Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Auditors guide-iso-27001-on-russian

628 views

Published on

iso-27001

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Auditors guide-iso-27001-on-russian

  1. 1. В.В. Аксёнов АУДИТ СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. РУКОВОДСТВО.
  2. 2. http://itsec.by/ 2 ОГЛАВЛЕНИЕ 1 ОБЛАСТЬ ПРИМЕНЕНИЯ..................................................... 3 2 НОРМАТИВНЫЕ ССЫЛКИ.................................................... 4 3 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ.............................................. 5 4 ПРИНЦИПЫ АУДИТА............................................................. 9 5 УПРАВЛЕНИЕ ПРОГРАММОЙ АУДИТА............................10 6 ДЕЯТЕЛЬНОСТЬ ПРИ ПРОВЕДЕНИИ АУДИТА ..............11 7 КОМПЕТЕНТНОСТЬ И ОЦЕНКА АУДИТОРА ...................29 ПРИЛОЖЕНИЕ А - ПЕРЕЧЕНЬ ДОКУМЕНТОВ СМИБ, ОБЯЗАТЕЛЬНЫХ ДЛЯ СЕРТИФИКАЦИИ НА СООТВЕТСТВИЕ ISO 27001 ...................................................32 ПРИЛОЖЕНИЕ Б - ПЛАН ПРОВЕДЕНИЯ АУДИТА СМИБ НА СООТВЕТСТВИЕ ISO 27001.............................................40 ПРИЛОЖЕНИЕ В - КОНТРОЛЬНЫЙ СПИСОК (ISO 27001) ......................................................................................................43 ПРИЛОЖЕНИЕ Г - КОНТРОЛЬНЫЙ СПИСОК (ISO 27002) ......................................................................................................55 КУРС «805. АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»....................................................................87
  3. 3. http://itsec.by/ 3 1 ОБЛАСТЬ ПРИМЕНЕНИЯ Это руководство содержит рекомендации для ИТ аудиторов, по проведению аудита СМИБ на соответствие серии стандартов ISO 2700x. Также после реализации СМИБ руководство может использоваться при проведении анализа СМИБ со стороны руководства. Руководство носит общий характер и должно быть адаптировано в соответствии с потребностями организации. Необходимо отметить, что аудит лучше планировать и проводить в отношении областей подверженных рискам. Отправной точкой для планирования и проведения аудита может быть начальная оценка основных рисков, которым подвергается Компания (пред-аудит или gap анализ).
  4. 4. http://itsec.by/ 4 2 НОРМАТИВНЫЕ ССЫЛКИ ISO/IEC 27000:2009, Information security management systems — Overview and vocabulary (Система менеджмента информационной безопасности. Общий обзор и терминология); ISO/IEC 27001:2005, Information security management systems — Requirements (Система менеджмента информационной безопасности. Требования); ISO/IEC 27002:2005, Code of practice for information security management (Свод правил по управлению защитой информации); ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems (Требования для органов, обеспечивающих аудит и сертификацию систем менеджмента информационной безопасности); ISO/IEC 27007, Guidelines for information security management systems auditing (Руководство для аудитора СМИБ); ISO/IEC 17021:2006, Conformity assessment — Requirements for bodies providing audit and certification of management systems (Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента). ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing (Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента)
  5. 5. http://itsec.by/ 5 3 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ Аудит (Audit) — систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита. Критерии аудита — совокупность политики, процедур или требований. Примечание — Критерии аудита используют для сопоставления с ними свидетельств аудита. Свидетельство аудита (Audit evidence) — записи, изложение фактов или другая информация, связанная с критериями аудита и которая может быть проверена. Примечание — Свидетельство аудита может быть качественным или количественным. Наблюдения аудита (Audit finding) — результат оценки собранных свидетельств аудита на соответствие критериям аудита. Примечание — Наблюдения аудита могут указывать на соответствие или несоответствие критериям аудита или на возможности улучшения. Заключение по результатам аудита (Audit report) — выходные данные аудита, предоставленные группой по аудиту после рассмотрения целей аудита и всех наблюдений аудита.
  6. 6. http://itsec.by/ 6 Заказчик аудита — организация или лицо, заказавшие аудит. Примечание — Заказчиком аудита может быть проверяемая организация или любая другая организация, которая обладает законным правом или правом по контракту заказывать проведение аудита. Проверяемая организация — организация, подвергающаяся аудиту. Аудитор — лицо, обладающее компетентностью для проведения аудита. Группа по аудиту — один или несколько аудиторов, проводящих аудит, при необходимости поддерживаемые техническими экспертами. Технический эксперт — лицо, предоставляющее группе по аудиту свои знания или опыт по специальному вопросу. Примечание 1 — Знания или опыт по специальному вопросу могут быть отнесены к организации, процессу или деятельности, подвергаемым аудиту, а также к вопросам языка или культуры страны, в которой проводится аудит. Примечание 2 — Технический эксперт не участвует в группе по аудиту в качестве аудитора. Программа аудита (Audit programme) — один или несколько аудитов, запланированных на конкретный период времени и направленных на достижение конкретной цели.
  7. 7. http://itsec.by/ 7 Примечание — Программа аудита включает всю деятельность, необходимую для планирования, организации и проведения аудитов. План аудита (Audit plan) — описание деятельности и мероприятий по проведению аудита. Область аудита — содержание и границы аудита. Примечание — Область аудита обычно включает местонахождение, организационную структуру, виды деятельности и процессов, а также охватываемый период времени. Вопросник аудитора (Audit checklist) — структурированные анкеты или рабочие планы, которыми руководствуется аудитор при проведении аудита. Рекомендация по аудиту (Audit recommendation) – корректирующее действие, связанное с одним или несколькими наблюдениями аудита, которое должно быть выполнено (реализовано) до прохождения сертификации или ресертификации СМИБ. Риск аудита (Audit risk) – возможность не достигнуть цели аудита, например, при использовании ненадежной, неполной, неточной информации. Аудиторский тест (Audit test) — проверка, проводимая аудитором для верификации эффективности, результативности средств управления информационной безопасностью и их адекватности для снижения одного или нескольких рисков для организации.
