auditors guide-iso-27001-on-russian

В.В. Аксёнов

АУДИТ СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ.

РУКОВОДСТВО.

http://itsec.by/ 2

ОГЛАВЛЕНИЕ 1 ОБЛАСТЬ ПРИМЕНЕНИЯ ..................................................... 3

2 НОРМАТИВНЫЕ ССЫЛКИ .................................................... 4

3 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ .............................................. 5

4 ПРИНЦИПЫ АУДИТА ............................................................. 9

5 УПРАВЛЕНИЕ ПРОГРАММОЙ АУДИТА ............................10

6 ДЕЯТЕЛЬНОСТЬ ПРИ ПРОВЕДЕНИИ АУДИТА ..............11

7 КОМПЕТЕНТНОСТЬ И ОЦЕНКА АУДИТОРА ...................29

ПРИЛОЖЕНИЕ А - ПЕРЕЧЕНЬ ДОКУМЕНТОВ СМИБ, ОБЯЗАТЕЛЬНЫХ ДЛЯ СЕРТИФИКАЦИИ НА СООТВЕТСТВИЕ ISO 27001 ...................................................32

ПРИЛОЖЕНИЕ Б - ПЛАН ПРОВЕДЕНИЯ АУДИТА СМИБ НА СООТВЕТСТВИЕ ISO 27001 .............................................40

ПРИЛОЖЕНИЕ В - КОНТРОЛЬНЫЙ СПИСОК (ISO 27001) ......................................................................................................43

ПРИЛОЖЕНИЕ Г - КОНТРОЛЬНЫЙ СПИСОК (ISO 27002) ......................................................................................................55

КУРС «805. АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ» ....................................................................87

http://itsec.by/ 3

1 ОБЛАСТЬ ПРИМЕНЕНИЯ

Это руководство содержит рекомендации для ИТ аудиторов, по проведению аудита СМИБ на соответствие серии стандартов ISO 2700x. Также после реализации СМИБ руководство может использоваться при проведении анализа СМИБ со стороны руководства. Руководство носит общий характер и должно быть адаптировано в соответствии с потребностями организации. Необходимо отметить, что аудит лучше планировать и проводить в отношении областей подверженных рискам.

Отправной точкой для планирования и проведения аудита может быть начальная оценка основных рисков, которым подвергается Компания (пред-аудит или gap анализ).

http://itsec.by/ 4

2 НОРМАТИВНЫЕ ССЫЛКИ

ISO/IEC 27000:2009, Information security management systems — Overview and vocabulary (Система менеджмента информационной безопасности. Общий обзор и терминология);

ISO/IEC 27001:2005, Information security management systems — Requirements (Система менеджмента информационной безопасности. Требования);

ISO/IEC 27002:2005, Code of practice for information security management (Свод правил по управлению защитой информации);

ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems (Требования для органов, обеспечивающих аудит и сертификацию систем менеджмента информационной безопасности);

ISO/IEC 27007, Guidelines for information security management systems auditing (Руководство для аудитора СМИБ);

ISO/IEC 17021:2006, Conformity assessment — Requirements for bodies providing audit and certification of management systems (Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента).

ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing (Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента)

http://itsec.by/ 5

3 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Аудит (Audit) — систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита.

Критерии аудита — совокупность политики, процедур или требований.

Примечание — Критерии аудита используют для сопоставления с ними свидетельств аудита.

Свидетельство аудита (Audit evidence) — записи, изложение фактов или другая информация, связанная с критериями аудита и которая может быть проверена.

Примечание — Свидетельство аудита может быть качественным или количественным.

Наблюдения аудита (Audit finding) — результат оценки собранных свидетельств аудита на соответствие критериям аудита.

Примечание — Наблюдения аудита могут указывать на соответствие или несоответствие критериям аудита или на возможности улучшения.

Заключение по результатам аудита (Audit report) — выходные данные аудита, предоставленные группой по аудиту после рассмотрения целей аудита и всех наблюдений аудита.

http://itsec.by/ 6

Заказчик аудита — организация или лицо, заказавшие аудит.

Примечание — Заказчиком аудита может быть проверяемая организация или любая другая организация, которая обладает законным правом или правом по контракту заказывать проведение аудита.

Проверяемая организация — организация, подвергающаяся аудиту.

Аудитор — лицо, обладающее компетентностью для проведения аудита.

Группа по аудиту — один или несколько аудиторов, проводящих аудит, при необходимости поддерживаемые техническими экспертами.

Технический эксперт — лицо, предоставляющее группе по аудиту свои знания или опыт по специальному вопросу.

Примечание 1 — Знания или опыт по специальному вопросу могут быть отнесены к организации, процессу или деятельности, подвергаемым аудиту, а также к вопросам языка или культуры страны, в которой проводится аудит.

Примечание 2 — Технический эксперт не участвует в группе по аудиту в качестве аудитора.

Программа аудита (Audit programme) — один или несколько аудитов, запланированных на конкретный период времени и направленных на достижение конкретной цели.

http://itsec.by/ 7

Примечание — Программа аудита включает всю деятельность, необходимую для планирования, организации и проведения аудитов.

План аудита (Audit plan) — описание деятельности и мероприятий по проведению аудита.

Область аудита — содержание и границы аудита.

Примечание — Область аудита обычно включает местонахождение, организационную структуру, виды деятельности и процессов, а также охватываемый период времени.

Вопросник аудитора (Audit checklist) — структурированные анкеты или рабочие планы, которыми руководствуется аудитор при проведении аудита.

Рекомендация по аудиту (Audit recommendation) – корректирующее действие, связанное с одним или несколькими наблюдениями аудита, которое должно быть выполнено (реализовано) до прохождения сертификации или ресертификации СМИБ.

Риск аудита (Audit risk) – возможность не достигнуть цели аудита, например, при использовании ненадежной, неполной, неточной информации.

Аудиторский тест (Audit test) — проверка, проводимая аудитором для верификации эффективности, результативности средств управления информационной безопасностью и их адекватности для снижения одного или нескольких рисков для организации.

http://itsec.by/ 8

Документы аудита (Audit work papers) – документы, написанные (заполненные) аудиторами при проведении аудита.

Аудит соответствия (Compliance audit) – вид аудита, специально предназначенный для оценки степени, в которой объект аудита соответствует установленным требованиям.

Аудит СМИБ (ISMS audit) – аудит, объектом которого является СМИБ.

Риск-аудит (Risk-based audit) – аудит планируемый на основании оценки рисков.

http://itsec.by/ 9

4 ПРИНЦИПЫ АУДИТА

При проведении аудита СМИБ важно соблюдать все принципы, описанные в ISO 19011 и относящиеся к аудиту систем менеджмента.

Во всех вопросах связанных с аудитом СМИБ, аудитор должен быть независимым от объекта аудита. Функция аудита в организации должна быть независимой от проверяемой области для получения объективных результатов.

Информационная безопасность является динамично развиваемой областью, поэтому важно, чтобы аудиторы информационной безопасности были постоянно в курсе современных угроз, уязвимостей, и ситуации в организации (бизнес-процессов, технологий, отношений).

http://itsec.by/ 10

5 УПРАВЛЕНИЕ ПРОГРАММОЙ АУДИТА

В данном разделе описывается деятельность, связанная с управлением программой аудита СМИБ (например: планирование, контроль, анализ):

Необходимо планировать в пределах полной программы аудита, комбинирование широких высокоуровневых аудитов СМИБ с узкими глубокими (техническими) проверками в областях повышенного риска.

Необходимо планировать аудит СМИБ своих бизнес-партнеров.

Необходимо разработать программу внутреннего аудита СМИБ. При подготовке к сертификационному аудиту СМИБ, необходимо разработать план аудита. Этот план является производным из документа «Область применения сертификации», который заполняется при запросе сертификационного аудита.

http://itsec.by/ 11

6 ДЕЯТЕЛЬНОСТЬ ПРИ ПРОВЕДЕНИИ АУДИТА

6.1 Общие положения

Общий процесс аудита ISO 19011 нуждается в видоизменении, чтобы учесть особенности аудита ИТ и СМИБ.

При проведении аудита СМИБ необходимо:

оценить и проверить на соответствие требованиям структуру, политику, процессы, процедуры, записи и другие документы организации, относящиеся к СМИБ;

удостовериться, что процессы и процедуры были разработаны, внедрены и поддерживаются в рабочем состоянии;

сообщить заказчику о возможных действиях при возникновении противоречий между политикой, целями и задачами СМИБ и результатами.

План и дата проведения аудита должны быть сообщены и согласованы с проверяемой организацией заранее.

Аудитор должен разработать и документировать требования к процессу про-ведения аудитов на местах в соответствии с руководящими указаниями, приведенными в ИСО 19011.

Основные этапы проведения аудита представлены на ниже:

http://itsec.by/ 12

Организация проведения аудита

Предварительный анализ документов

Подготовка к проведению аудита на месте

Проведение аудита на месте

Анализ собранных данных

Подготовка отчета по результатам аудита

Завершение аудита

6.2 Организация проведения аудита

Главным результатом этого этапа является согласованные область применения аудита, устав аудита, письма-обязательства или аналоги. Списки контактов, документы по СМИБ (рабочие документы, свидетельства, отчеты и т.д.), связанные с аудитом.

6.2.1 Определение целей, области и критериев аудита

Перед проведением аудита СМИБ необходимо определить цели, область и критерии аудита.

Критерием проведения аудита является стандарт ISO/IEC 27001.

http://itsec.by/ 13

Цели аудита определяет заказчик аудита (например, руководство проверяемой организации).

Цели аудита могут включать в себя:

а) определение степени соответствия СМИБ проверяемой организации или ее частей стандарту ISO/IEC 27001;

b) оценку возможности СМИБ обеспечивать соответствие законодательным требованиям, нормативным требованиям и требованиям контракта;

c) оценку результативности СМИБ для достижения конкретных целей (например определенных в политике информационной безопасности, или политике СМИБ);

d) идентификацию областей потенциального совершенствования СМИБ.

Область аудита определяет заказчик аудита совместно с аудитором.

Область аудита может включать содержание и границы аудита, месторасположение, структурные подразделения, деятельность и процессы, которые подвергаются аудиту, а также сроки аудита.

На данном этапе аудиторы СМИБ определяют область и границы проведения аудита, на основании оценки рисков и требований заказчика аудита. При подготовке к проведению аудита необходимо проанализировать следующие источники информации:

общие исследования по отрасли и организации

http://itsec.by/ 14

отчеты по проведению предыдущих аудитов СМИБ

положение о применимости

политику СМИБ

план обработки рисков

Аудитор СМИБ должен убедиться в том, что определенная заказчиком аудита область применения СМИБ «имеет смысл» в отношении данной организации. Область проведения аудита, как правило, соответствует области применения СМИБ в организации. Например, крупная организация, включающая в себя отдельные распределенные бизнес-единицы (подразделения) может иметь всеобъемлющую корпоративную СМИБ, или некоторое сочетание локальной и корпоративной СМИБ.

Если сертификации подлежит СМИБ охватывающая всю организацию, аудитору, возможно, придется проанализировать функционирование СМИБ, если не на всех подразделениях, то по крайне мере на репрезентативной выборке, таких как штаб-квартира и отдельные бизнес единицы, выбранные аудитором.

Аудиторы должны уделять особое внимание рискам и средствам управления информационной безопасностью, связанным с информационными каналами связи с другими объектами (организациями, подразделениями и т.д.), которые выходят за область применения СМИБ, например, проверка адекватности информации в Соглашении об уровне услуг (SLA), контрактах с поставщиками ИТ-

http://itsec.by/ 15

услуг, связанной с обеспечением безопасности информации. Это легче сделать, если выходящие за область применения объекты сертифицированы на соответствие ISO/IEC 27001.

6.2.2 Установление первоначального контакта с проверяемой организацией

Первоначальный контакт с проверяемой организацией устанавливает руководитель группы по аудиту. Во время установления начального контакта с проверяемой организацией, аудитор должен идентифицировать, а в идеале вступить в контакт с заинтересованными в СМИБ сторонами (такими как менеджер по информационной безопасности, архитектор по безопасности, разработчик СМИБ, исполнитель СМИБ), и другими влиятельными лицами (такими как ИТ-директор (CIO), исполнительный директор (CEO), директор по безопасности (CSO)), чтобы иметь возможность запросить документы, которые будут рассмотрены в ходе аудита.

