость первоначального аудита СМИБ (рабочие дни аудитора)

Добавочные или вычитательные факторы

Общая продолжи-
тельность/ трудоемкость аудита

1~10

1,5-2

2,5-3

5

См. В.3.4

11~15

2,5

3,5

6

См. В.3.4

16~25

3

4,5

7

См. В.3.4

26~45

4

5,5

8,5

См. В.3.4

46~65

5

6

10

См. В.3.4

66~85

6

7

11

См. В.3.4

86~125

7

8

12

См. В.3.4

126~175

8

9

13

См. В.3.4

176~275

9

10

14

См. В.3.4

276~425

10

11

15

См. В.3.4

426~625

11

12

16,5

См. В.3.4

626~875

12

13

17,5

См. В.3.4

876~1175

13

15

18,5

См. В.3.4

1176~1550

14

16

19,5

См. В.3.4

1551~2025

15

17

21

См. В.3.4

2026~2675

16

18

22

См. В.3.4

2676~3450

17

19

23

См. В.3.4

3451~4350

18

20

24

См. В.3.4

4351~5450

19

21

25

См. В.3.4

5451~6800

20

23

26

См. В.3.4

6801~8500

21

25

27

См. В.3.4

8501~10700

22

27

28

См. В.3.4

>10700

Та же самая прогрессия

Та же самая прогрессия

См. В.3.4

B.3.4 Коэффициенты корректировки общей продолжительности/трудоемкости аудита

Таблицу общей продолжительности/трудоемкости аудита недопустимо использовать изолированно. При распределении времени необходимо учитывать следующие факторы, связанные со сложностью структуры СМИБ и, соответственно, требующие дополнительных усилий при проведении аудита СМИБ:

a) сложность структуры СМИБ (например, критичность информации, риски СМИБ и др.);

b) виды деловой активности, осуществляемой в рамках СМИБ;

c) ранее продемонстрированная результативность СМИБ;

d) степень разнообразия технологий, применяемых при реализации различных компонентов СМИБ (например, количество различных ИТ-платформ, количество раздельных сетей);

e) степень привлечения сторонних услуг и персонала, а также договоров по аутсорсингу со сторонними организациями в рамках области действия СМИБ;

f) степень развития информационной системы;

g) количество объектов и количество узлов аварийного восстановления (DR);

h) для инспекционного контроля и ресертификационного аудита: объем и степень изменений СМИБ в соответствии с ИСО/МЭК 17021-1, пункт 8.5.3.

В приложении C приведены примеры того, как эти факторы могут быть учтены при расчете общей продолжительности/трудоемкости аудита.

Дополнительными факторами, требующими увеличения общей продолжительности/трудоемкости аудита, могут быть:

- сложное материально-техническое обеспечение, включающее в себя более одного здания или помещения в области действия СМИБ;

- персонал, говорящий на нескольких языках [требующий переводчика и (или) не дающий отдельным аудиторам возможность работать самостоятельно];

- виды деятельности, требующие посещения временных объектов с целью подтвердить деятельность постоянного(ых) объекта(ов), система менеджмента которого(ых) подлежит сертификации (см. перечисления нижеследующего списка);

- большое количество стандартов и нормативов, применимых к СМИБ.

Примерными факторами, позволяющими уменьшить общую продолжительность/трудоемкость аудита, являются:

- процессы/продукты с низкой степенью риска или без такового;

- процессы, включающие один общий вид деятельности (например, только оказание услуг);

- высокий процент персонала, выполняющего работу под контролем организации-заказчика, осуществляющего аналогичные задачи;

- предварительное знание организации-заказчика (например, если организация-заказчик уже сертифицировалась по другому стандарту тем же органом по сертификации);

- высокая готовность организации-заказчика к сертификации (например, уже проходила сертификацию или признана в качестве составной части по схеме третьей стороны);

- зрелость действующей системы менеджмента.

В ситуации, когда сертифицируемая или сертифицированная организация-заказчик предоставляют свою продукцию или услуги на временных объектах, необходимо, чтобы оценки таких объектов оформлялись как составная часть сертификационного аудита и программ инспекционного контроля.

Перечисленные выше факторы должны учитываться, и в их отношении должны осуществляться необходимые корректировки, обосновывающие увеличение или уменьшение общей продолжительности/трудоемкости для эффективности проводимого аудита. Добавочные факторы могут взаимно компенсироваться вычитательными. Во всех случаях, когда осуществляется корректировка предусмотренной в таблице В.1 общей продолжительности/трудоемкости аудита, все такие изменения должны быть обоснованы и подтверждены соответствующими данными и документами.