  8. 8. http://itsec.by/ 8 Документы аудита (Audit work papers) – документы, написанные (заполненные) аудиторами при проведении аудита. Аудит соответствия (Compliance audit) – вид аудита, специально предназначенный для оценки степени, в которой объект аудита соответствует установленным требованиям. Аудит СМИБ (ISMS audit) – аудит, объектом которого является СМИБ. Риск-аудит (Risk-based audit) – аудит планируемый на основании оценки рисков.
  9. 9. http://itsec.by/ 9 4 ПРИНЦИПЫ АУДИТА При проведении аудита СМИБ важно соблюдать все принципы, описанные в ISO 19011 и относящиеся к аудиту систем менеджмента. Во всех вопросах связанных с аудитом СМИБ, аудитор должен быть независимым от объекта аудита. Функция аудита в организации должна быть независимой от проверяемой области для получения объективных результатов. Информационная безопасность является динамично развиваемой областью, поэтому важно, чтобы аудиторы информационной безопасности были постоянно в курсе современных угроз, уязвимостей, и ситуации в организации (бизнес-процессов, технологий, отношений).
  10. 10. http://itsec.by/ 10 5 УПРАВЛЕНИЕ ПРОГРАММОЙ АУДИТА В данном разделе описывается деятельность, связанная с управлением программой аудита СМИБ (например: планирование, контроль, анализ):  Необходимо планировать в пределах полной программы аудита, комбинирование широких высокоуровневых аудитов СМИБ с узкими глубокими (техническими) проверками в областях повышенного риска.  Необходимо планировать аудит СМИБ своих бизнес-партнеров.  Необходимо разработать программу внутреннего аудита СМИБ. При подготовке к сертификационному аудиту СМИБ, необходимо разработать план аудита. Этот план является производным из документа «Область применения сертификации», который заполняется при запросе сертификационного аудита.
  11. 11. http://itsec.by/ 11 6 ДЕЯТЕЛЬНОСТЬ ПРИ ПРОВЕДЕНИИ АУДИТА 6.1 Общие положения Общий процесс аудита ISO 19011 нуждается в видоизменении, чтобы учесть особенности аудита ИТ и СМИБ. При проведении аудита СМИБ необходимо:  оценить и проверить на соответствие требованиям структуру, политику, процессы, процедуры, записи и другие документы организации, относящиеся к СМИБ;  удостовериться, что процессы и процедуры были разработаны, внедрены и поддерживаются в рабочем состоянии;  сообщить заказчику о возможных действиях при возникновении противоречий между политикой, целями и задачами СМИБ и результатами. План и дата проведения аудита должны быть сообщены и согласованы с проверяемой организацией заранее. Аудитор должен разработать и документировать требования к процессу про-ведения аудитов на местах в соответствии с руководящими указаниями, приведенными в ИСО 19011. Основные этапы проведения аудита представлены на ниже:
  12. 12. http://itsec.by/ 12  Организация проведения аудита  Предварительный анализ документов  Подготовка к проведению аудита на месте  Проведение аудита на месте  Анализ собранных данных  Подготовка отчета по результатам аудита  Завершение аудита 6.2 Организация проведения аудита Главным результатом этого этапа является согласованные область применения аудита, устав аудита, письма-обязательства или аналоги. Списки контактов, документы по СМИБ (рабочие документы, свидетельства, отчеты и т.д.), связанные с аудитом. 6.2.1 Определение целей, области и критериев аудита Перед проведением аудита СМИБ необходимо определить цели, область и критерии аудита. Критерием проведения аудита является стандарт ISO/IEC 27001.
  13. 13. http://itsec.by/ 13 Цели аудита определяет заказчик аудита (например, руководство проверяемой организации). Цели аудита могут включать в себя: а) определение степени соответствия СМИБ проверяемой организации или ее частей стандарту ISO/IEC 27001; b) оценку возможности СМИБ обеспечивать соответствие законодательным требованиям, нормативным требованиям и требованиям контракта; c) оценку результативности СМИБ для достижения конкретных целей (например определенных в политике информационной безопасности, или политике СМИБ); d) идентификацию областей потенциального совершенствования СМИБ. Область аудита определяет заказчик аудита совместно с аудитором. Область аудита может включать содержание и границы аудита, месторасположение, структурные подразделения, деятельность и процессы, которые подвергаются аудиту, а также сроки аудита. На данном этапе аудиторы СМИБ определяют область и границы проведения аудита, на основании оценки рисков и требований заказчика аудита. При подготовке к проведению аудита необходимо проанализировать следующие источники информации:  общие исследования по отрасли и организации
  14. 14. http://itsec.by/ 14  отчеты по проведению предыдущих аудитов СМИБ  положение о применимости  политику СМИБ  план обработки рисков Аудитор СМИБ должен убедиться в том, что определенная заказчиком аудита область применения СМИБ «имеет смысл» в отношении данной организации. Область проведения аудита, как правило, соответствует области применения СМИБ в организации. Например, крупная организация, включающая в себя отдельные распределенные бизнес-единицы (подразделения) может иметь всеобъемлющую корпоративную СМИБ, или некоторое сочетание локальной и корпоративной СМИБ. Если сертификации подлежит СМИБ охватывающая всю организацию, аудитору, возможно, придется проанализировать функционирование СМИБ, если не на всех подразделениях, то по крайне мере на репрезентативной выборке, таких как штаб-квартира и отдельные бизнес единицы, выбранные аудитором. Аудиторы должны уделять особое внимание рискам и средствам управления информационной безопасностью, связанным с информационными каналами связи с другими объектами (организациями, подразделениями и т.д.), которые выходят за область применения СМИБ, например, проверка адекватности информации в Соглашении об уровне услуг (SLA), контрактах с поставщиками ИТ-
  15. 15. http://itsec.by/ 15 услуг, связанной с обеспечением безопасности информации. Это легче сделать, если выходящие за область применения объекты сертифицированы на соответствие ISO/IEC 27001. 6.2.2 Установление первоначального контакта с проверяемой организацией Первоначальный контакт с проверяемой организацией устанавливает руководитель группы по аудиту. Во время установления начального контакта с проверяемой организацией, аудитор должен идентифицировать, а в идеале вступить в контакт с заинтересованными в СМИБ сторонами (такими как менеджер по информационной безопасности, архитектор по безопасности, разработчик СМИБ, исполнитель СМИБ), и другими влиятельными лицами (такими как ИТ-директор (CIO), исполнительный директор (CEO), директор по безопасности (CSO)), чтобы иметь возможность запросить документы, которые будут рассмотрены в ходе аудита. Организация (заказчик аудита) обычно назначает одного или нескольких сопровождающих аудитора лиц (или наблюдателей), которые несут ответственность за обеспечение свободного перемещения аудитора по организации и возможности быстро найти людей, информацию и т.д., необходимых для проведения аудита, также данные лица будут выступать в качестве точки контакта аудитора руководства организации. Сопровождающие лица и наблюдатели не являются аудиторами, поэтому они не должны оказывать