Организация (заказчик аудита) обычно назначает одного или нескольких сопровождающих аудитора лиц (или наблюдателей), которые несут ответственность за обеспечение свободного перемещения аудитора по организации и возможности быстро найти людей, информацию и т.д., необходимых для проведения аудита, также данные лица будут выступать в качестве точки контакта аудитора руководства организации.

Сопровождающие лица и наблюдатели не являются аудиторами, поэтому они не должны оказывать

http://itsec.by/ 16

влияние на проведение аудита или вмешиваться в проведение аудита.

Сопровождающие лица, назначенные проверяемой организацией, должны оказывать помощь группе по аудиту, действовать по просьбе руководителя группы по аудиту и выполнять следующие обязанности:

а) обеспечение контактов и назначение времени для встреч;

b) обеспечение посещений определенных мест производственной площадки или организации;

c) обеспечение того, чтобы правила и процедуры по безопасности были известны и соблюдались членами группы по аудиту;

d) исполнение функций лиц, свидетельствующих в ходе аудита от имени проверяемой организации;

e) предоставление разъяснений или оказание помощи при сборе информации.

Целью первоначального контакта является:

а) определение каналов обмена информацией с представителем проверяемой организации;

б) подтверждение полномочий для проведения аудита;

в) предоставление информации по предлагаемому графику аудита и составу группы по аудиту;

г) получение разрешения на доступ к соответствующим документам, включая записи;

http://itsec.by/ 17

д) согласование присутствия наблюдателей и сопровождающих для группы по аудиту.

6.3 Предварительный анализ документов

Прежде чем начать деятельность по аудиту на месте, анализируют документы проверяемой организации, документы по СМИБ, записи, а также отчеты по предыдущим аудитам с целью определения соответствия СМИБ требованиям стандарта ISO/IEC 27001. Анализ должен учитывать размер, вид деятельности и сложность организации, а также цели и область аудита. В некоторых случаях этот анализ может быть отложен до начала проведения аудита на месте.

Если документация СМИБ признана неадекватной (не соответствующей требованиям ISO/IEC 27001), то аудитор должен проинформировать заказчика аудита, через согласованный канал обмена информацией. В данном случае необходимо принять решение по продолжению или приостановке аудита до тех пор, пока проблемы с документацией не будут разрешены.

Требования к документации СМИБ представлены в Приложении А.

6.4 Подготовка к проведению аудита на месте

На данном этапе определяются временные рамки аудита и ключевые аспекты, представляющие наибольший риск для организации.

http://itsec.by/ 18

6.4.1 Подготовка плана аудита

Аудитор должен подготовить план аудита для согласования с заказчиком аудита и проверяемой организацией. На основании плана уточняют сроки выполнения отдельных работ, предусмотренных планом.

При подготовке плана обычно используются общие методы планирования проектов (например, диаграммы Ганта).

В план по проведению аудита можно включить отдельные «контрольные точки», представляющие возможность аудиторам представить неформальные промежуточные обновления для руководства и заинтересованных лиц, включая предварительные уведомления о любых замеченных несоответствиях (или потенциальных несоответствиях) и т.д., а также поднять любые вопросы по поводу ограниченного доступа к информации и людям. На данных встречах руководство может поднять любые вопросы по поводу характера работы аудиторов. План аудита должен включать:

цели аудита;

критерии аудита и ссылочные документы;

область аудита, включая идентификацию организационных и функциональных подразделений и процессов, которые будут проверяться;

дату и место проведения аудита;

http://itsec.by/ 19

предполагаемое время начала и продолжительность проведения аудита на месте, включая совещания с руководством проверяемой организации и совещания групп по аудиту;

функции и обязанности членов группы по аудиту и сопровождающих лиц;

запланированную дату предоставления отчета по результатам аудита.

содержание отчета (акта) по аудиту;

вопросы, касающиеся обеспечения конфиденциальности.

Любое изменение плана аудита должно быть согласовано с заинтересованными сторонами.

Вариант плана проведения аудита представлен в Приложении Б

Примечание: Верификация завершения и результативности корректирующих действий должна быть частью аудита, в том случае если по предыдущим аудитам были выданы рекомендации и обнаружены несоответствия.

6.4.2 Подготовка рабочих документов

Члены группы по аудиту должны проанализировать информацию, относящуюся к распределению ответственности, и подготовить для регистрации результатов аудита рабочие документы:

http://itsec.by/ 20

контрольные листы и планы выборок для аудита;

формы регистрации данных, таких как подтверждающие свидетельства, наблюдения аудита и протоколы совещаний.

Использование контрольных листов и форм не должно ограничивать объем проверок при аудите, которые могут измениться в результате анализа собранных во время аудита данных.

Рабочие документы, включая записи, являющиеся результатом использования документов, следует хранить до завершения аудита.

Примечание:

В ходе организации проведения аудита составляются и согласовываются с руководством проверяемой организации детальный план проведения аудита и анкеты-вопросники (чеклисты).

Общий пример плана проведения аудита СМИБ и контрольные листы (анкеты, чеклисты) приведенные для примера в данном руководстве не предназначены для использования без должного анализа и модификации. Предполагается, что аудитор СМИБ, как правило, создает частный план, контрольные листы, учитывающие конкретный объем и масштабы проверяемой СМИБ, любую информацию, требования безопасности, которые уже очевидны на этом этапе проведения аудита (например,

http://itsec.by/ 21

законодательные требования по информационной безопасности, регуляторы и стандарты, которые, как известно, относится данному типу организаций). Кроме того, план и контрольные листы аудита могут быть изменены в ходе аудита. Хранение документов после завершения аудита описано в 6.8. Документы, содержащие конфиденциальную или частную информацию, должны сохраняться надлежащим образом.

6.5 Проведение аудита на месте

Во время аудита информация, относящаяся к СМИБ, включая информацию, касающуюся взаимодействия между подразделениями, деятельностью и процессами, должна быть собрана путем необходимых выборок и верифицирована. Свидетельством аудита может быть только информация, которая может быть верифицирована. Свидетельства аудита должны быть зарегистрированы.

Свидетельство аудита основано на выборках имеющихся данных. Поэтому имеется элемент неопределенности при проведении аудита, и заключения аудита должны учитывать эту неопределенность.

Методы сбора информации включают:

опросы;

наблюдения за деятельностью;

http://itsec.by/ 22

анализ документов.


В ходе проведения аудита на месте аудитор планомерно и последовательно собирает свидетельства аудита в соответствии с планом аудита и контрольными листами, например путем опроса сотрудников, менеджеров и других заинтересованных субъектов связанных со СМИБ. Аудитор анализирует документы, записи, журналы, включающие в себя сведения о деятельности СМИБ и ее процессов. Проводится тестирование конфигураций системы информационной безопасности и т.д. Аудитор должен провести тестирование собранных свидетельств (например, проверить конфигурацию информационной системы, для проверки выполнения процедуры по управлению изменениями).

В начале проведения аудита на месте обычно проводится подробный анализ документации СМИБ (предварительный анализа проводился на этапе анализа документов, см. п.п. 6.3). Аудитор читает документы (например, Положение о применимости, план обработки рисков, политики, процедуры СМИБ и т.д.) и делает пометки в контрольных листах. Документация по аудиту включает в себя свидетельства аудита, наблюдения по аудиту, рабочие записи аудитора.

Результаты анализа документации часто указывают на необходимость проведения

http://itsec.by/ 23

специальных тестов, чтобы определить фактическое выполнение требований, процедур, политик связанных со СМИБ. Результаты тестов, как правило, записываются в контрольные листы. Пример таких контрольных листов приведен в Приложении В и Приложении Г.

Технические тесты соответствия могут понадобиться, чтобы убедиться, что ИТ-системы, настроены в соответствии со стандартами, руководящими принципами и политиками безопасности. Автоматизированная проверка конфигураций и уязвимостей (например, с помощью сканеров уязвимостей) может ускорить технические проверки соответствия.

Результатом данного этапа является накопление рабочих документов и свидетельств аудита.

6.6 Анализ собранных данных

Для получения наблюдений аудита свидетельства аудита должны быть сопоставлены с требованиями стандарта ISO 27001. Наблюдения аудита указывают на соответствие или несоответствие критериям аудита. Если это определено целями аудита, наблюдения аудита могут определить возможности для улучшения.

Группа по аудиту при необходимости должна собираться для анализа наблюдений аудита на определенных этапах проведения аудита.

http://itsec.by/ 24

Соответствия критериям аудита должны быть обобщены с указанием мест расположения, подразделений или процессов, которые подвергались аудиту. Если это предусмотрено планом аудита, отдельные наблюдения аудита о соответствии и подтверждающие их свидетельства также должны быть зарегистрированы.

Несоответствия и подтверждающие их свидетельства аудита должны быть зарегистрированы и классифицированы (ранжированы). Они должны быть проанализированы с проверяемой организацией для подтверждения объективности свидетельств аудита. Необходимо устранить разногласия во мнениях по свидетельствам аудита и/или наблюдениям аудита, а неразрешенные проблемы документально оформить.

Примечание: Иногда анализ выявляет пробелы в свидетельствах или указывает на необходимость проведения дополнительных тестов, в этом случае может быть проведен дополнительный аудит на месте, для этого необходимо согласовать время и ресурсы. Если аудит проводится на основании оценки рисков, то аудит уже охватил наиболее важные области СМИБ.

6.7 Подготовка отчета по результатам аудита

Подготовка отчета по результатам аудита является, важной частью процесса аудита. Результатом данного этапа является подписанный, согласованный и утвержденный отчет по результатам аудита.

http://itsec.by/ 25

Типичный отчет по результатам аудита СМИБ включает в себя следующие документы (некоторые из них могут быть вынесены в приложения, или сделаны в виде отдельных документов):

Наименование проверяемой организации, цель, область применения, критерии аудита, временные рамки и объем работ по аудиту СМИБ

Краткие итоги по аудиту (Резюме) с указанием основных результатов аудита, краткого анализа результатов, и выводов по результатам (например, СМИБ организации соответствует требованиям ISO/IEC 27001 и достойна сертификации).

Степень соответствия СМИБ стандарту критериям аудита

Способность процесса анализа со стороны руководства гарантировать пригодность СМИБ, ее адекватность, результативность и возможность улучшения

Уровень классификации документов (т.к. отчет может содержать конфиденциальную информацию) и расчет рассылки отчета по результатам аудита

Методы аудита и полномочия аудиторов.

Подробные результаты аудита, тестирования и анализа СМИБ.

http://itsec.by/ 26

Выводы и рекомендации по аудиту (могут быть представлены в виде согласованного плана действий по результатам аудита)

Официальное заявление, включающее трудности, ограничения или другие предостережения в отношении аудита.

Другую информацию, согласованную на этапе организации проведения аудита (например, возможные пути улучшения СМИБ).


В отчете по результатам аудита, важно привести надлежащие доказательства, поддерживающие сообщаемые результаты.

Для контроля качества результата аудита необходимо, чтобы ведущий аудитор (руководитель группы по аудиту) проводит анализ свидетельств, наблюдений аудита и другую соответствующую информацию, собранную во время аудита, на соответствие целям аудита, проверяет на читаемость формулировки отчета по результатам аудита, чтобы избежать двусмысленности заявлений.

В дополнение к формальным рекомендациям аудита, связанным с любым значительным несоответствием, аудиторы иногда предоставляют замечания о незначительных несоответствия и другие советы, например, потенциал усовершенствования СМИБ или другие предложения, основанные на опыте и

http://itsec.by/ 27

компетенциях аудитора. Хотя такие наблюдения и советы не исключает сертификации СУИБ, они будут записаны в отчет по аудиту и могут быть рассмотрены при последующих аудитах и при ресертификационном аудите.

6.8 Завершение аудита

Аудит считается завершенным, если все процедуры, предусмотренные планом аудита, выполнены и утвержденный отчет (акт) по аудиту разослан.

Если СМИБ по результатам аудита соответствует требованиям ISO 27001, организации выдается сертификат

Документы, имеющие отношение к аудиту, следует хранить или уничтожать на основании соглашения между участвующими сторонами в соответствии с процедурами программы аудита, соглашением между сторонами и в соответствии с действующим законодательством, нормативными требованиями и требованиями контрактов.