B.3.5 Ограничения по отклонениям от общей продолжительности/трудоемкости аудита

В целях обеспечения эффективности проводимого аудита, а также для гарантии надежности и сопоставимости его результатов общая продолжительность/трудоемкость аудита, предусмотренная в таблице В.1, не может быть сокращена более чем на 30%.

Причины указанного отклонения должны быть приведены и оформлены документально.

B.3.6 Продолжительность выездного аудита

Предполагается, что продолжительность, рассчитанная в совокупности на планирование и подготовку отчета по аудиту, как правило, не может снижать общую продолжительность/трудоемкость выездного аудита до уровня ниже 70% времени, рассчитанного в соответствии с B.3.3 и B.3.4. Если требуется дополнительное время для планирования и (или) подготовки отчета, это не может являться аргументом в пользу сокращения общей продолжительности/трудоемкости выездного аудита. Продолжительность переезда аудиторов не включается в данный расчет и является дополнением к общей продолжительности/трудоемкости аудита, указанной в таблице B.1.

(Amd.1:2020)

Примечание - 70% - это коэффициент, основанный на опытных данных по проведению аудитов СМИБ.

B.4 Общая продолжительность/трудоемкость аудита при инспекционном контроле

Для цикла первоначального сертификационного аудита продолжительность инспекционного контроля в отношении конкретной организации следует рассчитывать пропорционально времени, затраченному на проведение первоначального аудита, к общему количеству времени, затрачиваемому в год на осуществление инспекционного контроля, что составляет примерно 1/3 от времени, затрачиваемого на проведение первоначального аудита. Плановую продолжительность инспекционного контроля следует периодически пересматривать для учета изменений, влияющих на общую продолжительность/трудоемкость аудита. Продолжительность проведения инспекционного контроля должна быть увеличена с целью проведения аудита изменений в СМИБ (например, аудит новых или измененных мер обеспечения).

B.5 Общая продолжительность/трудоемкость ресертификационного аудита

Общая продолжительность, отведенная на проведение ресертификационного аудита, зависит от результатов предыдущего аудита, как указано в 9.4.3 и ИСО/МЭК 17021-1, пункт 9.6.3. Продолжительность, отведенная на проведение ресертификационного аудита, пропорциональна времени, которое могло быть затрачено на проведение первоначального сертификационного аудита для этой же организации, и должна составлять не менее 2/3 от продолжительности, которая может потребоваться на проведение первоначального сертификационного аудита для этой организации во время ее запланированного аудита на предмет ресертификации.

B.6 Общая продолжительность/трудоемкость многообъектного аудита

Общее количество аудиторских дней на месте, рассчитанное для объема работ в соответствии с процедурой, изложенной в B.3.3, должно быть распределено между различными объектами (площадками) исходя из актуальности объекта (площадки) для системы менеджмента и выявленных рисков. Обоснование распределения должно быть зафиксировано органом по сертификации.

Общее время, затраченное на первоначальный аудит и инспекционный контроль, представляет собой общую сумму времени, затраченного на каждом объекте (площадке) и в центральном офисе, и не должно быть менее времени, которое было бы рассчитано для размера и сложности операции, если бы все работы проводились на одном объекте (площадке) [т.е. со всеми сотрудниками компании на одном объекте (площадке)].

(Amd.1:2020)

Приложение С
(справочное)

Методы расчета общей продолжительности/трудоемкости аудита

C.1 Общая часть

В данном приложении приведены дополнительные руководящие указания по выведению формулы для расчета общей продолжительности/трудоемкости аудита. В C.2 приведен пример классификации факторов, которые могут быть использованы в качестве основы для расчета общей продолжительности/трудоемкости аудита, а в С.3 - пример расчета общей продолжительности/трудоемкости аудита.

С.2 Классификация факторов для расчета общей продолжительности/трудоемкости аудита

В таблице С.1 приведены примеры классификации основных факторов для расчета общей продолжительности/трудоемкости аудита, перечисленных в B.3.4, перечисления a)-h). Данная классификация может использоваться органами по сертификации для выработки схемы расчета общей продолжительности/трудоемкости аудита согласно условиям 9.1.4.1.

Таблица С.1 - Классификация факторов для расчета общей продолжительности/трудоемкости аудита

Влияние

Сокращение

Нормальный режим

Увеличение

Факторы (см. В.3.4)

a) Сложность структуры СМИБ:

- требования ИБ [конфиденциальность, целостность и доступность (КЦД)];

- количество критичных активов;

- количество процессов и услуг

Незначительная секретная и конфиденциальная информация, низкие требования по доступности. Мало критичных объектов. Один ключевой бизнес-процесс с малым количеством связей и несколькими участвующими структурными единицами

Высокие требования по доступности или некоторая секретная или конфиденциальная информация. Несколько критичных активов.