  16. 16. http://itsec.by/ 16 влияние на проведение аудита или вмешиваться в проведение аудита. Сопровождающие лица, назначенные проверяемой организацией, должны оказывать помощь группе по аудиту, действовать по просьбе руководителя группы по аудиту и выполнять следующие обязанности: а) обеспечение контактов и назначение времени для встреч; b) обеспечение посещений определенных мест производственной площадки или организации; c) обеспечение того, чтобы правила и процедуры по безопасности были известны и соблюдались членами группы по аудиту; d) исполнение функций лиц, свидетельствующих в ходе аудита от имени проверяемой организации; e) предоставление разъяснений или оказание помощи при сборе информации. Целью первоначального контакта является: а) определение каналов обмена информацией с представителем проверяемой организации; б) подтверждение полномочий для проведения аудита; в) предоставление информации по предлагаемому графику аудита и составу группы по аудиту; г) получение разрешения на доступ к соответствующим документам, включая записи;
  17. 17. http://itsec.by/ 17 д) согласование присутствия наблюдателей и сопровождающих для группы по аудиту. 6.3 Предварительный анализ документов Прежде чем начать деятельность по аудиту на месте, анализируют документы проверяемой организации, документы по СМИБ, записи, а также отчеты по предыдущим аудитам с целью определения соответствия СМИБ требованиям стандарта ISO/IEC 27001. Анализ должен учитывать размер, вид деятельности и сложность организации, а также цели и область аудита. В некоторых случаях этот анализ может быть отложен до начала проведения аудита на месте. Если документация СМИБ признана неадекватной (не соответствующей требованиям ISO/IEC 27001), то аудитор должен проинформировать заказчика аудита, через согласованный канал обмена информацией. В данном случае необходимо принять решение по продолжению или приостановке аудита до тех пор, пока проблемы с документацией не будут разрешены. Требования к документации СМИБ представлены в Приложении А. 6.4 Подготовка к проведению аудита на месте На данном этапе определяются временные рамки аудита и ключевые аспекты, представляющие наибольший риск для организации.
  18. 18. http://itsec.by/ 18 6.4.1 Подготовка плана аудита Аудитор должен подготовить план аудита для согласования с заказчиком аудита и проверяемой организацией. На основании плана уточняют сроки выполнения отдельных работ, предусмотренных планом. При подготовке плана обычно используются общие методы планирования проектов (например, диаграммы Ганта). В план по проведению аудита можно включить отдельные «контрольные точки», представляющие возможность аудиторам представить неформальные промежуточные обновления для руководства и заинтересованных лиц, включая предварительные уведомления о любых замеченных несоответствиях (или потенциальных несоответствиях) и т.д., а также поднять любые вопросы по поводу ограниченного доступа к информации и людям. На данных встречах руководство может поднять любые вопросы по поводу характера работы аудиторов. План аудита должен включать:  цели аудита;  критерии аудита и ссылочные документы;  область аудита, включая идентификацию организационных и функциональных подразделений и процессов, которые будут проверяться;  дату и место проведения аудита;
  19. 19. http://itsec.by/ 19  предполагаемое время начала и продолжительность проведения аудита на месте, включая совещания с руководством проверяемой организации и совещания групп по аудиту;  функции и обязанности членов группы по аудиту и сопровождающих лиц;  запланированную дату предоставления отчета по результатам аудита.  содержание отчета (акта) по аудиту;  вопросы, касающиеся обеспечения конфиденциальности. Любое изменение плана аудита должно быть согласовано с заинтересованными сторонами. Вариант плана проведения аудита представлен в Приложении Б Примечание: Верификация завершения и результативности корректирующих действий должна быть частью аудита, в том случае если по предыдущим аудитам были выданы рекомендации и обнаружены несоответствия. 6.4.2 Подготовка рабочих документов Члены группы по аудиту должны проанализировать информацию, относящуюся к распределению ответственности, и подготовить для регистрации результатов аудита рабочие документы:
  20. 20. http://itsec.by/ 20  контрольные листы и планы выборок для аудита;  формы регистрации данных, таких как подтверждающие свидетельства, наблюдения аудита и протоколы совещаний. Использование контрольных листов и форм не должно ограничивать объем проверок при аудите, которые могут измениться в результате анализа собранных во время аудита данных. Рабочие документы, включая записи, являющиеся результатом использования документов, следует хранить до завершения аудита. Примечание:  В ходе организации проведения аудита составляются и согласовываются с руководством проверяемой организации детальный план проведения аудита и анкеты- вопросники (чеклисты).  Общий пример плана проведения аудита СМИБ и контрольные листы (анкеты, чеклисты) приведенные для примера в данном руководстве не предназначены для использования без должного анализа и модификации. Предполагается, что аудитор СМИБ, как правило, создает частный план, контрольные листы, учитывающие конкретный объем и масштабы проверяемой СМИБ, любую информацию, требования безопасности, которые уже очевидны на этом этапе проведения аудита (например,
  21. 21. http://itsec.by/ 21 законодательные требования по информационной безопасности, регуляторы и стандарты, которые, как известно, относится данному типу организаций). Кроме того, план и контрольные листы аудита могут быть изменены в ходе аудита. Хранение документов после завершения аудита описано в 6.8. Документы, содержащие конфиденциальную или частную информацию, должны сохраняться надлежащим образом. 6.5 Проведение аудита на месте Во время аудита информация, относящаяся к СМИБ, включая информацию, касающуюся взаимодействия между подразделениями, деятельностью и процессами, должна быть собрана путем необходимых выборок и верифицирована. Свидетельством аудита может быть только информация, которая может быть верифицирована. Свидетельства аудита должны быть зарегистрированы. Свидетельство аудита основано на выборках имеющихся данных. Поэтому имеется элемент неопределенности при проведении аудита, и заключения аудита должны учитывать эту неопределенность. Методы сбора информации включают:  опросы;  наблюдения за деятельностью;