Если это не предусмотрено законом, группа по аудиту и ответственные за управление программой аудита не должны раскрывать содержимого документов и другой информации, полученной во время аудита, или отчетов по аудиту любой другой стороне без разрешения заказчика аудита и, где это требуется, разрешения проверяемой организации. Если необходимо раскрыть содержание документов аудита, заказчик аудита и проверяемая организация

http://itsec.by/ 28

должны быть своевременно проинформированы об этом.

http://itsec.by/ 29

7 КОМПЕТЕНТНОСТЬ И ОЦЕНКА АУДИТОРА

Применяется концепция компетентности аудиторов, изложенная в п.7 стандарта ISO 19011. Дополнительно предъявляются следующие требования в области СМИБ.

7.1 Компетентность аудитора

Следующие требования применяются к аудиторской группе в целом, или к аудитору, если он работает отдельно.

Примечание: Это не означает, что каждый аудитор должен владеть полным набором компетенций во всех аспектах информационной безопасности. Аудиторская группа в целом должна иметь достаточно широкий спектр компетенций, чтобы охватить весь объем проверяемой СМИБ.

Аудиторы должны компетенциями в следующих областях:

1. Управление группой по аудиту, планирование аудита, обеспечение качества процесса аудита.

2. Принципы и методы аудита, процесс аудита.

3. Система менеджмента информационной безопасности.

4. Законодательные и нормативные требования к информационной безопасности применимые к проверяемой организации.

http://itsec.by/ 30

5. Угрозы, уязвимости и инциденты, связанные с информационной безопасностью, особенно в отношении проверяемой организации и аналогичных организаций (например, оценка вероятности реализации угроз информационной безопасности, оценка воздействия, методы снижения рисков.

6. Метрики информационной безопасности.

7. Связанные со СМИБ стандарты, лучшие практики, политики и процедуры информационной безопасности;

8. Информационные активы, оценка влияния на бизнес, управление инцидентами и непрерывностью бизнеса;

9. Применение информационных технологий в бизнесе, актуальность и необходимость обеспечения информационной безопасности.

10. Принципы, методы и процесс управления рисками информационной безопасности.

7.2 Демонстрация компетентности аудитора

Аудиторы должны быть способны продемонстрировать свои знания и опыт, например, путем:

регистрации в качестве аудитора СМИБ;

прохождения одобренных курсов аудиторов СМИБ;

http://itsec.by/ 31

предоставления записей, подтверждающих непрерывность профессионального образования.

http://itsec.by/ 32

ПРИЛОЖЕНИЕ А - ПЕРЕЧЕНЬ ДОКУМЕНТОВ СМИБ, ОБЯЗАТЕЛЬНЫХ ДЛЯ СЕРТИФИКАЦИИ НА СООТВЕТСТВИЕ ISO 27001

В соответствии со стандартом ISO 27001 документация СМИБ должна включать:

документально оформленные заявления о политике [см. 4.2.1, перечисление Ь)] и целях СМИБ;

область применения СМИБ [см. 4.2.1, перечисление а)];

процедуры и средства управления, поддерживающие СМИБ;

описание методологии оценки рисков [см. 4.2.1, перечисление с)];

отчет об оценке рисков [см. 4.2.1, перечисления с) - д)];

план обработки рисков [см. 4.2.2, перечисление b)j;

документированные процедуры, необходимые для результативного планирования, обеспечения функционирования и управления процессами в области информационной безопасности, и описание того, как измерять результативность средств управления [см. 4.2.3, перечисление с)];

записи, требуемые согласно настоящему стандарту (см. 4.3.3);

http://itsec.by/ 33

положение о применимости.

Приведенная ниже таблица может использоваться в качестве контрольной, чтобы проверить готовность документации СМИБ к сертификационному аудиту.

Документы, предусмотренные в

ISO 27001 Статус Комментарии

4.3 Требования к документации 4.3.1 Общие положения Документация должна включать записи решений руководства…

□ Разработан □ Проверен □ Согласован □ Утвержден

Записи ключевых решений руководства в отношении СМИБ, например: инвестиционные решения, требуемые политики, отчеты и т.д. [в стандарте отдельно не указанно в отношении каких решений требуются записи]

Документация СМИБ должна включать: a) документально оформленные заявления о политике [см. 4.2.1, перечисление b)] и целях СМИБ


Политика СМИБ должна: учитывать характеристики бизнеса, организации, ее расположения, активов и технологий, 1) включать инфраструктуру для постановки целей и устанавливать основные направления принципы деятельности в области информационной безопасности; 2) принимать во внимание бизнес-требования, правовые или другие обязательные требования, а также контрактные обязательства по обеспечению безопасности; 3) быть согласована со стратегией менеджмента рисков организации, в соответствии с которой будет осуществляться разработка и поддержка СМИБ; 4) разрабатывать критерии для оценивания рисков [см. 4.2.1, перечисление с)]; 5) быть одобрена руководством. Примечание: в ISO 27001 политика СМИБ рассматривается как документ более высокого уровня по

http://itsec.by/ 34



отношению к политикам информационной безопасности (они могут быть описаны в одном документе)


Политика информационной безопасности или политики, определяющие специфические цели или требования информационной безопасности (в одном или нескольких документах) должны быть также одобрены руководством.

b) область применения СМИБ [см. 4.2.1, перечисление a)]


Область применения и границы распространения СМИБ определяются с учетом характеристик бизнеса, организации, ее расположения, активов и технологий. Любые исключения из области применения, должны быть подробно обоснованы.

c) процедуры и средства управления поддерживающие СМИБ


Процедуры, поддерживающие СМИБ - письменные описания процессов защиты информации и операций (например, процедура предоставления идентификатора пользователя и изменения пароля, тестирования безопасности прикладных систем, реагирования на инциденты в области информационной безопасности и т.д.)


Документация средств управления, (например, технические стандарты обеспечения защиты, архитектура/проекты безопасности и т.д. (средства управления подробно описаны в ISO 27002.))

d) описание методологии оценки рисков [см. 4.2.1, перечисление с)]


Методология по оценке рисков может включать в себя политики, процедуры и/или стандарты, описывающие, как оцениваются

http://itsec.by/ 35



риски информационной безопасности (ссылаясь на ISO 13335-3 и/или ISO 27005).

e) отчет об оценке рисков [см. 4.2.1, перечисление с) – g)]


Отчет об оценке рисков представляет собой документированные результаты/следствия/рекомендации оценки степени риска информационной безопасности (с использованием методологии описанной в предыдущем пункте)

f) план обработки рисков [см. 4.2.2, перечисление b)]


План обработки рисков – план (проект) описывающий пути достижения идентифицированных целей управления, включающий финансирование и распределение ролей и ответственности

g) документированные процедуры, необходимые для результативного планирования, обеспечения функционирования и управления процессами в области информационной безопасности, и описание того, как измерять результативность средств управления [см. 4.2.3, перечисление с)]


Документированные процедуры представляют собой документированные описания процессов управления и деятельности необходимой для планирования, эксплуатации и управления СМИБ (например, процесс согласования и анализа политики)


Метрики информационной безопасности описывающие как СМИБ в целом, так и ключевые средства управления с целью верификации соответствия требованиям безопасности

h) записи, требуемые согласно настоящему стандарту (см. 4.3.3) -

См. 4.3.3 ниже: Записями могут быть журнал регистрации посетителей, отчеты о результатах аудита, заполненные формы авторизации доступа и т.д. Записи должны быть четкими, легко идентифицированными и

http://itsec.by/ 36



доступными для выборки и проверки аудиторами. Все вместе они доказывают, что СМИБ должным образом спланирована, функционирует и управляется

i) положение о применимости


Положение о применимости описывает цели и средства управления, соответствующие и применимые к СМИБ организации. Представляет собой сводную таблицу результатов оценки рисков и целей и средств управления из ISO/IEC 27002 (находящихся в области применения СМИБ)

4.3.2 Управление документами Документы, требуемые СМИБ, должны быть защищены и находиться под управлением. Должна быть разработана документированная процедура для определения действий по осуществлению менеджмента


Процедура управления документами объясняет, каким образом документы утверждаются, анализируются, изменяются, пересматриваются, пере- утверждаются и т.д. (подробный перечень см. 4.3.2). Если в организации функционирует Система менеджмента качества в соответствии с ISO 9001, процедура управления документами СМК (или эквивалентная из ISO 14001) может быть применена к СМИБ.

4.3.3 Управление записями …Записи должны оставаться четкими, легко идентифицируемыми и доступными. Средства управления, необходимые для идентификации, хранения, защиты, извлечения, определения сроков хранения и изъятия


Процедура управления записями является одним из доказательств соответствия требованиям и результативного функционирования СМИБ. Если в организации функционирует Система менеджмента качества в соответствии с ISO 9001, процедура управления записями СМК (или эквивалентная из ISO 14001) также может быть применена к СМИБ.

http://itsec.by/ 37



записей, должны быть документированы и внедрены. 5 Ответственность руководства 5.2.2 d) Организация должна обеспечить поддержание в рабочем состоянии записей об образовании, подготовке, навыках, опыте и квалификации (см. 4.3.3)


Записи об образовании, подготовке, повышении осведомленности в области информационной безопасности, документируют вовлечение всего персонала попадающего в сферу действия СМИБ в соответствующей деятельности (например, записи о проведении вводного инструктажа по безопасности с новыми сотрудниками)

…Организация должна также обеспечить осведомленность персонала об актуальности и важности его деятельности в области информационной безопасности и вкладе в достижение целей СМИБ


Другие пункты в разделе 5 устанавливают ответственность руководства за общую поддержку осведомленности в области информационной безопасности. Поэтому (хотя, напрямую этого не сказано) потребность в наличии информационных материалов по вопросам безопасности, результатов тестирования (опросов), отчетов с обратной связью может быть установлена из данного раздела

6 Внутренние аудиты СМИБ Организация должна проводить внутренние аудиты через запланированные интервалы…


Планы и процедуры внутреннего аудита СМИБ, устанавливающие обязанности аудиторов в отношении аудита СМИБ, критерии аудита, границы, периодичность и методы.

…Ответственность и требования для планирования проведения аудита и для отчетности о результатах и


Из пункта 6 следует, что отчеты по аудиту СМИБ, согласованные планы проведения и т.п. должны быть доступны по требованию сертифицирующих аудиторов.

http://itsec.by/ 38



ведения записей (см. 4.3.3) должны быть установлены в документированной процедуре. 7 Анализ СМИБ со стороны руководства 7.1 Руководство должно через запланированные интервалы (не менее одного раза в год) анализировать СМИБ организации в целях обеспечения ее постоянной пригодности, адекватности и результативности… 7.3 Выходные данные анализа со стороны руководства должны включать все решения и действия, относящиеся к…


Это подразумевает необходимость хранить записи (такие как план анализа СМИБ руководством и отчет по анализу) подтверждающие, что руководство проводило анализа СМИБ не менее одного раза в год.

8.2 Корректирующие действия Документированная процедура по корректирующим действиям должна определять…


Документированная процедура по корректирующим действиям определяет путь, которым каким образом несоответствия идентифицируются, анализируются, определяются причины, корректируются, описываются результаты корректировки и т.д.

8.3 Предупреждающие действия Документированная процедура по предупреждающим действиям должна определять…


Превентивные процедуры сходны с корректирующими, но ориентированы в первую очередь на предупреждение несоответствий и устранение потенциальных причин их возникновения (организация

http://itsec.by/ 39



должна идентифицировать изменившиеся риски и требования по к предупреждающим действиям)


1. Употребление термина «документированная процедура», означает, что процедура разработана, документально оформлена, внедрена и поддерживается в рабочем состоянии.

2. Степень документированности СМИБ в организации, может отличаться в зависимости от:

- размера организации и вида деятельности;

- область применения и сложности требований безопасности и системы, менеджмент которой осуществляется.