Два-три простых бизнес-процесса с малым количеством связей и несколькими участвующими структурными единицами

Большое количество секретной или конфиденциальной информации (медицинская, персональные данные, страховки, банковские данные) или высокие требования по доступности.

Много критичных активов. Более двух сложных процессов с большим количеством связей и участвующих структур

b) Виды деловой активности, осуществляемой в рамках СМИБ

Низкий риск бизнеса без нормативных требований

Высокие нормативные требования

Рискованный бизнес с незначительным количеством нормативных требований

c) Ранее продемонстрированная результативность СМИБ

Недавно сертифицирован. Не сертифицирован, но СМИБ реализована посредством нескольких циклов аудита и доработки, включая документированные внутренние аудиты, анализы со стороны руководства и действующую систему постоянного улучшения

Недавний инспекционный контроль.

Не сертифицирован, но СМИБ частично реализована: имеются некоторые реализованные инструменты системы менеджмента; действуют некоторые процессы постоянного улучшения, но они документированы частично

Не сертифицирован, аудиты не проводились. СМИБ новая и не полностью внедрена (например, отсутствуют контрольные механизмы системы менеджмента, "сырые" процессы улучшения, ситуативное исполнение процессов)

d) Степень разнообразия технологий при реализации различных компонентов СМИБ (например, количество различных ИТ-платформ, количество раздельных сетей)

Высокостандар-
тизированная среда с незначительным разнообразием (несколько ИТ-платформ, серверов, операционных систем, баз данных, сетей и др.)

Стандартизированные, но разнообразные ИТ-платформы, серверы, операционные системы, базы данных, сети

Разнообразие или сложность ИТ (например, множество сетевых сегментов, типов серверов или баз данных, несколько основных приложений)

e) Степень привлечения сторонних услуг и персонала, а также договоров по аутсорсингу со сторонними организациями в рамках области действия СМИБ

Без аутсорсинга и с малой зависимостью от поставщиков. Четко определенные, управляемые и контролируемые договоренности по аутсорсингу. Аутсорсер имеет сертифицированную СМИБ. Доступны соответствующие отчеты

Несколько частично регулируемых договоренностей по аутсорсингу

Большая зависимость от аутсорсинга или поставщиков, существенно влияющих на бизнес. Неизвестный объем аутсорсинга.

Несколько бесконтрольных договоренностей по аутсорсингу

f) Степень развития информационной системы

Внутренние доработки системы отсутствуют. Использование стандартных приложений и платформ

Использование стандартных платформ с комплексной конфигурацией и параметрированием. (Узко) специальное ПО. Некоторая деятельность по доработкам ПО (самостоятельно или по аутсорсингу)

Обширная внутренняя деятельность по разработке программного обеспечения по нескольким текущим проектам для важных бизнес-целей

g) Количество объектов и количество узлов аварийного восстановления (DR)

Низкие требования по доступности, сайт отсутствует или существует один альтернативный сайт DR (аварийного восстановления)

Требования по средней или высокой доступности, сайт отсутствует или существует альтернативный сайт DR (аварийного восстановления)

Требования по высокой доступности, например услуги в режиме 24/7. Несколько альтернативных сайтов DR (аварийного восстановления). Несколько центров данных

h) Для инспекционного или ресертификационного аудита: объем и степень изменений СМИБ в соответствии с ИСО/МЭК 17021-1, пункт 8.5.3

Нет изменений после последнего аудита по повторной сертификации

Незначительные изменения в области СМИБ или ведомости применимости мер обеспечения информационной безопасности, например в некоторых политиках, документах и др.

Незначительные изменения в названных выше факторах

Существенные изменения в области СМИБ или ведомости применимости мер обеспечения информационной безопасности, например новые технологии, новые структурные единицы, направления, методологии оценки менеджмента рисков, политики, документация, методы снижение рисков. Значительные изменения в названных выше факторах

С.3 Пример расчета общей продолжительности/трудоемкости аудита

Следующий пример иллюстрирует, как орган по сертификации может использовать факторы, указанные в B.3, для расчета общей продолжительности/трудоемкости аудита. Расчет общей продолжительности/трудоемкости аудита в приведенном ниже примере действует следующим образом.

Шаг 1. Определение факторов, связанных с бизнесом и организацией (кроме ИТ): определить подходящую степень для каждой из категорий, приведенных в таблице C.2, и суммировать результаты.

Шаг 2. Определение факторов, связанных со средой ИТ: определить подходящую степень для каждой из категорий, приведенных в таблице C.3, и суммировать результаты.

Шаг 3. На основании шагов 1 и 2 определить влияние факторов на общую продолжительность/трудоемкость аудита, выбрав соответствующую строку в таблице С.4.