  22. 22. http://itsec.by/ 22  анализ документов. Примечание:  В ходе проведения аудита на месте аудитор планомерно и последовательно собирает свидетельства аудита в соответствии с планом аудита и контрольными листами, например путем опроса сотрудников, менеджеров и других заинтересованных субъектов связанных со СМИБ. Аудитор анализирует документы, записи, журналы, включающие в себя сведения о деятельности СМИБ и ее процессов. Проводится тестирование конфигураций системы информационной безопасности и т.д. Аудитор должен провести тестирование собранных свидетельств (например, проверить конфигурацию информационной системы, для проверки выполнения процедуры по управлению изменениями).  В начале проведения аудита на месте обычно проводится подробный анализ документации СМИБ (предварительный анализа проводился на этапе анализа документов, см. п.п. 6.3). Аудитор читает документы (например, Положение о применимости, план обработки рисков, политики, процедуры СМИБ и т.д.) и делает пометки в контрольных листах. Документация по аудиту включает в себя свидетельства аудита, наблюдения по аудиту, рабочие записи аудитора.  Результаты анализа документации часто указывают на необходимость проведения
  23. 23. http://itsec.by/ 23 специальных тестов, чтобы определить фактическое выполнение требований, процедур, политик связанных со СМИБ. Результаты тестов, как правило, записываются в контрольные листы. Пример таких контрольных листов приведен в Приложении В и Приложении Г.  Технические тесты соответствия могут понадобиться, чтобы убедиться, что ИТ- системы, настроены в соответствии со стандартами, руководящими принципами и политиками безопасности. Автоматизированная проверка конфигураций и уязвимостей (например, с помощью сканеров уязвимостей) может ускорить технические проверки соответствия. Результатом данного этапа является накопление рабочих документов и свидетельств аудита. 6.6 Анализ собранных данных Для получения наблюдений аудита свидетельства аудита должны быть сопоставлены с требованиями стандарта ISO 27001. Наблюдения аудита указывают на соответствие или несоответствие критериям аудита. Если это определено целями аудита, наблюдения аудита могут определить возможности для улучшения. Группа по аудиту при необходимости должна собираться для анализа наблюдений аудита на определенных этапах проведения аудита.
  24. 24. http://itsec.by/ 24 Соответствия критериям аудита должны быть обобщены с указанием мест расположения, подразделений или процессов, которые подвергались аудиту. Если это предусмотрено планом аудита, отдельные наблюдения аудита о соответствии и подтверждающие их свидетельства также должны быть зарегистрированы. Несоответствия и подтверждающие их свидетельства аудита должны быть зарегистрированы и классифицированы (ранжированы). Они должны быть проанализированы с проверяемой организацией для подтверждения объективности свидетельств аудита. Необходимо устранить разногласия во мнениях по свидетельствам аудита и/или наблюдениям аудита, а неразрешенные проблемы документально оформить. Примечание: Иногда анализ выявляет пробелы в свидетельствах или указывает на необходимость проведения дополнительных тестов, в этом случае может быть проведен дополнительный аудит на месте, для этого необходимо согласовать время и ресурсы. Если аудит проводится на основании оценки рисков, то аудит уже охватил наиболее важные области СМИБ. 6.7 Подготовка отчета по результатам аудита Подготовка отчета по результатам аудита является, важной частью процесса аудита. Результатом данного этапа является подписанный, согласованный и утвержденный отчет по результатам аудита.
  25. 25. http://itsec.by/ 25 Типичный отчет по результатам аудита СМИБ включает в себя следующие документы (некоторые из них могут быть вынесены в приложения, или сделаны в виде отдельных документов):  Наименование проверяемой организации, цель, область применения, критерии аудита, временные рамки и объем работ по аудиту СМИБ  Краткие итоги по аудиту (Резюме) с указанием основных результатов аудита, краткого анализа результатов, и выводов по результатам (например, СМИБ организации соответствует требованиям ISO/IEC 27001 и достойна сертификации).  Степень соответствия СМИБ стандарту критериям аудита  Способность процесса анализа со стороны руководства гарантировать пригодность СМИБ, ее адекватность, результативность и возможность улучшения  Уровень классификации документов (т.к. отчет может содержать конфиденциальную информацию) и расчет рассылки отчета по результатам аудита  Методы аудита и полномочия аудиторов.  Подробные результаты аудита, тестирования и анализа СМИБ.
  26. 26. http://itsec.by/ 26  Выводы и рекомендации по аудиту (могут быть представлены в виде согласованного плана действий по результатам аудита)  Официальное заявление, включающее трудности, ограничения или другие предостережения в отношении аудита.  Другую информацию, согласованную на этапе организации проведения аудита (например, возможные пути улучшения СМИБ). Примечание:  В отчете по результатам аудита, важно привести надлежащие доказательства, поддерживающие сообщаемые результаты.  Для контроля качества результата аудита необходимо, чтобы ведущий аудитор (руководитель группы по аудиту) проводит анализ свидетельств, наблюдений аудита и другую соответствующую информацию, собранную во время аудита, на соответствие целям аудита, проверяет на читаемость формулировки отчета по результатам аудита, чтобы избежать двусмысленности заявлений.  В дополнение к формальным рекомендациям аудита, связанным с любым значительным несоответствием, аудиторы иногда предоставляют замечания о незначительных несоответствия и другие советы, например, потенциал усовершенствования СМИБ или другие предложения, основанные на опыте и
  27. 27. http://itsec.by/ 27 компетенциях аудитора. Хотя такие наблюдения и советы не исключает сертификации СУИБ, они будут записаны в отчет по аудиту и могут быть рассмотрены при последующих аудитах и при ресертификационном аудите. 6.8 Завершение аудита Аудит считается завершенным, если все процедуры, предусмотренные планом аудита, выполнены и утвержденный отчет (акт) по аудиту разослан. Если СМИБ по результатам аудита соответствует требованиям ISO 27001, организации выдается сертификат Документы, имеющие отношение к аудиту, следует хранить или уничтожать на основании соглашения между участвующими сторонами в соответствии с процедурами программы аудита, соглашением между сторонами и в соответствии с действующим законодательством, нормативными требованиями и требованиями контрактов. Если это не предусмотрено законом, группа по аудиту и ответственные за управление программой аудита не должны раскрывать содержимого документов и другой информации, полученной во время аудита, или отчетов по аудиту любой другой стороне без разрешения заказчика аудита и, где это требуется, разрешения проверяемой организации. Если необходимо раскрыть содержание документов аудита, заказчик аудита и проверяемая организация
  28. 28. http://itsec.by/ 28 должны быть своевременно проинформированы об этом.