3: Документы и записи могут быть в любой форме или на носителях любого типа.

http://itsec.by/ 40

ПРИЛОЖЕНИЕ Б - ПЛАН ПРОВЕДЕНИЯ АУДИТА СМИБ НА СООТВЕТСТВИЕ ISO 27001

1 ЦЕЛИ АУДИТА

1.1 Убедиться, что цели управления, средства управления, процессы и процедуры системы менеджмента информационной безопасности (далее – СМИБ), попадающие в область проведения аудита:

1.1.1 соответствуют требованиям стандарта ISO 27001 и предъявляемым к «Наименование организации» (далее — Компания) законодательным, нормативным и другим обязательным требованиям, а также идентифицированным требованиям в области информационной безопасности;

1.1.2 результативно внедряются и поддерживаются;

1.1.3 функционируют должным образом.

1.2 Идентифицировать области потенциального улучшения СМИБ.

2 КРИТЕРИИ АУДИТА

2.1 Стандарт ISO/IEC 27001 «Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования»

2.2 ISO/IEC 27002

2.3 Перечень законодательных и нормативных требований, предъявляемых к ЗАО «НПП БЕЛСОФТ»

3 ОБЛАСТЬ АУДИТА

http://itsec.by/ 41

3.1 Аудит проводится согласно программы проведения аудита, в <управлении/подразделении>. В ходе проведения аудита будут проверены следующие процессы/средства управления/процедуры:

• управление доступом,

• управление непрерывностью бизнеса,

• …….

4 ДАТА И МЕСТО ПРОВЕДЕНИЯ АУДИТА

4.1 Место проведения аудита:

4.2 Предварительное совещание по вопросам проведения аудита — 9.00 00.00.2000 г.

4.3 Открытие аудита – 9.00 00+1.00.2000 г.

4.4 Аудит –

4.5 Совещание аудиторской группы –

4.6 Предоставление отчета по аудиту –

4.7 Закрытие аудита –

5 ОБЯЗАННОСТИ ЧЛЕНОВ АУДИТОРСКОЙ ГРУППЫ

5.1 Лица, участвующие в проведении аудита, должны выполнять обязанности (нести ответственность) в соответствии с…

6 РАСПРЕДЕЛЕНИЕ РЕСУРСОВ ПО ОБЛАСТЯМ АУДИТА

http://itsec.by/ 42

Раздел заполняется, если в проведении аудита будет участвовать группа аудиторов.

7 СОДЕРЖАНИЕ ОТЧЕТА (АКТА) ПО АУДИТУ

7.1 Структура и содержание отчета должно соответствовать требованиям, описанным в «Наименование документа, в котором описаны требования к отчету по аудиту».

8 ОБЕСПЕЧЕНИЕ КОНФИДЕНЦИАЛЬНОСТИ

Здесь описываются требования, предъявляемые к конфиденциальности данных по аудиту.

http://itsec.by/ 43

ПРИЛОЖЕНИЕ В - КОНТРОЛЬНЫЙ СПИСОК (ISO 27001)

Следующий контрольный список отражает требования стандарта ISO/IEC 27001.

Этот список предназначен, прежде всего, для руководства, или должен быть адаптирован. Данный список может быть отправной точкой при подготовке необходимых документов для аудита СМИБ.

Контрольный список предназначен для напоминания основных аспектов, которые необходимо проверить аудитору. Он не охватывает все аспекты ISO / IEC 27001. Без адаптации, список не предназначен в качестве исчерпывающего вопросника.

Аудитор должен добавить к данному контрольному списку столбцы которые он считает необходимыми (например, ФИО и должность опрашиваемого, свидетельства и наблюдения аудита, рекомендации и т.д.)

Раздел ISO /IEC 27001 (Обязательные требования к СМИБ)

Свидетельства Наблюдения

4 Система менеджмента информационной безопасности 4.2.1a) Рассмотреть область применения и границы распространения СМИБ, в особенности любые исключения из области применения. В какой степени СМИБ учитывает характеристики бизнеса, организации, ее расположения, активы и технологии? Есть ли обоснованные причины для исключения, каких либо элементов из области применения СМИБ?

Описание свидетельств ФИО опрошенного: ФИО аудитора: Дата:

4.2.1b) Рассмотреть политику СМИБ организации. Учитывает ли политика основные характеристики организации?

http://itsec.by/ 44



Устанавливает ли политика цели, основные направления и принципы деятельности в области информационной безопасности? Учитывает ли политика бизнес-требования, правовые или другие обязательные требования, а также контрактные обязательства по обеспечению безопасности? Согласована ли политика со стратегией менеджмента рисков организации? Разрабатывает ли политика критерии для оценивания рисков [см. 4.2.1, перечисление с)]? Одобрена ли политика руководством? 4.2.1c) Рассмотреть подход к оценке рисков в организации. Являются ли результаты оценки риска сопоставимыми и воспроизводимыми? Ищите любые примеры аномальных результатов, чтобы определить, как они были рассмотрены и решены. Обновлялся ли подход к оценке рисков в организации? Рассмотреть разработанные критерии принятия рисков и идентифицированные приемлемые уровни риска.

4.2.1d) и е) Рассмотреть данные об инвентаризации активов и оценке рисков информационной безопасности в пределах области применения СМИБ. Идентифицированы ли угрозы для этих активов? Определены ли владельцы всех идентифицированных активов? Идентифицированы ли уязвимости активов? Рассмотреть результаты оценки: последствий для активов в случае реализации угроз; воздействий на организацию, которые могут возникать в результате нарушений безопасности. Учитываются ли в оценке рисков реализованные на данный момент средства управления безопасностью? Рассмотрите

http://itsec.by/ 45



результаты оценки уровня рисков, их ранжирования и приоритезации. Рассмотрите правильность использования критериев принятия рисков. 4.2.1f) Рассмотреть план обработки рисков организации. Рассмотреть полноту обработки рисков (есть ли риски, которые не обработаны?) Рассмотрите актуальность плана по обработке рисков (например, включены ли в него недавние изменения (например, новые ИТ-системы и бизнес-процессы)).

4.2.1g) рассмотрите выбранные для обработки рисков цели и средства управления. Соответствуют ли цели и средства управления требованиям, идентифицированным в процессе оценки и обработки рисков. Учитываются ли при этом критерии принятия рисков, а также правовые, другие обязательные и контрактные требования? Сравните выбранные цели и средства управления с целями и средствами управления приведенными в приложении А стандарта ISO 27001, для анализа существенных отклонений от стандарта. Примечание: Перечень целей и средств управления, приведенный в приложении А, не является исчерпывающим, и могут быть выбраны дополнительные цели и средства управления. Для аудита средств управления может быть полезным контрольный список из Приложения Г.

4.2.1h) Рассмотрите остаточные риски информационной безопасности. Получено ли одобрение руководства на принятие остаточных рисков? Соответствуют ли принятые «риск-аппетиту» организации?

4.2.1i) Убедитесь в том, что руководство санкционировало внедрение и эксплуатацию

http://itsec.by/ 46



СМИБ, например, через официальный приказ, утверждения проекта и т.д. Является ли данная санкция формальностью, или руководство действительно понимает важность СМИБ и поддерживает проект? 4.2.1j) Рассмотрите документированное положение о применимости организации. Содержит ли оно обоснование выбора / исключения целей и средств управления из Приложения А стандарта ISO 27001. Было ли положение о применимости рассмотрено и одобрено руководством соответствующего уровня. Примечание: Положение о применимости содержит свод решений, касающихся обработки рисков. Обоснование исключений обеспечивает перекрестную проверку, позволяющую определить, что ни одно средство управления не было непреднамеренно исключено.

4.2.2 Сравните реальную (реализованную и функционирующую) СМИБ с документированной. Ищите подтверждение или опровержение соответствия между документированными выбранными для обработки рисков средствами управления, и фактически функционирующими. Примечание: Данный этап аудита лишь небольшое вступление перед дополнительной проверкой средств управления СМИБ в соответствии с контрольным списком из Приложения Г.

4.2.3 Проведите обзор процесса мониторинга и анализа СМИБ, используя такие документы и записи, как процедуры, планы, протоколы совещаний по анализу СМИБ со стороны руководства, внутреннему аудиту. Проанализируйте регулярность проведения анализа

http://itsec.by/ 47



результативности СМИБ (включая оценку соответствия политике и целям СМИБ и анализ средств управления). Учитываются ли при этом результаты аудитов безопасности, инциденты, результаты измерений результативности, предложения и обратная связь от всех заинтересованных сторон? Проводится ли верификация соответствия средств управления требованиям безопасности, путем измерения их результативности? Проводится ли анализ оценки рисков и остаточных и приемлемых уровней рисков через запланированные интервалы? Учитываются ли при этом изменения в: организации; технологиях; бизнес-целях и процессах; идентифицированных угрозах; результативности применяемых средств управления; внешних событиях, таких как изменения в правовых или других обязательных требованиях, контрактных обязательствах и изменения социально-психологического климата? Проверьте, обновляются ли планы в области безопасности, с учетом результатов деятельности по мониторингу и анализу СМИБ. 4.2.4 Рассмотрите, каким образом в организации идентифицируется необходимость (возможность) улучшения СМИБ. Рассмотрите доказательства и результаты внедрения идентифицированных улучшений СМИБ.

4.3.1 Рассмотрите следующую документацию СМИБ:

документально оформленные заявления о политике и целях СМИБ;

область применения СМИБ; процедуры и средства

http://itsec.by/ 48



управления, поддерживающие СМИБ;

описание методологии оценки рисков;

отчет об оценке рисков; план обработки рисков; документированные процедуры,

необходимые для результативного планирования, обеспечения функционирования и управления процессами в области информационной безопасности, и описание того, как измерять результативность средств управления;

записи, требуемые согласно настоящему стандарту (см. 4.3.3);

положение о применимости. Примечание: Подробный анализ документации проводится на этапе предварительного анализа документации СМИБ (Контрольный список из Приложения А). Нет необходимости проверят несколько раз одни и те же документы, если все требования по документации учтены. 4.3.2 Проверьте наличие и соблюдение, документированной процедуры по управлению документами СМИБ (такими, как политики, процедуры, документы и т.д.). Определить, является ли изменение документации СУИБ формально управляемым (например, изменения рассмотрены и предварительно одобрены руководством, и доведены до всех пользователей)? Проверьте, обеспечивает ли управление документами СМИБ: идентификацию изменений и текущего статуса пересмотра документов; сохранение документов четкими и легко

http://itsec.by/ 49



идентифицируемыми; доступность документов; идентификацию документов внешнего происхождения. Убедитесь в наличии соответствующих версий документов в местах их применения. 4.3.3 Оцените защищенность и управляемость записей СМИБ, таких как различные обзор информационной безопасности и аудиторские отчеты, планы действий, официальные документы СМИБ, книги посетителей, запросы на предоставление доступа и т.д. Проверить адекватность управления идентификацией, хранением (установлением сроков хранения), защитой, восстановлением, в особенности если к организации применяются . Проверьте, учитываются ли при этом соответствующие правовые или другие обязательные требования и контрактные обязательства. Отражают ли записи выполнение процессов, определенных в соответствии с п. 4.2, и все случаи возникновения инцидентов информационной безопасности, связанных со СМИБ.

5 Ответственность руководства 5.1 Рассмотрите свидетельства принятых руководством обязательств по разработке, внедрению, обеспечению функционирования, мониторингу, анализу, поддержке и улучшению СМИБ (Приказы, решения, меморандумы, письма, презентации, брифинги и т.д.):

Формальное утверждение политики СМИБ руководством;

Одобрение установленных целей и разработки планов СМИБ;

Четко определенные роли и сферы ответственности в области информационной безопасности;

http://itsec.by/ 50



Выделение достаточных ресурсов для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ (см. 5.2.1);

Установление критериев принятия рисков и их приемлемых уровней

Обеспечения проведения внутренних аудитов СМИБ (см. раздел 6);

Проведения анализа СМИБ со стороны руководства (см. раздел 7).

5.2.1 Рассмотреть ресурсы (материальные, финансовые, человеческие), выделяемые на СМИБ. Надлежащим ли образом финансируется СМИБ на практике? Достаточно ли средств, выделяемых руководством для решения вопросов информационной безопасности в разумные сроки и на надлежащем уровне качества?