Шаг 4. Итоговый подсчет: количество дней, определенное путем использования таблицы общей продолжительности/трудоемкости аудита (таблица B.1), умножают на коэффициент, получаемый в результате выполнения шага 3. При использовании выборочной многообъектной проверки рассчитанное количество дней увеличивают на время, необходимое для выполнения плана выборочных многообъектных проверок.

В результате получают итоговое количество дней аудита.

Таблица C.2 - Факторы, связанные с бизнесом и организацией (кроме ИТ)

Категория

Степень

Типы бизнес- и нормативных требований

1 Организация работает в некритичных секторах бизнеса и в секторах без нормативного регулирования.

2 Организация имеет заказчиков в критичных секторах бизнеса.

3 Организация работает в критичных секторах бизнеса

Процесс и задачи

1 Стандартные процессы со стандартными и повторяющимися задачами; большое количество людей выполняют работу под контролем организации, решая одни и те же задачи; небольшое количество видов продукции или услуг.

2 Стандартные, но не повторяющиеся процессы, с большим количеством продукции или услуг.

3 Комплексные процессы, большое количество видов продукции или услуг, большое количество структурных единиц, участвующих в программе сертификации (СМИБ охватывает комплексные процессы или относительно большое количество уникальных видов деятельности)

Уровень реализации СМ

1 СМИБ уже внедрена и функционирует, и (или) действуют другие системы менеджмента.

2 Некоторые элементы других систем менеджмента реализованы, некоторые - нет.

3 Никакие другие системы менеджмента на реализованы вообще, СМИБ новая и не отработана

Критичные сектора бизнеса - это те сектора, которые могут повлиять на услуги общественного или государственного характера и вызвать риск здоровья людей, безопасности, экономики, имиджа государства и способности правительства продолжать функционировать, что в свою очередь может оказать значительное неблагоприятное воздействие на государство.

Таблица C.3 - Факторы, связанные с ИТ-средой

Категория

Степень

Сложность структуры ИТ

1 Несколько высокостандартизированных ИТ-платформ, серверов, операционных систем, баз данных, сетей и др.

2 Несколько различных ИТ-платформ, серверов, операционных систем, баз данных, сетей.

3 Много разных ИТ-платформ, серверов, операционных систем, баз данных, сетей

Зависимость от аутсорсинга и поставщиков, включая облачные сервисы

1 Незначительное или полное отсутствие зависимости от аутсорсинга и поставщиков.

2 Некоторая зависимость от аутсорсинга и поставщиков, связанная с некоторыми, но не всеми важнейшими направлениями бизнеса.

3 Высокая зависимость от аутсорсинга и поставщиков, большое влияние на важнейшие направления бизнеса

Разработка информационных систем

1 Отсутствие или очень ограниченный объем внутренних разработок систем и ПО.

2 Некоторый объем внутренних или привлеченных разработок систем и ПО для некоторых важнейших целей бизнеса.

3 Обширные внутренние разработки и привлечение систем и ПО для важнейших целей бизнеса

Таблица C.4 - Влияние факторов на общую продолжительность/трудоемкость аудита

Сложность системы ИТ

Низкая (от 3 до 4)

Средняя (от 5 до 6)

Высокая (от 7 до 9)

Сложность структуры бизнеса

Высокая
(от 7 до 9)

От +5%
до +20%

От +10%
до +50%

От +20%
до +100%

Средняя
(от 5 до 6)

От -5%
до -10%

0%

От +10%
до +50%

Низкая
(от 3 до 4)

От -10%
до -30%

От -5%
до -10%

От +5%
до +20%

Примеры

1 Проверяемая организация имеет 700 сотрудников, следовательно, в соответствии с таблицей B.1, требуется 17,5 дней на проведение первоначального аудита. Организация не работает в критичном секторе бизнеса, имеет высокостандартизированные и повторяющиеся задачи и недавно внедрила СМИБ. В соответствии с таблицей С.2 в результате получаем коэффициент, связанный с бизнесом и организацией: 1+1+3=5. Организация имеет всего несколько ИТ-платформ и баз данных, но активно пользуется привлеченными услугами. В организации не осуществляются разработки систем или ПО и не привлекаются со стороны. В соответствии с таблицей C.3 это дает коэффициент, связанный с ИТ-средой: 1+3+1=5. При помощи таблицы C.4 можно сделать вывод, что корректировки общей продолжительности/трудоемкости аудита не требуется.