  29. 29. http://itsec.by/ 29 7 КОМПЕТЕНТНОСТЬ И ОЦЕНКА АУДИТОРА Применяется концепция компетентности аудиторов, изложенная в п.7 стандарта ISO 19011. Дополнительно предъявляются следующие требования в области СМИБ. 7.1 Компетентность аудитора Следующие требования применяются к аудиторской группе в целом, или к аудитору, если он работает отдельно. Примечание: Это не означает, что каждый аудитор должен владеть полным набором компетенций во всех аспектах информационной безопасности. Аудиторская группа в целом должна иметь достаточно широкий спектр компетенций, чтобы охватить весь объем проверяемой СМИБ. Аудиторы должны компетенциями в следующих областях: 1. Управление группой по аудиту, планирование аудита, обеспечение качества процесса аудита. 2. Принципы и методы аудита, процесс аудита. 3. Система менеджмента информационной безопасности. 4. Законодательные и нормативные требования к информационной безопасности применимые к проверяемой организации.
  30. 30. http://itsec.by/ 30 5. Угрозы, уязвимости и инциденты, связанные с информационной безопасностью, особенно в отношении проверяемой организации и аналогичных организаций (например, оценка вероятности реализации угроз информационной безопасности, оценка воздействия, методы снижения рисков. 6. Метрики информационной безопасности. 7. Связанные со СМИБ стандарты, лучшие практики, политики и процедуры информационной безопасности; 8. Информационные активы, оценка влияния на бизнес, управление инцидентами и непрерывностью бизнеса; 9. Применение информационных технологий в бизнесе, актуальность и необходимость обеспечения информационной безопасности. 10. Принципы, методы и процесс управления рисками информационной безопасности. 7.2 Демонстрация компетентности аудитора Аудиторы должны быть способны продемонстрировать свои знания и опыт, например, путем:  регистрации в качестве аудитора СМИБ;  прохождения одобренных курсов аудиторов СМИБ;
  31. 31. http://itsec.by/ 31  предоставления записей, подтверждающих непрерывность профессионального образования.
  32. 32. http://itsec.by/ 32 ПРИЛОЖЕНИЕ А - ПЕРЕЧЕНЬ ДОКУМЕНТОВ СМИБ, ОБЯЗАТЕЛЬНЫХ ДЛЯ СЕРТИФИКАЦИИ НА СООТВЕТСТВИЕ ISO 27001 В соответствии со стандартом ISO 27001 документация СМИБ должна включать:  документально оформленные заявления о политике [см. 4.2.1, перечисление Ь)] и целях СМИБ;  область применения СМИБ [см. 4.2.1, перечисление а)];  процедуры и средства управления, поддерживающие СМИБ;  описание методологии оценки рисков [см. 4.2.1, перечисление с)];  отчет об оценке рисков [см. 4.2.1, перечисления с) - д)];  план обработки рисков [см. 4.2.2, перечисление b)j;  документированные процедуры, необходимые для результативного планирования, обеспечения функционирования и управления процессами в области информационной безопасности, и описание того, как измерять результативность средств управления [см. 4.2.3, перечисление с)];  записи, требуемые согласно настоящему стандарту (см. 4.3.3);
  33. 33. http://itsec.by/ 33  положение о применимости. Приведенная ниже таблица может использоваться в качестве контрольной, чтобы проверить готовность документации СМИБ к сертификационному аудиту. Документы, предусмотренные в ISO 27001 Статус Комментарии 4.3 Требования к документации 4.3.1 Общие положения Документация должна включать записи решений руководства… □ Разработан □ Проверен □ Согласован □ Утвержден Записи ключевых решений руководства в отношении СМИБ, например: инвестиционные решения, требуемые политики, отчеты и т.д. [в стандарте отдельно не указанно в отношении каких решений требуются записи] Документация СМИБ должна включать: a) документально оформленные заявления о политике [см. 4.2.1, перечисление b)] и целях СМИБ □ Разработан □ Проверен □ Согласован □ Утвержден Политика СМИБ должна: учитывать характеристики бизнеса, организации, ее расположения, активов и технологий, 1) включать инфраструктуру для постановки целей и устанавливать основные направления принципы деятельности в области информационной безопасности; 2) принимать во внимание бизнес- требования, правовые или другие обязательные требования, а также контрактные обязательства по обеспечению безопасности; 3) быть согласована со стратегией менеджмента рисков организации, в соответствии с которой будет осуществляться разработка и поддержка СМИБ; 4) разрабатывать критерии для оценивания рисков [см. 4.2.1, перечисление с)]; 5) быть одобрена руководством. Примечание: в ISO 27001 политика СМИБ рассматривается как документ более высокого уровня по
  34. 34. http://itsec.by/ 34 Документы, предусмотренные в ISO 27001 Статус Комментарии отношению к политикам информационной безопасности (они могут быть описаны в одном документе) □ Разработан □ Проверен □ Согласован □ Утвержден Политика информационной безопасности или политики, определяющие специфические цели или требования информационной безопасности (в одном или нескольких документах) должны быть также одобрены руководством. b) область применения СМИБ [см. 4.2.1, перечисление a)] □ Разработан □ Проверен □ Согласован □ Утвержден Область применения и границы распространения СМИБ определяются с учетом характеристик бизнеса, организации, ее расположения, активов и технологий. Любые исключения из области применения, должны быть подробно обоснованы. c) процедуры и средства управления поддерживающие СМИБ □ Разработан □ Проверен □ Согласован □ Утвержден Процедуры, поддерживающие СМИБ - письменные описания процессов защиты информации и операций (например, процедура предоставления идентификатора пользователя и изменения пароля, тестирования безопасности прикладных систем, реагирования на инциденты в области информационной безопасности и т.д.) □ Разработан □ Проверен □ Согласован □ Утвержден Документация средств управления, (например, технические стандарты обеспечения защиты, архитектура/проекты безопасности и т.д. (средства управления подробно описаны в ISO 27002.)) d) описание методологии оценки рисков [см. 4.2.1, перечисление с)] □ Разработан □ Проверен □ Согласован □ Утвержден Методология по оценке рисков может включать в себя политики, процедуры и/или стандарты, описывающие, как оцениваются