5.2.2 Идентифицированы ли компетенции для персонала, участвующего в процессе СМИБ? Проводится ли подготовка персонала и повышение осведомленности в области информационной безопасности? Поддерживаются ли в рабочем состоянии записи об образовании, подготовке, навыках, опыте и квалификации персонала? Рассмотреть уровень подготовки тех, которые участвует в эксплуатацию СМИБ. Рассмотреть записи по подготовке персонала, повышению осведомленности, оценки компетентности. Выборочно проверьте результативность подготовки и повышения осведомленности персонала в области информационной безопасности.

6 Внутренние аудиты системы менеджмента информационной безопасности 6 Рассмотрите записи по проведению внутренние аудиты СМИБ (планы аудита,

http://itsec.by/ 51



отчеты по аудитам, планы действий по результатам аудита и т.д.). Планируется ли программа аудита с учетом статуса и важности процессов и областей, подлежащих аудиту, а также результатов предыдущих аудитов? Определены ли критерии, область, частота и методы аудита? Обеспечивается ли объективность и беспристрастность процесса аудита? Установлены ли в документированной процедуре ответственность и требования для планирования и проведения аудита и для отчетности о результатах и ведения записей? Предпринимаются ли без необоснованной задержки действия по устранению обнаруженных несоответствий и их причин? Верифицируются ли предпринятые действия? Составляется ли отчет о результатах верификации? Определите, в какой степени внутренние аудиты СМИБ подтверждают, что цели управления, средства управления, процессы и процедуры СМИБ: соответствуют требованиям настоящего стандарта и соответствующим законодательным или другим обязательным требованиям; соответствуют идентифицированным требованиям в области информационной безопасности; результативно внедряются и поддерживаются; функционируют должным образом. Примечание: это вполне нормально для некоторых корректирующих мер, согласованных в рамках аудита СМИБ, что они остаются невыполненные в согласованные сроки, особенно в случае, если они являются сложными и дорогостоящими. Постоянное совершенствование СМИБ важнее строгого соответствия с планами (см. также раздел

http://itsec.by/ 52



8). 7 Анализ системы менеджмента информационной безопасности со стороны руководства 7.1 Проводит ли руководство через запланированные интервалы (не менее одного раза в год) анализ СМИБ организации? Включается ли в анализ оценка возможностей для улучшения и потребностей в изменениях СМИБ, в том числе политики и целей информационной безопасности? Поддерживаются ли записи по анализу СМИБ ав рабочем состоянии. Примечание. Спорным является вопрос, Можно ли считать сертификационный аудит СМИБ, выполняемый по требованию руководства, «анализом СМИБ со стороны руководства" в соответствии с положениями стандарта

7.2 Рассмотрите управленческие отчеты и другие документы, или опросите тех кто участвовал в анализе СМИБ со стороны руководства, чтобы выяснить насколько полно учитывались в данном процессе идентифицированные в ISO/IEC 27001 девять элементов входных данных для анализа (результаты аудитов и анализов СМИБ; обратная связь от заинтересованных сторон; методы, средства или процедуры, которые могут быть использованы в организации для улучшения функционирования и повышения результативности СМИБ; статус предупреждающих и корректирующих действий; уязвимости или угрозы, которые не были адекватно учтены при предыдущей оценке рисков; результаты измерений результативности; действия, предпринятые по итогам предыдущих анализов со стороны руководства; любые изменения, которые могли повлиять на СМИБ; рекомендации по

http://itsec.by/ 53



улучшению). Оцените в какой степени руководство принимает участие в проведении данного анализа. 7.3 Проверка результатов предыдущих анализов со стороны руководства, включающие ключевые управленческие решения, планы действий и документы. Ищите подтверждение того, что согласованные действия выполнены. При необходимости, убедитесь, что согласованные действия на самом деле была должным образом завершены, уделяя особое внимание, на те действия, которые не были завершены быстро и в срок.

8 Улучшение системы менеджмента информационной безопасности 8.2 Предпринимает ли организация действия по устранению причин несоответствий требованиям СМИБ с целью предупреждения их повторного возникновения? Опубликована ли в организации документированная процедура по корректирующим действиям. Соответствует ли процедура требованиям стандарта (определены ли в ней требования к: идентификации несоответствий; определению причин несоответствий; оцениванию необходимости действий, чтобы избежать повторения несоответствия; определению и осуществлению необходимых корректирующих действий; записям результатов предпринятых действий; анализу предпринятых корректирующих действий)? Проанализируйте информацию, относящуюся к корректирующим действиям СМИБ. Ищите доказательства того, что СМИБ на самом деле быть существенно улучшена. Проверьте документацию, связанную с закрытием корректирующих действий, для подтверждения того, что

http://itsec.by/ 54



несоответствия и их причин на самом деле устраняются в разумные сроки. Убедитесь, что корректирующие действия устраняют коренные причины несоответствий и являются эффективными. 8.3 В дополнение совершенствованию СМИБ с учетом ранее выявленных несоответствий, определите, занимает ли организация более активную позицию в идентификации потенциальных улучшений (например, прогнозируя новые требований к СМИБ и т.д.). Идентифицирует ли организация изменившиеся риски и требования к предупреждающим действиям, акцентируя внимание на существенно изменившихся рисках? Определяется ли на основе результатов оценки рисков приоритетность предупреждающих действий? Опубликована ли в организации документированная процедура по предупреждающим действиям. Соответствует ли процедура требованиям стандарта (определены ли в ней требования к: идентификации потенциальных несоответствий и их причин; оцениванию необходимости действий для предупреждения возникновения несоответствий; определению и осуществлению необходимых предупреждающих действий; записям результатов предпринятых действий (см. 4.3.3); анализу предпринятых предупреждающих действий)

http://itsec.by/ 55

ПРИЛОЖЕНИЕ Г - КОНТРОЛЬНЫЙ СПИСОК (ISO 27002)

Следующий контрольный список отражает цели и средства управления приведенные в приложении А стандарта ISO/IEC 27001, полностью согласованные перечнем целей и средств управления стандарта ISO/IEC 27002 (разделы 5-15).

Этот список предназначен, прежде всего, для руководства, или должен быть адаптирован. Данный список может быть отправной точкой при подготовке необходимых документов для аудита средств управления СМИБ.

Контрольный список предназначен для напоминания основных аспектов, которые необходимо проверить аудитору. Он не охватывает все аспекты ISO / IEC 27002. Без адаптации, список не предназначен в качестве исчерпывающего вопросника.

Аудитор должен добавить к данному контрольному списку столбцы которые он считает необходимыми (например, ФИО и должность опрашиваемого, свидетельства и наблюдения аудита, рекомендации и т.д.)

№ Средство управления Вопрос

A.5 Политика в области безопасности

A5.1

Политика в области

информационной безопасности

Цель: Обеспечить управление информационной безопасностью и ее поддержку со стороны руководства

организации в соответствии с бизнес-требованиями, соответствующими

законами и другими нормативными актами.

A.5.1.1 Документ, Существует ли в организации документ,

http://itsec.by/ 56


определяющий политику в области информационной

безопасности

определяющий политику в области информационной безопасности, который

одобрен руководством, опубликован и доведен до сведения всех сотрудников

организации и соответствующих заинтересованных сторон?

Установлено ли в документе о политике информационной безопасности разграничение обязанностей по управлению и изложен подход

организации к управлению информационной безопасностью?

A.5.1.2

Анализ политики в области


Анализируется ли политика в области информационной безопасности через запланированные интервалы или при

появлении существенных изменений с целью обеспечения ее постоянной

пригодности, адекватности и результативности?

Имеет ли политика в области информационной безопасности владельца, который назначил

ответственного за руководство разработкой, анализом и оценкой

политики в области информационной безопасности?

Установлены ли процедуры проверки, включая график проверок или период

проверки политики в области информационной безопасности

руководством? Учитывает ли проверка политики информационной безопасности результаты анализа со стороны

руководства? Получено ни одобрение руководства для

пересмотренной политики? A.6 Организация информационной безопасности

A.6.1 Внутренняя Цель: Осуществлять менеджмент

http://itsec.by/ 57


организация информационной безопасности в организации.

A.6.1.1

Обязательства руководства в

области информационной


Осуществляет ли руководство активную поддержку обеспечения безопасности в

организации посредством четких указаний, демонстрируемых

обязательств, точного распределения обязанностей, признания

ответственности в области информационной безопасности?

A.6.1.2

Координация действий в области информационной


Координируются ли в организации действия в области информационной

безопасности с представителями различных частей организации с

соответствующими ролями и должностными обязанностями?

A.6.1.3

Распределение ответственности в



Четко ли определена в организации вся ответственность в области

информационной безопасности?

A.6.1.4

Процесс авторизации

средств обработки информации

Определен ли и внедрен в организации менеджмент процессов авторизации

новых средств обработки информации?

A.6.1.5 Соглашения о

конфиденциальности

Определяются ли и регулярно анализируются требования к

конфиденциальности или соглашения о неразглашении информации в соответствии с потребностями

организации в защите информации?

A.6.1.6 Взаимодействие с органами власти

Поддерживается ли взаимодействие организации с соответствующими

органами власти?

A.6.1.7

Взаимодействие с отдельными

заинтересованными группами

Поддерживается ли в организации взаимодействие с отдельными

заинтересованными группами или другими специализированными

форумами в области безопасности и

http://itsec.by/ 58


профессиональными ассоциациями?

A.6.1.8

Независимый анализ


Подвергается ли независимому анализу подход организации к осуществлению

менеджмента информационной безопасности и его внедрение (например,

цели и средства управления, политики, процессы и процедуры в области

информационной безопасности) через запланированные интервалы или когда происходят существенные изменения в

обеспечении безопасности?

A6.2 Внешние стороны

Цель: Поддерживать безопасность информации организации, а также средств обработки информации, которые доступны, обрабатываются, передаются или управляются внешними сторонами.

A.6.2.1

Идентификация рисков, связанных с

внешними сторонами

Идентифицированы ли риски для информации организации и средств обработки информации со стороны бизнес-процессов, затрагивающих

внешние стороны, а также внедрены ли соответствующие средства управления прежде, чем им будет предоставлено

право доступа?

A.6.2.2

Рассмотрение вопросов

безопасности при работе с

потребителями

Рассмотрены ли все определенные требования к безопасности перед

предоставлением потребителям права доступа к информации или активам

организации?

A.6.2.3

Рассмотрение вопросов

безопасности в соглашениях с

третьей стороной

Охватывают ли все требования безопасности соглашения с третьей

стороной, включающие доступ, обработку, передачу или управление

информацией организации или средствами ее обработки, а также

добавление продукции или услуг к средствам обработки информации?

A.7 Менеджмент активов

http://itsec.by/ 59


A.7.1 Ответственность за активы

Цель: Обеспечить и поддерживать соответствующую защиту активов организации.

A.7.1.1 Инвентаризация активов

Все ли активы четко идентифицированы и оформляется ли и поддерживается в

рабочем состоянии инвентарная ведомость всех важных активов?

A.7.1.2 Владение активами

Вся ли информация и активы, связанные со средствами обработки информации,

принадлежат назначенной части организации - владельцу?

A.7.1.3 Приемлемое

использование активов

Проведена ли идентификация, документальное оформление и внедрение правил приемлемого

использования информации и активов, связанных со средствами обработки

информации?

A.7.2 Классификация информации

Цель: Обеспечить, что информация имеет надлежащий уровень защиты.

A.7.2.1 Руководящие указания по

классификации

Классифицирована ли информация с точки зрения ее ценности,

законодательных требований, чувствительности и критичности для


A.7.2.2 Маркировка и обращение с информацией

Разработана ли и внедрена совокупность процедур маркировки и обращения с

информацией в соответствии с принятой в организации схемой классификации?

A.8 Безопасность человеческих ресурсов

A.8.1 Перед трудоустройством

Цель: Обеспечить, что сотрудники, подрядчики и пользователи третьей стороны понимают свою ответственность и способны выполнять предусмотренные для них роли, а также снизить риск кражи, мошенничества или ненадлежащего использования средств обслуживания.

A.8.1.1 Роли и ответственность

Определены ли и документально оформлены в соответствии с политикой в

http://itsec.by/ 60


области информационной безопасности организации роли и ответственность

сотрудников, подрядчиков и пользователей третьей стороны по

обеспечению безопасности? Доведены ли роли и обязанности в

области безопасности до кандидатов на рабочее место, в ходе процесса,

предшествующего приему на работу по найму?