2 Та же самая организация, что и в первом примере, за исключением того, что в ней уже действуют несколько систем менеджмента, а СМИБ уже хорошо отработана. Это вносит изменение в расчет по таблице C.2 на следующий: 1+1+1=3. В соответствии с таблицей C.4 это дает снижение от 5% до 10% общей продолжительности/трудоемкости аудита, т.е. общая продолжительность/трудоемкость аудита будет сокращена от одного до полутора дней, что в итоге составит от 16 до 16,5 дней.

Приложение D
(справочное)

Руководящие указания по анализу мер обеспечения, внедренных в соответствии с приложением А ИСО/МЭК 27001

D.1 Цель

Практическая реализация мер обеспечения, необходимых согласно решению организации-заказчика для СМИБ (согласно ведомости применимости мер обеспечения информационной безопасности), должна анализироваться во время второго этапа первоначального аудита, а также во время инспекционного контроля или ресертификационного аудита.

Свидетельства аудита, собираемые органом по сертификации, должны быть достаточными, чтобы сделать вывод, являются ли меры обеспечения эффективными. Каким образом предполагается осуществлять контроль - должно быть определено в процедурах или политиках организации-заказчика.

D.1.1 Свидетельства аудита

Свидетельства аудита высшего качества по аудиту собираются в процессе наблюдений аудитором (например, что запираемая дверь действительно заперта, что служащие действительно подписывают соглашения о соблюдении конфиденциальности, что перечень активов существует и содержит наблюдаемые активы, что параметры настройки системы являются адекватными и т.д.). Такие свидетельства могут собираться при наблюдении результатов применения мер обеспечения [например, распечатки прав доступа, подписанные соответствующим уполномоченным лицом; документация об устранении последствий инцидентов; полномочия для обработки данных, подписанные соответствующим уполномоченным лицом; протоколы управленческих (или других) совещаний и т.д.]. Свидетельства могут быть результатом непосредственного испытания аудитором (или повторного действия) мер обеспечения [например, попытки выполнить задачи, заявленные как запрещенные мерами обеспечения, определение, установлено ли программное обеспечение для защиты от злоумышленного кода и обновляется ли оно на машинах, выдаются ли права доступа (после проверки полномочий) и т.д.]. Свидетельства могут собираться посредством проведения опроса сотрудников, выполняющих работы под контролем организации-заказчика/подрядчиков, о процессах и мерах обеспечения и определения, является ли это корректным.

D.2 Применение таблицы D.1

D.2.1 Общая часть

В таблице D.1 приведены руководящие указания по проведению анализа реализации мер обеспечения, перечисленных в ИСО/МЭК 27001, приложение А, и сбора свидетельств аудита относительно их действия в течение первоначального и последующих аудитов. Таблица не содержит руководящие указания по анализу мер обеспечения, кроме тех, что предусмотрены в ИСО/МЭК 27001, приложение А.

D.2.2 Графы "Организационный контроль" и "Технический контроль"

"X" в соответствующей графе показывает, является ли контроль организационным или техническим. Так как некоторые меры обеспечения являются и организационными, и техническими, для таких мер обеспечения ставятся отметки в обеих графах.

Свидетельства, подтверждающие функционирование организационных мер обеспечения, могут собираться при помощи анализа записей о функционировании мер обеспечения, опросов, наблюдения и физического осмотра. Свидетельства, подтверждающие функционирование технических мер обеспечения, зачастую могут собираться при помощи испытания системы (см. ниже) или посредством использования специализированных инструментов аудита/предоставления отчетности.

D.2.3 Графа "Испытание системы"

"Испытание системы" означает прямую проверку систем (например, проверка параметров настройки системы или конфигурации). Ответы на вопросы аудиторов можно получить на пульте управления системы или посредством оценки результатов инструментальных средств тестирования. Если организация-заказчик применяет известные аудитору компьютерные средства, то они могут использоваться в помощь аудитору или для проверки результатов оценки, осуществленной организацией-заказчиком (или их субподрядчиками).

Существуют две категории проверки технических мер обеспечения:

- "возможно": тестирование системы может применяться для оценки практической реализации мер обеспечения, но не является необходимым при проведении аудита СМИБ;

- "рекомендуется": тестирование системы обычно необходимо при проведении аудита СМИБ.

D.2.4 Графа "Визуальная проверка"

"Визуальная проверка" означает, что указанные меры обеспечения обычно требуют визуального контроля на месте для оценки их эффективности. Это означает, что недостаточно проверить соответствующую документацию на бумаге или при помощи опросов - аудитор должен проверить меру обеспечения на том месте, где она используется.

D.2.5 Графа "Руководящие указания по анализу аудита"

В графе "Руководящие указания по анализу аудита" представлены возможные приоритетные области для оценки данной меры обеспечения в качестве дополнительного руководства для аудитора.