  35. 35. http://itsec.by/ 35 Документы, предусмотренные в ISO 27001 Статус Комментарии риски информационной безопасности (ссылаясь на ISO 13335-3 и/или ISO 27005). e) отчет об оценке рисков [см. 4.2.1, перечисление с) – g)] □ Разработан □ Проверен □ Согласован □ Утвержден Отчет об оценке рисков представляет собой документированные результаты/следствия/рекомендации оценки степени риска информационной безопасности (с использованием методологии описанной в предыдущем пункте) f) план обработки рисков [см. 4.2.2, перечисление b)] □ Разработан □ Проверен □ Согласован □ Утвержден План обработки рисков – план (проект) описывающий пути достижения идентифицированных целей управления, включающий финансирование и распределение ролей и ответственности g) документированные процедуры, необходимые для результативного планирования, обеспечения функционирования и управления процессами в области информационной безопасности, и описание того, как измерять результативность средств управления [см. 4.2.3, перечисление с)] □ Разработан □ Проверен □ Согласован □ Утвержден Документированные процедуры представляют собой документированные описания процессов управления и деятельности необходимой для планирования, эксплуатации и управления СМИБ (например, процесс согласования и анализа политики) □ Разработан □ Проверен □ Согласован □ Утвержден Метрики информационной безопасности описывающие как СМИБ в целом, так и ключевые средства управления с целью верификации соответствия требованиям безопасности h) записи, требуемые согласно настоящему стандарту (см. 4.3.3) - См. 4.3.3 ниже: Записями могут быть журнал регистрации посетителей, отчеты о результатах аудита, заполненные формы авторизации доступа и т.д. Записи должны быть четкими, легко идентифицированными и
  36. 36. http://itsec.by/ 36 Документы, предусмотренные в ISO 27001 Статус Комментарии доступными для выборки и проверки аудиторами. Все вместе они доказывают, что СМИБ должным образом спланирована, функционирует и управляется i) положение о применимости □ Разработан □ Проверен □ Согласован □ Утвержден Положение о применимости описывает цели и средства управления, соответствующие и применимые к СМИБ организации. Представляет собой сводную таблицу результатов оценки рисков и целей и средств управления из ISO/IEC 27002 (находящихся в области применения СМИБ) 4.3.2 Управление документами Документы, требуемые СМИБ, должны быть защищены и находиться под управлением. Должна быть разработана документированная процедура для определения действий по осуществлению менеджмента □ Разработан □ Проверен □ Согласован □ Утвержден Процедура управления документами объясняет, каким образом документы утверждаются, анализируются, изменяются, пересматриваются, пере- утверждаются и т.д. (подробный перечень см. 4.3.2). Если в организации функционирует Система менеджмента качества в соответствии с ISO 9001, процедура управления документами СМК (или эквивалентная из ISO 14001) может быть применена к СМИБ. 4.3.3 Управление записями …Записи должны оставаться четкими, легко идентифицируемыми и доступными. Средства управления, необходимые для идентификации, хранения, защиты, извлечения, определения сроков хранения и изъятия □ Разработан □ Проверен □ Согласован □ Утвержден Процедура управления записями является одним из доказательств соответствия требованиям и результативного функционирования СМИБ. Если в организации функционирует Система менеджмента качества в соответствии с ISO 9001, процедура управления записями СМК (или эквивалентная из ISO 14001) также может быть применена к СМИБ.
  37. 37. http://itsec.by/ 37 Документы, предусмотренные в ISO 27001 Статус Комментарии записей, должны быть документированы и внедрены. 5 Ответственность руководства 5.2.2 d) Организация должна обеспечить поддержание в рабочем состоянии записей об образовании, подготовке, навыках, опыте и квалификации (см. 4.3.3) □ Разработан □ Проверен □ Согласован □ Утвержден Записи об образовании, подготовке, повышении осведомленности в области информационной безопасности, документируют вовлечение всего персонала попадающего в сферу действия СМИБ в соответствующей деятельности (например, записи о проведении вводного инструктажа по безопасности с новыми сотрудниками) …Организация должна также обеспечить осведомленность персонала об актуальности и важности его деятельности в области информационной безопасности и вкладе в достижение целей СМИБ □ Разработан □ Проверен □ Согласован □ Утвержден Другие пункты в разделе 5 устанавливают ответственность руководства за общую поддержку осведомленности в области информационной безопасности. Поэтому (хотя, напрямую этого не сказано) потребность в наличии информационных материалов по вопросам безопасности, результатов тестирования (опросов), отчетов с обратной связью может быть установлена из данного раздела 6 Внутренние аудиты СМИБ Организация должна проводить внутренние аудиты через запланированные интервалы… □ Разработан □ Проверен □ Согласован □ Утвержден Планы и процедуры внутреннего аудита СМИБ, устанавливающие обязанности аудиторов в отношении аудита СМИБ, критерии аудита, границы, периодичность и методы. …Ответственность и требования для планирования проведения аудита и для отчетности о результатах и □ Разработан □ Проверен □ Согласован □ Утвержден Из пункта 6 следует, что отчеты по аудиту СМИБ, согласованные планы проведения и т.п. должны быть доступны по требованию сертифицирующих аудиторов.