A.8.1.2 Отбор

Проводится ли верификация соответствия данных обо всех

кандидатах в сотрудники, подрядчиках и пользователях третьей стороны в соответствии с законами, другими

нормативными актами и этическими нормами и соразмерно с бизнес-требованиями, классификацией информации, к которой будет

осуществляться доступ, и предполагаемыми рисками? Анализируется ли наличие

удовлетворительных рекомендательных характеристик, проверка (полноты и

точности) резюме претендента, подтверждение заявляемого образования

и профессиональных навыков, независимая проверка подлинности

документов, удостоверяющих личность, более подробные проверки, например,

проверка кредитной линии или проверка уголовного прошлого?

A.8.1.3 Условия трудового договора

Все ли служащие, подрядчики и пользователи третьей стороны, которым предоставлен доступ конфиденциальной информации, подписали соглашение о

конфиденциальности или неразглашении перед получением доступа к средствам

обработки информации? Содержит ли соглашение о

http://itsec.by/ 61


конфиденциальности или неразглашении ответственность в области

информационной безопасности служащих, подрядчиков и пользователей

третьей стороны?

A.8.2 В период трудовой деятельности

Цель: Обеспечить осведомленность сотрудников, подрядчиков и пользователей третьей стороны об угрозах и проблемах информационной безопасности, об их ответственности и обязанностях и наличие необходимых средств для поддержки ими политики в области безопасности организации в ходе их нормальной работы, а также для снижения риска человеческой ошибки.

A.8.2.1 Ответственность руководства

Требует ли руководство, чтобы сотрудники, подрядчики и пользователи

третьей стороны соблюдали безопасность в соответствии с установленными политиками и

процедурами организации?

A.8.2.2

Осведомленность, образование и подготовка в



Проходят ли соответствующую подготовку все сотрудники организации

и при необходимости подрядчики и пользователи третьей стороны,

необходимую для выполнения своих должностных обязанностей? Получают ли все сотрудники

организации и при необходимости подрядчики и пользователи третьей

стороны актуализированные политики и процедуры организации, необходимые для выполнения своих должностных

обязанностей?

A.8.2.3 Дисциплинарный процесс

Установлен ли формализованный дисциплинарный процесс для

сотрудников, нарушивших требования безопасности?

http://itsec.by/ 62


A.8.3

Окончание срока или изменение

трудовой деятельности

Цель: Обеспечить, чтобы сотрудники, подрядчики и пользователи третьей стороны покидали организацию или меняли условия трудоустройства в соответствии с установленным порядком.

A.8.3.1

Ответственность при окончании срока трудовой деятельности

Определена ли четко и распределена ответственность при окончании срока

или изменении условий трудоустройства?

A.8.3.2 Возврат активов

Определен ли процесс возврата активов, находившихся в в пользовании у

сотрудников, подрядчиков и пользователей третьей стороны, по

истечении срока трудового договора, контракта или соглашения?

A.8.3.3 Отмена прав доступа

Отменяются ли права доступа к информации и средствам обработки

информации сотрудников, подрядчиков и пользователей третьей стороны по

окончании срока трудового договора, контракта или соглашения или регулируются в соответствии с

изменениями?

A.9 Физическая безопасность и безопасность окружающей среды

A9.1 Зоны безопасности

Цель: Предотвращать несанкционированный физический доступ, повреждение и воздействие на помещения и информацию организации.

A9.1.1 Физический

периметр безопасности

Используются ли периметры безопасности (преграды, такие как

стены, проходные системы или службы регистрации) для защиты зон, где

содержится информация и средства обработки информации?

A9.1.2 Средства управления

Защищены ли зоны безопасности соответствующими средствами

http://itsec.by/ 63

№ Средство управления Вопрос физическим

доступом управления входом, обеспечивающими уверенность в том, что доступ разрешен

только авторизованным лицам?

A9.1.3

Безопасность офисов, помещений

и средств обработки

Разработаны ли и применяются средства физической безопасности офисов, помещений и средств обработки?

A9.1.4 Защита от внешних

угроз и угроз окружающей среды

Разработаны ли и применяются средства физической защиты от нанесения ущерба

в результате пожара, наводнения, землетрясения, взрыва, общественных

беспорядков и других природных и антропогенных катастроф?

Учитываются ли угрозы безопасности, исходящие от близлежащих зданий,

например, в случае пожара в соседнем здании, затопления с крыши, подвала

или взрыва на улице?

A9.1.5 Выполнение работ

в зонах безопасности

Разработаны ли и применяются средства физической защиты и руководящие

указания по выполнению работ в зонах безопасности?

A9.1.6

Зоны общественного

доступа, выдачи и загрузки

Находиться ли под управлением и по возможности изолированы от средств обработки информации места доступа,

такие как зоны выдачи, загрузки и другие места, где неавторизованные лица могут проникнуть в помещения, во избежание

несанкционированного доступа?

A9.2 Безопасность оборудования

Цель: Предотвратить потерю, повреждение, кражу или компрометацию активов и перебои в деятельности организации

A9.2.1 Размещение и

защита оборудования

Размещено ли и защищено оборудование таким образом, чтобы были снижены

риски от опасностей окружающей среды и возможности несанкционированного

доступа? A9.2.2 Инженерные Защищено ли оборудование от перебоев

http://itsec.by/ 64

№ Средство управления Вопрос коммуникации в питании и других сбоев, связанных с

отказами инженерных коммуникаций?

A9.2.3 Безопасность

кабельных соединений

Защищены ли от перехвата или повреждения кабельные соединения

питания и связи, передающие данные или поддерживающие информационные

услуги? Существуют ли дополнительные

средства по управлению информационной безопасностью для секретных или критических систем?

A9.2.4 Техническое

обслуживание оборудования

Проводиться ли надлежащее техническое обслуживание оборудования для

обеспечения его непрерывной работоспособности и целостности? Обслуживается ли оборудование в

соответствии с техническими условиями и периодичностью, рекомендованными

поставщиком? Проводится ли техническое

обслуживание и ремонт оборудования только авторизованным персоналом?

Хранятся ли записи обо всех предполагаемых или фактических

неисправностях и всех видах профилактического и

восстановительного технического обслуживания?

Предпринимаются ли соответствующие меры безопасности, при передаче

оборудования на техническое обслуживание за пределы организации?

Выполнены ли все требования, налагающийся страховыми полисами?

A9.2.5 Безопасности

оборудования вне помещений

Обеспечивается ли безопасность оборудования, используемого вне помещений организации, с учетом

различных рисков, связанных с работой вне помещений организации?

http://itsec.by/ 65


Авторизовано ли руководством использование любого оборудования для

обработки информации за пределами помещений организации?

A9.2.6

Безопасная утилизация или

повторное использование оборудования

Все ли компоненты оборудования, содержащие носители данных,

проверяются, чтобы обеспечить, что любые конфиденциальные данные и

лицензионное программное обеспечение были удалены или безопасно замещены

другими данными до утилизации?

A9.2.7 Вынос имущества

Авторизован ли руководством вынос за пределы организации оборудования,

информации или программного обеспечения?

A10 Менеджмент обмена информацией и функционирования

A10.1

Процедуры и ответственность

при функционировани

и

Цель: Обеспечить надлежащее и безопасное функционирование средств обработки информации.

A10.1.1 Документированны

е процедуры функционирования

Процедуры функционирования документально оформлены,

поддерживаться в рабочем состоянии и доступны для всех пользователей,

которые в них нуждаются? Рассматривают ли такие технологически

документированные инструкции в отношении системных действий как

официальные документы, а изменения к ним утверждаются руководством?

A10.1.2 Менеджмент изменений

Управляются ли все изменения средств и систем обработки информации?

A10.1.3 Разграничение обязанностей

Разграничены ли обязанности и области ответственности в целях снижения

возможностей несанкционированного или непреднамеренного изменения или ненадлежащего использования активов


http://itsec.by/ 66


A10.1.4

Разделение средств разработки,

тестирования и функционирования

Разделены ли средства разработки, тестирования и функционирования в

целях снижения рисков несанкционированного доступа или

изменения функционирующей системы?

A10.2

Менеджмент предоставления

услуг третьей стороной

Цель: Достичь и поддерживать требуемый уровень информационной безопасности и предоставления услуг в соответствии с соглашениями о предоставлении услуг третьей стороной.

A10.2.1 Предоставление услуг

Обеспечивается ли то, чтобы включенные в соглашение об оказании

услуг с третьей стороной средства управления безопасностью, описание услуг и уровни обслуживания были

внедрены, функционировали и поддерживались третьей стороной?

A10.2.2

Мониторинг и анализ услуг, оказываемых


Осуществляется ли регулярно мониторинг и анализ услуг, отчетов и

записей, предоставляемых третьей стороной, а также регулярно проводятся

аудиты? Проводится ли регулярно анализ

журналов аудита третьей стороны и записей о событиях в системе

безопасности, операционных проблемах, сбоях, прослеживании сбоев и

нарушений, связанных с поставляемой услугой?

A10.2.3

Менеджмент изменений в

услугах, оказываемых


Осуществляется ли менеджмент изменений в предоставлении услуг, в том

числе поддержание и улучшение существующих политик, процедур и средств управления информационной

безопасностью? Учитывается ли при этом критичность бизнес-систем и бизнес-процессов, а

также переоценка рисков?

http://itsec.by/ 67


A10.3 Планирование и приемка систем

Цель: Минимизировать риск отказов систем.

A10.3.1 Менеджмент

производительности

Осуществляется ли мониторинг, регулирование и прогнозирование использования ресурсов, исходя из

требований к будущей производительности, для обеспечения

требуемого функционирования системы?

A10.3.2 Приемка систем

Установлены ли критерии приемки новых информационных систем, их

обновлений и новых версий? Проведено ли соответствующее

тестирование систем (ы) в процессе разработки и перед приемкой?

A10.4 Приемка систем Цель: Защитить целостность программного обеспечения и информации.

A10.4.1 Средства

управления против вредоносного кода

Применяются ли средства управления для обнаружения, предотвращения и восстановления в целях защиты от

вредоносного кода, а также соответствующие процедуры обеспечения осведомленности

пользователей?

A10.4.2 Средства

управления против мобильного кода

Обеспечивает ли конфигурация работу санкционированного мобильного кода в

соответствии с четко определенной политикой безопасности?

Предотвращается ли выполнение несанкционированного мобильного

кода?

A10.5 Резервное копирование

Цель: Поддерживать целостность и доступность информации и средств обработки информации.

A10.5.1 Резервное

копирование информации

Осуществляется ли создание и тестирование резервных копий информации и программного обеспечения, в соответствии с

согласованной политикой резервного

http://itsec.by/ 68


копирования? Возможно ли восстановить всю существенную информацию и

программное обеспечение в результате несчастного случая или сбоя в работе

носителя информации?

A10.6 Менеджмент безопасности сети

Цель: обеспечить защиту информации в сетях и защиту поддерживающей инфраструктуры.

A10.6.1 Средства управления сетями

Обеспечивается ли адекватный менеджмент и управление сетями в

целях защиты от угроз и поддержания безопасности систем и приложений,

использующих сеть, включая информацию, передаваемую по сетям?

Реализованы ли средства управления для обеспечения информационной

безопасности в сетях, а также защиты связанных с ней услуг от

неавторизованного доступа?

A10.6.2 Безопасность сетевых услуг

Идентифицированы и включены ли функции обеспечения безопасности, уровни обслуживания и требования к менеджменту всех сетевых услуг в

любое соглашение о предоставлении сетевых услуг независимо от того,

являются ли эти услуги внутренними или аутсорсинговыми?

Определены ли и контролируются способности поставщика сетевых услуг управлять согласованными услугами с должной осторожностью? Согласовано

ли право на аудит?

A10.7 Обращение с носителями информации

Цель: Предотвратить несанкционированное разглашение, модификацию, удаление или уничтожение активов и прерывание бизнес-деятельности.

A10.7.1 Менеджмент Есть ли в организации соответствующие

http://itsec.by/ 69


съемных носителей информации

процедуры для менеджмента съемных носителей информации?

Все ли процедуры и уровни полномочий четко документированы?

A10.7.2 Утилизация носителей

информации

Осуществляется ли надежная и безопасная утилизация носителей

информации с применением формализованных процедур, если в

носителях больше нет необходимости?