Таблица D.1 - Классификации средств контроля

Меры обеспечения согласно приложению А ИСО/МЭК 27001:2013

Организа-
ционный контроль

Технический контроль

Испытание системы

Визуальная проверка

Рекомендации по анализу аудита

A.5 Политики информационной безопасности

A.5.1 Руководящие указания в части информационной безопасности

A.5.1.1 Политики информационной безопасности

X

A.5.1.2 Пересмотр политик информационной безопасности

X

A.6 Организация деятельности по информационной безопасности

A.6.1 Внутренняя организация деятельности по обеспечению информационной безопасности

A.6.1.1 Роли и обязанности по обеспечению информационной безопасности

X

A.6.1.2 Разделение обязанностей

X

A.6.1.3 Взаимодействие с органами власти

X

A.6.1.4 Взаимодействие с профессиональными сообществами

X

A.6.1.5 Информационная безопасность при управлении проектом

X

A.6.2 Мобильные устройства и дистанционная работа

A.6.2.1 Политика использования мобильных устройств

X

X

Возможно

Также проверить практическую реализацию политики, где это целесообразно

A.6.2.2 Дистанционная работа

X

X

Возможно

Также проверить практическую реализацию политики, где это целесообразно

A.7 Безопасность, связанная с персоналом

A.7.1 При приеме на работу

A.7.1.1 Проверка

X

A.7.1.2 Правила и условия работы

X

A.7.2 Во время работы

A.7.2.1 Обязанности руководства организации

X

A.7.2.2 Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности

X

Опросить сотрудников, осведомлены ли они об особенностях, которые должны быть им известны

A.7.2.3 Дисциплинарный процесс

X

A.7.3 Увольнение и смена места работы

A.7.3.1 Прекращение или изменение трудовых обязанностей

X

A.8 Менеджмент активов

A.8.1 Ответственность за активы

A.8.1.1 Инвентаризация активов

X

Указать активы

A.8.1.2 Владение активами

X

A.8.1.3 Допустимое использование активов

X

A.8.1.4 Возврат активов

X

A.8.2 Категорирование информации

A.8.2.1 Категорирование информации

X

Также проверить практическую реализацию политики, где это целесообразно

A.8.2.2 Маркировка информации

X

Наименование: директории, файлы, напечатанные отчеты, носители данных с записями (например, магнитные ленты, дискеты и CD), электронные сообщения и передача файлов

A.8.2.3 Обращение с активами

X

A.8.3 Обращение с носителями информации

A.8.3.1 Управление сменными носителями информации

X

X

Возможно

A.8.3.2 Утилизация носителей информации

X

X

Процесс утилизации

A.8.3.3 Перемещение физических носителей

X

Физическая защита

A.9 Управление доступом

A.9.1 Требования бизнеса по управлению доступом

A.9.1.1 Политика управления доступом

X

Также проверить практическую реализацию политики, где это целесообразно

A.9.1.2 Доступ к сетям и сетевым сервисам

X

Также проверить практическую реализацию политики, где это целесообразно

A.9.2 Процесс управления доступом пользователей

A.9.2.1 Регистрация и отмена регистрации пользователей

X

A.9.2.2 Предоставление пользователю права доступа

X

X

Возможно

Привести пример лиц, работающих под контролем организации/ поставщиков, имеющих разрешение по доступу со всеми правами ко всем системам

A.9.2.3 Управление привилегированными правами доступа

X

X

Возможно

Внутренние перемещения персонала

A.9.2.4 Процесс управления секретной аутентификационной информацией пользователей