  38. 38. http://itsec.by/ 38 Документы, предусмотренные в ISO 27001 Статус Комментарии ведения записей (см. 4.3.3) должны быть установлены в документированной процедуре. 7 Анализ СМИБ со стороны руководства 7.1 Руководство должно через запланированные интервалы (не менее одного раза в год) анализировать СМИБ организации в целях обеспечения ее постоянной пригодности, адекватности и результативности… 7.3 Выходные данные анализа со стороны руководства должны включать все решения и действия, относящиеся к… □ Разработан □ Проверен □ Согласован □ Утвержден Это подразумевает необходимость хранить записи (такие как план анализа СМИБ руководством и отчет по анализу) подтверждающие, что руководство проводило анализа СМИБ не менее одного раза в год. 8.2 Корректирующие действия Документированная процедура по корректирующим действиям должна определять… □ Разработан □ Проверен □ Согласован □ Утвержден Документированная процедура по корректирующим действиям определяет путь, которым каким образом несоответствия идентифицируются, анализируются, определяются причины, корректируются, описываются результаты корректировки и т.д. 8.3 Предупреждающие действия Документированная процедура по предупреждающим действиям должна определять… □ Разработан □ Проверен □ Согласован □ Утвержден Превентивные процедуры сходны с корректирующими, но ориентированы в первую очередь на предупреждение несоответствий и устранение потенциальных причин их возникновения (организация
  39. 39. http://itsec.by/ 39 Документы, предусмотренные в ISO 27001 Статус Комментарии должна идентифицировать изменившиеся риски и требования по к предупреждающим действиям) Примечание: 1. Употребление термина «документированная процедура», означает, что процедура разработана, документально оформлена, внедрена и поддерживается в рабочем состоянии. 2. Степень документированности СМИБ в организации, может отличаться в зависимости от: - размера организации и вида деятельности; - область применения и сложности требований безопасности и системы, менеджмент которой осуществляется. 3: Документы и записи могут быть в любой форме или на носителях любого типа.
  40. 40. http://itsec.by/ 40 ПРИЛОЖЕНИЕ Б - ПЛАН ПРОВЕДЕНИЯ АУДИТА СМИБ НА СООТВЕТСТВИЕ ISO 27001 1 ЦЕЛИ АУДИТА 1.1 Убедиться, что цели управления, средства управления, процессы и процедуры системы менеджмента информационной безопасности (далее – СМИБ), попадающие в область проведения аудита: 1.1.1 соответствуют требованиям стандарта ISO 27001 и предъявляемым к «Наименование организации» (далее — Компания) законодательным, нормативным и другим обязательным требованиям, а также идентифицированным требованиям в области информационной безопасности; 1.1.2 результативно внедряются и поддерживаются; 1.1.3 функционируют должным образом. 1.2 Идентифицировать области потенциального улучшения СМИБ. 2 КРИТЕРИИ АУДИТА 2.1 Стандарт ISO/IEC 27001 «Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования» 2.2 ISO/IEC 27002 2.3 Перечень законодательных и нормативных требований, предъявляемых к ЗАО «НПП БЕЛСОФТ» 3 ОБЛАСТЬ АУДИТА
  41. 41. http://itsec.by/ 41 3.1 Аудит проводится согласно программы проведения аудита, в <управлении/подразделении>. В ходе проведения аудита будут проверены следующие процессы/средства управления/процедуры: • управление доступом, • управление непрерывностью бизнеса, • ……. 4 ДАТА И МЕСТО ПРОВЕДЕНИЯ АУДИТА 4.1 Место проведения аудита: 4.2 Предварительное совещание по вопросам проведения аудита — 9.00 00.00.2000 г. 4.3 Открытие аудита – 9.00 00+1.00.2000 г. 4.4 Аудит – 4.5 Совещание аудиторской группы – 4.6 Предоставление отчета по аудиту – 4.7 Закрытие аудита – 5 ОБЯЗАННОСТИ ЧЛЕНОВ АУДИТОРСКОЙ ГРУППЫ 5.1 Лица, участвующие в проведении аудита, должны выполнять обязанности (нести ответственность) в соответствии с… 6 РАСПРЕДЕЛЕНИЕ РЕСУРСОВ ПО ОБЛАСТЯМ АУДИТА
  42. 42. http://itsec.by/ 42 Раздел заполняется, если в проведении аудита будет участвовать группа аудиторов. 7 СОДЕРЖАНИЕ ОТЧЕТА (АКТА) ПО АУДИТУ 7.1 Структура и содержание отчета должно соответствовать требованиям, описанным в «Наименование документа, в котором описаны требования к отчету по аудиту». 8 ОБЕСПЕЧЕНИЕ КОНФИДЕНЦИАЛЬНОСТИ Здесь описываются требования, предъявляемые к конфиденциальности данных по аудиту.
  43. 43. http://itsec.by/ 43 ПРИЛОЖЕНИЕ В - КОНТРОЛЬНЫЙ СПИСОК (ISO 27001) Следующий контрольный список отражает требования стандарта ISO/IEC 27001. Этот список предназначен, прежде всего, для руководства, или должен быть адаптирован. Данный список может быть отправной точкой при подготовке необходимых документов для аудита СМИБ. Контрольный список предназначен для напоминания основных аспектов, которые необходимо проверить аудитору. Он не охватывает все аспекты ISO / IEC 27001. Без адаптации, список не предназначен в качестве исчерпывающего вопросника. Аудитор должен добавить к данному контрольному списку столбцы которые он считает необходимыми (например, ФИО и должность опрашиваемого, свидетельства и наблюдения аудита, рекомендации и т.д.) Раздел ISO /IEC 27001 (Обязательные требования к СМИБ) Свидетельства Наблюде ния 4 Система менеджмента информационной безопасности 4.2.1a) Рассмотреть область применения и границы распространения СМИБ, в особенности любые исключения из области применения. В какой степени СМИБ учитывает характеристики бизнеса, организации, ее расположения, активы и технологии? Есть ли обоснованные причины для исключения, каких либо элементов из области применения СМИБ? Описание свидетельств ФИО опрошенного: ФИО аудитора: Дата: 4.2.1b) Рассмотреть политику СМИБ организации. Учитывает ли политика основные характеристики организации?