A10.7.3 Процедуры

обращения с информацией

Разработаны ли процедуры обращения с информацией и ее хранения, для защиты

от неавторизованного доступа или неправильного использования?

A10.7.4 Безопасность документации

системы

Защищена ли документация системы от несанкционированного доступа?

A10.8 Обмен информацией

Цель: Поддерживать безопасность информации и программного обеспечения при обмене внутри организации, а также с внешними логическими объектами.

A10.8.1 Политики и

процедуры обмена информацией

Есть ли в организации формализованные политики, процедуры и средства

управления для обеспечения защиты при обмене информацией с использованием

средств связи? Охватывают ли эти политики, процедуры и средства управления все типы средств

связи?

A10.8.2 Соглашения по обмену

Заключены ли соглашения по обмену информацией и программным

обеспечением между организацией и внешними сторонами?

Отражает ли содержание любого соглашения, касающееся обеспечения безопасности, конфиденциальность вовлеченной бизнес информации?

A10.8.3 Физические носители

Защищены ли носители, содержащие информацию, от несанкционированного

http://itsec.by/ 70


информации при транспортировке

доступа, ненадлежащего использования или повреждения при

транспортировании за пределами территории организации?

A10.8.4 Электронный

обмен сообщениями

Защищена ли надлежащим образом информация, используемая при

электронном обмене сообщениями?

A10.8.5 Системы бизнес-информации

Разработаны ли и внедрены политики и процедуры для защиты информации,

связанной с системами бизнес-информации?

A10.9 Услуги

электронной торговли

Цель: Обеспечить безопасность услуг электронной торговли и их безопасное использование.

A10.9.1 Электронная торговля

Защищена ли информация, используемая при электронной торговле, проходящая

через сети общего доступа, от мошенничества, препятствий при

исполнении контрактов, а также от несанкционированного доступа и

модификации? Установлены ли процедуры ведения

электронной торговли между торговыми партнерами в документированном соглашении, которое связывает обе

стороны согласованными условиями?

A10.9.2 Трансакции в

режиме реального времени

Защищена ли информация, используемая в трансакциях в режиме реального

времени, для предотвращения неполной передачи, неправильной маршрутизации,

несанкционированного изменения, раскрытия, копирования или воспроизведения сообщений?

A10.9.3 Общедоступная информация

Защищена ли целостность информации, предназначенной для общего доступа в

общедоступной системе, для предупреждения несанкционированной

модификации? A10.10 Мониторинг Цель: Обнаруживать

http://itsec.by/ 71


несанкционированные действия, связанные с обработкой информации.

A10.10.1

Сбор данных аудита

Обеспечено ли ведение и хранение в течение определенного периода

журналов аудита, в которых записываются действия пользователей,

нештатные ситуации и события информационной безопасности, для

помощи в будущих расследованиях и при проведении мониторинга управления

доступом? Обеспечиваются ли защита

персональных данных /обеспечение секретности при обслуживании

журналов аудита?

A10.10.2

Мониторинг использования

системы

Установлены ли процедуры для мониторинга использования средств

обработки информации? Проводиться ли регулярный анализ

результатов деятельности по мониторингу?

Определен ли уровень мониторинга, необходимого для отдельных средств,

посредством проведения оценки рисков?

A10.10.3

Защита зарегистрированно

й информации

Защищены ли средства регистрации и информация, содержащаяся в журналах,

от вмешательства и несанкционированного доступа?

A10.10.4

Регистрация действий

администратора и оператора

Регистрируются ли действия системного администратора и системного оператора? Анализируются ли на регулярной основе журналы системного администратора и

оператора?

A10.10.5

Регистрация отказов

Регистрируются ли и анализируются отказы, и предпринимаются ли по ним

соответствующие действия? Определяться ли уровень регистрации, необходимый для отдельных систем, оценкой рисков с учетом ухудшения

http://itsec.by/ 72


функционирования?

A10.10.6

Синхронизация часов

Синхронизированы ли с единственным источником точного времени часы всех

соответствующих систем обработки информации в пределах организации или

домена безопасности? A11 Управление доступом

A11.1 Бизнес-требование

к управлению доступом

Цель: Управлять доступом к информации.

A11.1.1 Политика

управления доступом

Установлена ли, документально оформлена и пересматривается с учетом

бизнес-требований и требований безопасности для доступа политика

управления доступом? Рассматриваться ли в политике

совместно логические и физические средства управления доступом?

Предъявлена ли пользователям и поставщикам услуг четкая формулировка

бизнес-требований, которым должны соответствовать средства управления

доступом?

A11.2 Менеджмент

доступа пользователей

Цель: Обеспечить санкционированный и предотвратить несанкционированный доступ пользователей к информационным системам.

A11.2.1 Регистрация пользователей

Установлена ли формализованная процедура регистрации и отмены регистрации пользователей для

предоставления и аннулирования прав доступа ко всем информационным

системам и услугам?

A11.2.2 Менеджмент привилегий

Находится ли под управлением и ограничено предоставление и использование привилегий?

A11.2.3 Менеджмент паролей

Управляется ли предоставление паролей посредством формализованного процесса

http://itsec.by/ 73

№ Средство управления Вопрос пользователей менеджмента?

Требуется ли от пользователя подписание заявления о сохранности личных паролей в тайне и групповых паролей исключительно в пределах

участников группы?

A11.2.4 Анализ прав

доступа пользователей

Анализируются ли руководством на регулярной основе права доступа

пользователей посредством формализованного процесса?

A11.3 Ответственность пользователей

Цель: Предотвращать несанкционированный доступ пользователей, а также компрометацию или кражу информации и средств обработки информации.

A11.3.1 Использование паролей

Придерживаются ли пользователи надлежащих практик безопасности при

выборе и использовании паролей?

A11.3.2

Оборудование, оставленное

пользователями без присмотра

Обеспечивают ли пользователи соответствующую защиту оборудования,

оставленного без присмотра?

A11.3.3 Политика «чистого стола» и «чистого

экрана»

Принята ли в организации политика «чистого стола» для бумажных и сменных носителей информации?

Принята ли в организации политика «чистого экрана» для средств обработки

информации?

A11.4 Управление сетевым доступом

Цель: Предотвратить несанкционированный доступ к сетевым услугам.

A11.4.1

Политика в отношении

использования сетевых услуг

Представлен ли пользователям доступ только к тем услугам, которые они могут

санкционированно использовать? Принята ли в организации политика, касающаяся использования сетей и

сетевых услуг? A11.4.2 Аутентификация Применяются ли соответствующие

http://itsec.by/ 74


пользователей для внешних

соединений

методы аутентификации для управления доступом удаленных пользователей?

A11.4.3 Идентификация оборудования в

сетях

Рассматривается ли автоматическая идентификация оборудования как

средство аутентификации соединений, осуществляемых из конкретных мест и

на конкретном оборудовании?

A11.4.4

Защита портов для диагностики и

конфигурации при удаленном доступе

Находится ли под управлением физический и логический доступ к

портам для диагностики и конфигурации?

A11.4.5 Разделение в сетях

Разделены ли группы информационных услуг, пользователи и информационные

системы в сетях? Разделены ли беспроводные сети с внутренними и частными сетями?

A11.4.6 Управление

сетевыми соединениями

Ограничивается ли подключение пользователей к совместно

используемым сетям, особенно к тем, которые выходят за пределы территории организации, в соответствии с политикой

управления доступом и требованиями бизнес-приложений?

A11.4.7 Управление сетевой маршрутизацией

Внедрены ли средства управления маршрутизацией в сетях для обеспечения

подключения компьютеров и информационных потоков, не

нарушающих политику управления доступом для бизнес-приложений? Основаны ли средства управления маршрутизацией на механизмах

проверки положительного источника и адреса назначения?

A11.5

Управление доступом к

операционной системе

Цель: Предотвратить несанкционированный доступ к операционным системам.

A11.5.1 Процедуры Обеспечено ли управление доступом к

http://itsec.by/ 75


безопасного входа в систему

операционным системам процедурой безопасного входа в систему?

A11.5.2 Идентификация и аутентификация

пользователя

Имеют ли все пользователи уникальный идентификатор (ID пользователя) только

для персонального использования? Выбраны ли для подтверждения

заявленной личности пользователя подходящие методы аутентификации?

A11.5.3 Система

менеджмента паролей

Используются ли интерактивные системы менеджмента паролей,

обеспечивающие соответствующее качество паролей?

A11.5.4 Использование системных утилит

Ограничено ли и находится под строгим управлением использование

утилитарных программ, которые в состоянии обойти средства управления

систем и приложений?

A11.5.5 Прерывание сеансов связи

Прерываются ли неактивные сеансы связи после определенного периода

бездействия?

A11.5.6 Ограничение

времени соединения

Применяется ли ограничение времени соединения для обеспечения

дополнительной безопасности приложений с высокой степенью риска?

A11.6

Управление доступом к

прикладным программам и информации

Цель: Предотвратить несанкционированный доступ к информации, содержащейся в прикладных систем.

A11.6.1 Ограничение

доступа к информации

Ограничен ли доступ к информации и функциям прикладных систем для пользователей и обслуживающего

персонала в соответствии с определенными политиками управления

доступом?

A11.6.2 Изоляция важных систем

Имеется ли в организации выделенная (изолированная) среда вычислений для

важных систем? A11.7 Мобильные Цель: Обеспечить информационную

http://itsec.by/ 76


вычисления и удаленная работа

безопасность при использовании средств для мобильных вычислений и удаленной работы.

A11.7.1 Мобильные вычисления и связь

Приняты ли в организации формализованная политика, и

применяются ли соответствующие меры обеспечения безопасности для защиты от

рисков при использовании средств для мобильных вычислений и связи

(например: ноутбуков, карманных компьютеров, смарт-карт, мобильных

телефонов и др.)? Учитывает ли политика в области

мобильных вычислительных средств, риски работы с оборудованием в

незащищенных средах?

A11.7.2 Удаленная работа

Разработаны ли и внедрены в организации политика, оперативные планы и процедуры для удаленной

работы? Разрешена ли и управляется

руководством деятельность по телеобработке? Обеспечено ли наличие

соответствующих мероприятий для подобного способа работы?

A12 Приобретение, разработка и обслуживание информационных систем

A12.1

Требования безопасности

информационных систем

Цель: Предотвратить ошибки, потерю, несанкционированную модификацию или ненадлежащее использование информации в приложениях.

A12.1.1

Анализ и установление требований


Установлены ли требования к средствам управления безопасностью в

оформленных заявлениях о бизнес-требованиях к созданию новых или

усовершенствованию существующих информационных систем?

Отражают ли требования к средствам управления безопасностью величину

http://itsec.by/ 77


составляющей бизнеса вовлеченных информационных активов и возможный

ущерб для бизнеса, который может произойти в результате сбоя в защите

или отсутствия защиты? Интегрированы ли системные

требования для информационной безопасности и процессов реализации

защиты на ранних стадиях проектирования информационных

систем?

A12.2 Правильная обработка в

приложениях

Цель: Предотвратить ошибки, потерю, несанкционированную модификацию или ненадлежащее использование информации в приложениях.

A12.2.1 Валидация входных данных

Проводится ли валидация входных данных для приложений, для

обеспечения их правильности и соответствия?

Определены ли процедуры для проверки достоверности входных данных, для

реакции на ошибки, выявленные валидацией, а также обязанности всего

персонала, вовлеченного в процесс ввода данных?

12.2.2 Управление внутренней обработкой

Интегрированы ли валидационные проверки в приложения для

обнаружения любого повреждения информации, произошедшего из-за

ошибок обработки или умышленных действий?

Гарантируется ли минимизация риска сбоев в обработке, приводящих к потере целостности на этапе разработки и ввода

в действие приложений?

12.2.3 Целостность сообщений

Идентифицированы ли требования для обеспечения аутентичности и защиты

целостности сообщений в приложениях, а также идентифицированы и внедрены

http://itsec.by/ 78


соответствующие средства управления? Проводится ли оценка рисков, с целью определить, требуется ли обеспечение целостности сообщения, и установить

наиболее подходящие методы реализации?

12.2.4 Валидация выходных данных

Проводится ли валидация выходных данных приложений для обеспечения

того, чтобы обработка хранящейся информации была правильной и

соответствовала обстоятельствам?