X

A.9.2.5 Пересмотр прав доступа пользователей

X

A.9.2.6 Аннулирование или корректировка прав доступа

X

A.9.3 Ответственность пользователей

A.9.3.1 Использование секретной аутентификационной информации

X

Проверить рекомендации и политику для пользователей

A.9.4 Управление доступом к системам и приложениям

A.9.4.1 Ограничение доступа к информации

X

X

Рекомендуется

A.9.4.2 Безопасные процедуры входа в систему

X

X

Рекомендуется

A.9.4.3 Система управления паролями

X

X

Рекомендуется

A.9.4.4 Использование привилегированных служебных программ

X

X

Рекомендуется

A.9.4.5 Управление доступом к исходному тексту программы

X

X

Рекомендуется

A.10 Криптография

А.10.1 Криптографическая защита информации

A.10.1.1 Политика использования средств криптографической защиты информации

X

Также проверить практическую реализацию политики, где это целесообразно

A.10.1.2 Управление ключами

X

X

Рекомендуется

Также проверить практическую реализацию политики, где это целесообразно

A.11 Физическая безопасность и защита от воздействия окружающей среды

A.11.1 Зоны безопасности

A.11.1.1 Физический периметр безопасности

X

A.11.1.2 Меры и средства контроля и управления физическим доступом

X

X

Возможно

X

Ознакомиться с документацией по доступу

A.11.1.3 Безопасность зданий, помещений и оборудования

X

X

A.11.1.4 Защита от внешних угроз и угроз со стороны окружающей среды

X

X

A.11.1.5 Работа в зонах безопасности

X

X

A.11.1.6 Зоны погрузки и разгрузки

X

X

A.11.2 Оборудование

A.11.2.1 Размещение и защита оборудования

X

X

A.11.2.2 Вспомогательные услуги

X

X

Возможно

X

A.11.2.3 Безопасность кабельной сети

X

X

A.11.2.4 Техническое обслуживание оборудования

X

A.11.2.5 Перемещение активов

X

Опись активов за пределами объекта

A.11.2.6 Безопасность оборудования и активов вне помещений организации

X

X

Возможно

Шифрование переносных устройств

A.11.2.7 Безопасная утилизация или повторное использование оборудования

X

X

Возможно

X

Стирание диска, шифрование диска

A.11.2.8 Оборудование, оставленное пользователем без присмотра

X

Проверить рекомендации и политику для пользователей

A.11.2.9 Политика "чистого стола" и "чистого экрана"

X

X

Также проверить практическую реализацию политики, где это целесообразно

A.12 Безопасность при эксплуатации

A.12.1 Эксплуатационные процедуры и обязанности

A.12.1.1 Документально оформленные эксплуатационные процедуры

X

A.12.1.2 Процесс управления изменениями

X

X

Рекомендуется

A.12.1.3 Управление производительностью

X

X

Возможно

A.12.1.4 Разделение сред разработки, тестирования и эксплуатации

X

X

Возможно

A.12.2 Защита от вредоносных программ

A.12.2.1 Меры обеспечения информационной безопасности в отношении вредоносных программ

X

X

Рекомендуется

Конфигурация и полнота покрытия для контроля вредоносного ПО

A.12.3 Резервное копирование

A.12.3.1 Резервное копирование информации

X

X

Рекомендуется

Выбор событий для регистрации на основе риска

A.12.4 Регистрация и мониторинг

A.12.4.1 Регистрация событий

X

X

Возможно

A.12.4.2 Защита информации регистрационных журналов

X

X

Возможно

A.12.4.3 Регистрационные журналы действий администратора и оператора

X

X

Возможно

A.12.4.4 Синхронизация часов

X

Возможно

A.12.5 Контроль программного обеспечения, находящегося в эксплуатации

A.12.5.1 Установка программного обеспечения в эксплуатируемых системах

X

X

Возможно

A.12.6 Менеджмент технических уязвимостей

A.12.6.1 Учет и нейтрализация технических уязвимостей

X

X

Рекомендуется

Патч-
менеджмент на основе оценки риска и укрепление операционных систем, баз данных и приложений

A.12.6.2 Ограничения по установке программного обеспечения

X

X

Возможно

A.12.7 Особенности аудита информационных систем

A.12.7.1 Меры обеспечения информационной безопасности в отношении аудита информационных систем

X

A.13 Безопасность связи

A.13.1 Менеджмент информационной безопасности сетей

A.13.1.1 Меры обеспечения информационной безопасности сетей

X

X

Возможно

Сетевой менеджмент

A.13.1.2 Безопасность сетевых сервисов

X

X

Рекомендуется

SLA, положения о ИБ сетевых услуг (например, VPN, контроль сетевой маршрутизации и подключений, конфигурация сетевых устройств)

A.13.1.3 Разделение в сетях

X

X

Возможно

Сетевые схемы, сетевые сегменты (например, DMZ) и разделение (например, VLAN)

A.13.2 Передача информации

A.13.2.1 Политики и процедуры передачи информации

X

Также проверить практическую реализацию политики, где это целесообразно

A.13.2.2 Соглашения о передаче информации

X

A.13.2.3 Электронный обмен сообщениями

X

X

Возможно

Подтвердить, что образцы сообщений соответствуют политике и процедурам

A.13.2.4 Соглашения о конфиденциальности или неразглашении

X

A.14 Приобретение, разработка и поддержка систем

A.14.1 Требования к безопасности информационных систем

A.14.1.1 Анализ и спецификация требований информационной безопасности

X

A.14.1.2 Обеспечение безопасности прикладных сервисов, предоставляемых с использованием сетей общего пользования