A12.3 Криптографическ

ие средства управления

Цель: Защищать конфиденциальность, аутентичность или целостность информации криптографическими средствами.

A12.3.1

Политика использования

криптографических средств управления

Принята ли в организации политика использования криптографических

средств управления для защиты информации?

Предусмотрен ли при разработке криптографической политики подход

руководства к использованию криптографических средств управления

всей организацией? Определен ли на основе оценки рисков необходимый уровень защиты, с учетом типа, строгости и качества требуемого

шифровального алгоритма? Определены ли в организации стандарты,

которые следует принять для результативной деятельности всей


А12.3.2 Менеджмент ключей

Осуществляется ли в организации менеджмент ключей для поддержки

применения криптографических методов?

Защищены ли все криптографические ключи от модификации, утери и

уничтожения?

http://itsec.by/ 79


Защищены ли секретные и личные ключи от неавторизованного доступа?

Обеспечена ли физическая безопасность оборудования, используемого для

генерации, хранения и архивирования ключей?

Основана ли система управления ключами на согласованном наборе стандартов, процедур и безопасных

методов?

A12.4 Безопасность системных файлов

Цель: Обеспечить безопасность системных файлов

A12.4.1

Управление программным обеспечением операционных

систем

Применяются ли процедуры для управления установкой программного

обеспечения в операционных системах?

A12.4.2 Защита данных тестирования

системы

Находятся ли под управлением, отобраны и защищены данные

тестирования?

A12.4.3

Управление доступом к исходному

программному коду

Ограничен ли доступ к исходному программному коду?

A12.5

Безопасность в процессах

разработки и поддержки

Цель: Поддерживать безопасность программного обеспечения и информации прикладных систем.

A12.5.1 Процедуры управления

изменениями

Применяются ли соответствующие формализованные процедуры управления изменениями для осуществления изменений?

Включает ли процесс управления изменениями оценку рисков, анализ

влияния изменений, а также спецификации необходимых средств

защиты?

A12.5.2 Технический анализ приложений

Проводится ли анализ и тестирование критичных для бизнеса приложений на

http://itsec.by/ 80


после внесения изменений в

операционную систему

предмет отсутствия негативного влияния на функционирование или безопасность организации при внесении изменений в

операционные системы?

A12.5.3

Ограничения на внесение

изменений в пакеты программного обеспечения

Ограничена ли модификация пакетов программного обеспечения, для

минимизации количества изменений? Находится ли модификация пакетов

программного обеспечения под строгим управлением?

A12.5.4 Утечка информации

Предотвращены ли возможности для утечки информации?

A12.5.5

Аутсорсинговая разработка

программного обеспечения

Осуществляется ли в организации надзор и мониторинг аутсорсинговой

разработки программного обеспечения?

A12.6 Менеджмент технических уязвимостей

Цель: Снизить риски, являющиеся результатом использования опубликованных технических уязвимостей.

A12.6.1 Управление

техническими уязвимостями

Получается ли своевременная информация о технических уязвимостях используемых информационных систем?

Оценивается ли опасность таких уязвимостей для организации и

принимаются ли соответствующие меры в отношении связанного с ними риска?

A13 Менеджмент инцидентов в области информационной безопасности

A13.1

Отчетность о событиях в

области информационной безопасности и ее слабых сторонах

Цель: Обеспечить оповещение о событиях в области информационной безопасности и ее слабых сторонах, связанных с информационными системами, для принятия своевременных корректирующих действий.

A13.1.1 Отчетность о

событиях в области информационной

Сообщается ли о событиях в области информационной безопасности по

соответствующим каналам управления

http://itsec.by/ 81

№ Средство управления Вопрос безопасности настолько быстро, насколько это

возможно? Создана ли официальная процедура

составления отчетов о событиях информационной безопасности?

A13.1.2 Отчетность о

слабых сторонах безопасности

Отмечают ли и сообщают о любых наблюдаемых или предполагаемых

слабых сторонах безопасности в системах или услугах, все сотрудники,

подрядчики и пользователи третьей стороны, пользующиеся

информационными системами и услугами?

A13.2

Менеджмент инцидентов в


безопасности и улучшения

Цель: Обеспечить согласованный и результативный подход к менеджменту инцидентов в области информационной безопасности.

A13.2.1 Ответственность и процедуры

Установлены ли ответственность руководства и процедуры, позволяющие обеспечить быстрое, результативное и

последовательное реагирование на инциденты в области информационной

безопасности? Используется ли мониторинг систем, предупреждений и уязвимостей для

обнаружения инцидентов информационной безопасности? Согласованы ли с руководством

мероприятия по управлению инцидентами информационной

безопасности?

A13.2.2

Извлечение уроков из инцидентов в



Определены ли механизмы, позволяющие осуществлять

количественную оценку и мониторинг инцидентов в области информационной

безопасности по типам, объемам и стоимостям?

http://itsec.by/ 82


Используется ли информация, полученная из оценки инцидентов

информационной безопасности, для выявления повторно возникающих

инцидентов или инцидентов с высокой степенью влияния?

A13.2.3 Сбор доказательств

Собираются ли, сохраняются и представляются доказательства согласно

правилам оформления доказательств, определенным соответствующими

юрисдикциями, если инцидент в области информационной безопасности может привести к судебному разбирательству (гражданскому или уголовному) против

лица или организации? Разработаны ли и приведены в действие

внутренние процедуры сбора и представления доказательств в целях

дисциплинарного воздействия, осуществляемого в рамках в

организации? A14 Менеджмент непрерывности бизнеса

A14.1

Аспекты информационной

безопасности в менеджменте

непрерывности бизнеса

Цель: Избежать прерывания бизнес-деятельности и защитить критические бизнес-процессы от последствий крупных отказов информационных систем или аварий, а также обеспечить их своевременное восстановление.

A14.1.1

Включение информационной безопасности в

процесс менеджмента


Разработан ли и поддерживается во всей организации процесс обеспечения непрерывности бизнеса, с учетом

требований информационной безопасности, необходимых для

обеспечения непрерывности бизнеса организации?

A14.1.2 Непрерывность

бизнеса и оценка рисков

Идентифицированы ли события, которые могут стать причиной прерывания

бизнес-процессов, а также связанные с ними вероятность и степень воздействия

http://itsec.by/ 83


таких перерывов и их влияние на информационную безопасность?

A14.1.3

Разработка и внедрение планов непрерывности,

включая информационную

безопасность

Приняты ли в организации планы для поддержки или восстановления

функционирования и обеспечения доступности информации на требуемом

уровне и в требуемые сроки после прерывания или отказа критических

бизнес-процессов?

A14.1.4

Структура планирования


Существует ли в организации единая структура планов непрерывности

бизнеса? Определены ли для всех планов

непрерывности бизнеса последовательность их выполнения,

приоритеты при тестировании и техническом обслуживании? Учитываются ли требования

информационной безопасности в планировании непрерывности бизнеса?

A14.1.5

Тестирование, поддержка и

переоценка планов непрерывности

бизнеса

Подвергаются ли планы непрерывности бизнеса регулярному тестированию и обновлению с целью обеспечения их актуальности и результативности?

Обеспечены ли гарантии при проведении тестов плана обеспечения непрерывности

бизнеса, что все члены группы по восстановлению и другой имеющий

отношение к делу персонал осведомлены о планах, своей ответственности за

непрерывность бизнеса, защиту информации и своей роли при

осуществлении плана? A15 Соответствие требованиям

A15.1 Соответствие

правовым требованиям

Цель: Предотвращать любые нарушения норм уголовного и гражданского права, требований, установленных в нормативных правовых актах, других обязательных

http://itsec.by/ 84


требований или контрактных обязательств, а также требований безопасности.

A15.1.1

Определение применимых

правовых требований

Определены ли все соответствующие законодательные, другие обязательные и

контрактные требования для каждой информационной системы и

организации? Определен ли и документирован порядок

их выполнения для каждой информационной системы и


A15.1.2

Права интеллектуальной

собственности (IPR)

Внедрены ли соответствующие процедуры для применения правовых, других обязательных и контрактных

требований относительно использования материалов с учетом прав

интеллектуальной собственности, а также прав на использование

собственных программных продуктов?

A15.1.3 Защита записей организации

Защищены ли важные записи организации от потери, разрушения и

фальсификации в соответствии с законодательными, другими

обязательными, контрактными требованиями и бизнес-требованиями? Уделяется ли внимание возможности

ухудшения состояния носителей, используемых для хранения записей? Учитываются ли при выборе системы

хранения данных условия, чтобы необходимые данные могли быть извлечены в приемлемый период

времени и приемлемом формате, в зависимости от необходимых

требований?

A15.1.4 Защита данных и

конфиденциальность частной

Обеспечивается ли защита данных и конфиденциальность в соответствии с

законодательными, другими

http://itsec.by/ 85

№ Средство управления Вопрос информации обязательными и, если применимо,

контрактными требованиями?

A15.1.5

Предотвращение ненадлежащего использования

средств обработки информации

Рассматривается ли любое использование средств обработки

информации не в целях бизнеса без санкции руководства или для любых

неавторизованных целей как злонамеренное использование средств? Представляется ли при входе в систему предупреждающее сообщение с целью

указания, что средство обработки информации, на которое осуществляется вход, принадлежит организации, и что неавторизованный доступ запрещен? Пользователь должен подтвердить и

надлежащим образом отреагировать на сообщение на экране для продолжения

процесса входа в систему. Получена ли юридическая консультация

перед реализацией процедур непрерывного контроля?

A15.1.6 Регулирование

криптографических средств управления

Используются ли криптографические средства управления в соответствии с

соглашениями, законами и нормативными актами?

A15.2

Соответствие политикам и стандартам в

области безопасности и

техническое соответствие

Цель: Обеспечить соответствие систем политикам и стандартам организации в области безопасности

A15.2.1

Соответствие политикам и стандартам в

области безопасности

Обеспечивают ли руководители, чтобы все процедуры безопасности в их

области ответственности правильно выполнялись для достижения

соответствия политикам и стандартам в области безопасности?

Проводят ли руководители регулярный

http://itsec.by/ 86


анализ соответствия обработки информации другим требованиям

защиты?

A15.2.2 Проверка

технического соответствия

Проверяются ли регулярно информационные системы на

соответствие стандартам в области безопасности?

Выполняется ли любая проверка технического соответствия только

компетентными, уполномоченными лицами, или под контролем таких лиц?

A15.3

Факторы, которые необходимо

учитывать при аудите

информационных систем

Цель: Повысить результативность и снизить негативное влияние, связанных с процессом аудита информационных систем.

A15.3.1

Средства управления

аудитом информационных

систем

Спланированы ли требования аудита и деятельность, включающая проверки операционных систем, чтобы свести к минимуму риск прерывания бизнес-

процессов? Согласованы ли требования к аудиту и область проверок с соответствующим

руководством?

A15.3.2

Защита инструментальных

средств аудита информационных

систем

Защищен ли доступ к инструментальным средствам аудита информационных систем для предотвращения любой

возможности их ненадлежащего использования или компрометации?

Отделены ли инструментальные средства аудита информационных систем от систем разработки и операционных систем, если только им не придан

надлежащий уровень дополнительной защиты?

http://itsec.by/ 87

КУРС «805. АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»

Курс предназначен для руководителей и специалистов подразделений технической защиты информации, IT-аудиторов, аналитиков по вопросам компьютерной безопасности, администраторов средств защиты, контроля и управления безопасностью, специалистов, ответственных за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам менеджмента информационной безопасности. В курсе рассматриваются вопросы разработки программы, методики, процедуры аудита информационной безопасности предприятия в соответствии с ISO 19011, ISO 27001, ISO 27002, Cobit 4.1 и лучшими практиками в области информационной безопасности. В курсе подробно рассматриваются все аспекты аудита - от общих высокоуровневых подходов к планированию и проведению аудита до технических деталей аудита конкретных средств управления информационной безопасностью. В ходе практических занятий проводится последовательный аудит специально разработанной для курса информационной системы. Программа соответствует SANS Audit 507: Auditing Networks, Perimeters, and Systems. http://www.belsoft.by/site/ru/education/information_security/805

auditors guide-iso-27001-on-russian

Technology