X

X

Рекомендуется

Услуги ПО на основе оценки рисков

A.14.1.3 Защита транзакций прикладных услуг

X

X

Рекомендуется

Конфиденциальность, целостность, безотказность

A.14.2 Безопасность в процессах разработки и поддержки

A.14.2.1 Политика безопасной разработки

X

Также проверить практическую реализацию политики, где это целесообразно

A.14.2.2 Процедуры управления изменениями системы

X

X

Рекомендуется

A.14.2.3 Техническая экспертиза приложений (прикладных программ) после изменений операционной платформы

X

A.14.2.4 Ограничения на изменения пакетов программ

X

A.14.2.5 Принципы безопасного проектирования систем

X

A.14.2.6 Безопасная среда разработки

X

X

Возможно

A.14.2.7 Разработка с использованием аутсорсинга

X

A.14.2.8 Тестирование безопасности систем

X

A.14.2.9 Приемо-сдаточные испытания системы

X

X

Возможно

A.14.3 Тестовые данные

A.14.3.1 Защита тестовых данных

X

X

Возможно

X

A.15 Взаимоотношения с поставщиками

A.15.1 Информационная безопасность во взаимоотношениях с поставщиками

A.15.1.1 Политика информационной безопасности во взаимоотношениях с поставщиками

X

Также проверить практическую реализацию политики, где это целесообразно

A.15.1.2 Рассмотрение вопросов безопасности в соглашениях с поставщиками

X

Проверить несколько условий контракта

A.15.1.3 Цепочка поставок информационно-
коммуникационных технологий

X

Проверить несколько условий контракта

A.15.2 Управление услугами, предоставляемыми поставщиком

A.15.2.1 Мониторинг и анализ услуг поставщика

X

A.15.2.2 Управление изменениями услуг поставщика

X

A.16 Менеджмент инцидентов информационной безопасности

A.16.1 Менеджмент инцидентов информационной безопасности и улучшений

A.16.1.1 Обязанности и процедуры

X

A.16.1.2 Сообщения о событиях информационной безопасности

X

A.16.1.3 Сообщения о недостатках информационной безопасности

X

A.16.1.4 Оценка и принятие решений в отношении событий информационной безопасности

X

A.16.1.5 Реагирование на инциденты информационной безопасности

X

A.16.1.6 Анализ инцидентов информационной безопасности

X

A.16.1.7 Сбор свидетельств

X

A.17 Аспекты информационной безопасности в рамках менеджмента непрерывности деятельности организации

A.17.1 Непрерывность информационной безопасности

A.17.1.1 Планирование непрерывности информационной безопасности

X

A.17.1.2 Реализация непрерывности информационной безопасности

X

A.17.1.3 Проверка, анализ и оценивание непрерывности информационной безопасности

X

A.17.2 Резервирование оборудования

A.17.2.1 Доступность средств обработки информации

X

X

Возможно

A.18 Соответствие

A.18.1 Соответствие правовым и договорным требованиям

A.18.1.1 Идентификация применимых законодательных и договорных требований

X

Рекомендуется

A.18.1.2 Права на интеллектуальную собственность

X

A.18.1.3 Защита записей

X

X

Рекомендуется

A.18.1.4 Конфиденциальность и защита персональных данных

X

Также проверить практическую реализацию политики, где это целесообразно

A.18.1.5 Регулирование средств криптографической защиты информации

X

A.18.2 Проверки информационной безопасности

A.18.2.1 Независимая проверка информационной безопасности

X

A.18.2.2 Соответствие политикам и стандартам безопасности

X

A.18.2.3 Анализ технического соответствия

X

X

Приложение ДА
(справочное)

Сведения о соответствии ссылочных международных стандартов национальным стандартам

Таблица ДА.1

Обозначение ссылочного международного стандарта

Степень соответствия

Обозначение и наименование соответствующего национального стандарта

ISO/IEC 17021-1:2015

IDT

ГОСТ Р ИСО/МЭК 17021-1-2017 "Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования"

ISO/IEC 27000

IDT

ГОСТ Р ИСО/МЭК 27000-2012 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология"

ISO/IEC 27001:2013

-

*

* Соответствующий национальный стандарт отсутствует. До его принятия рекомендуется использовать перевод на русский язык данного международного стандарта.

Примечание - В настоящей таблице использовано следующее условное обозначение степени соответствия стандартов:

- IDT - идентичные стандарты.

Библиография

[1]

ISO 19011

Guidelines for auditing management systems (Руководящие указания по аудиту систем менеджмента)

[2]

ISO/IEC 27007

Information technology - Security techniques - Guidelines for information security management systems auditing (Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности)

[3]

ISO 9001

Quality management systems - Requirements (Системы менеджмента качества. Требования)

УДК 351.864.1:004:006.354

ОКС 03.120.20

Ключевые слова: сертификация, аудит, орган по сертификации, система менеджмента информационной безопасности

Электронный текст документа

и сверен по:

, 2020