  44. 44. http://itsec.by/ 44 Раздел ISO /IEC 27001 (Обязательные требования к СМИБ) Свидетельства Наблюде ния Устанавливает ли политика цели, основные направления и принципы деятельности в области информационной безопасности? Учитывает ли политика бизнес-требования, правовые или другие обязательные требования, а также контрактные обязательства по обеспечению безопасности? Согласована ли политика со стратегией менеджмента рисков организации? Разрабатывает ли политика критерии для оценивания рисков [см. 4.2.1, перечисление с)]? Одобрена ли политика руководством? 4.2.1c) Рассмотреть подход к оценке рисков в организации. Являются ли результаты оценки риска сопоставимыми и воспроизводимыми? Ищите любые примеры аномальных результатов, чтобы определить, как они были рассмотрены и решены. Обновлялся ли подход к оценке рисков в организации? Рассмотреть разработанные критерии принятия рисков и идентифицированные приемлемые уровни риска. 4.2.1d) и е) Рассмотреть данные об инвентаризации активов и оценке рисков информационной безопасности в пределах области применения СМИБ. Идентифицированы ли угрозы для этих активов? Определены ли владельцы всех идентифицированных активов? Идентифицированы ли уязвимости активов? Рассмотреть результаты оценки: последствий для активов в случае реализации угроз; воздействий на организацию, которые могут возникать в результате нарушений безопасности. Учитываются ли в оценке рисков реализованные на данный момент средства управления безопасностью? Рассмотрите
  45. 45. http://itsec.by/ 45 Раздел ISO /IEC 27001 (Обязательные требования к СМИБ) Свидетельства Наблюде ния результаты оценки уровня рисков, их ранжирования и приоритезации. Рассмотрите правильность использования критериев принятия рисков. 4.2.1f) Рассмотреть план обработки рисков организации. Рассмотреть полноту обработки рисков (есть ли риски, которые не обработаны?) Рассмотрите актуальность плана по обработке рисков (например, включены ли в него недавние изменения (например, новые ИТ-системы и бизнес- процессы)). 4.2.1g) рассмотрите выбранные для обработки рисков цели и средства управления. Соответствуют ли цели и средства управления требованиям, идентифицированным в процессе оценки и обработки рисков. Учитываются ли при этом критерии принятия рисков, а также правовые, другие обязательные и контрактные требования? Сравните выбранные цели и средства управления с целями и средствами управления приведенными в приложении А стандарта ISO 27001, для анализа существенных отклонений от стандарта. Примечание: Перечень целей и средств управления, приведенный в приложении А, не является исчерпывающим, и могут быть выбраны дополнительные цели и средства управления. Для аудита средств управления может быть полезным контрольный список из Приложения Г. 4.2.1h) Рассмотрите остаточные риски информационной безопасности. Получено ли одобрение руководства на принятие остаточных рисков? Соответствуют ли принятые «риск-аппетиту» организации? 4.2.1i) Убедитесь в том, что руководство санкционировало внедрение и эксплуатацию
  46. 46. http://itsec.by/ 46 Раздел ISO /IEC 27001 (Обязательные требования к СМИБ) Свидетельства Наблюде ния СМИБ, например, через официальный приказ, утверждения проекта и т.д. Является ли данная санкция формальностью, или руководство действительно понимает важность СМИБ и поддерживает проект? 4.2.1j) Рассмотрите документированное положение о применимости организации. Содержит ли оно обоснование выбора / исключения целей и средств управления из Приложения А стандарта ISO 27001. Было ли положение о применимости рассмотрено и одобрено руководством соответствующего уровня. Примечание: Положение о применимости содержит свод решений, касающихся обработки рисков. Обоснование исключений обеспечивает перекрестную проверку, позволяющую определить, что ни одно средство управления не было непреднамеренно исключено. 4.2.2 Сравните реальную (реализованную и функционирующую) СМИБ с документированной. Ищите подтверждение или опровержение соответствия между документированными выбранными для обработки рисков средствами управления, и фактически функционирующими. Примечание: Данный этап аудита лишь небольшое вступление перед дополнительной проверкой средств управления СМИБ в соответствии с контрольным списком из Приложения Г. 4.2.3 Проведите обзор процесса мониторинга и анализа СМИБ, используя такие документы и записи, как процедуры, планы, протоколы совещаний по анализу СМИБ со стороны руководства, внутреннему аудиту. Проанализируйте регулярность проведения анализа
  47. 47. http://itsec.by/ 47 Раздел ISO /IEC 27001 (Обязательные требования к СМИБ) Свидетельства Наблюде ния результативности СМИБ (включая оценку соответствия политике и целям СМИБ и анализ средств управления). Учитываются ли при этом результаты аудитов безопасности, инциденты, результаты измерений результативности, предложения и обратная связь от всех заинтересованных сторон? Проводится ли верификация соответствия средств управления требованиям безопасности, путем измерения их результативности? Проводится ли анализ оценки рисков и остаточных и приемлемых уровней рисков через запланированные интервалы? Учитываются ли при этом изменения в: организации; технологиях; бизнес-целях и процессах; идентифицированных угрозах; результативности применяемых средств управления; внешних событиях, таких как изменения в правовых или других обязательных требованиях, контрактных обязательствах и изменения социально- психологического климата? Проверьте, обновляются ли планы в области безопасности, с учетом результатов деятельности по мониторингу и анализу СМИБ. 4.2.4 Рассмотрите, каким образом в организации идентифицируется необходимость (возможность) улучшения СМИБ. Рассмотрите доказательства и результаты внедрения идентифицированных улучшений СМИБ. 4.3.1 Рассмотрите следующую документацию СМИБ:  документально оформленные заявления о политике и целях СМИБ;  область применения СМИБ;  процедуры и средства
  48. 48. http://itsec.by/ 48 Раздел ISO /IEC 27001 (Обязательные требования к СМИБ) Свидетельства Наблюде ния управления, поддерживающие СМИБ;  описание методологии оценки рисков;  отчет об оценке рисков;  план обработки рисков;  документированные процедуры, необходимые для результативного планирования, обеспечения функционирования и управления процессами в области информационной безопасности, и описание того, как измерять результативность средств управления;  записи, требуемые согласно настоящему стандарту (см. 4.3.3);  положение о применимости. Примечание: Подробный анализ документации проводится на этапе предварительного анализа документации СМИБ (Контрольный список из Приложения А). Нет необходимости проверят несколько раз одни и те же документы, если все требования по документации учтены. 4.3.2 Проверьте наличие и соблюдение, документированной процедуры по управлению документами СМИБ (такими, как политики, процедуры, документы и т.д.). Определить, является ли изменение документации СУИБ формально управляемым (например, изменения рассмотрены и предварительно одобрены руководством, и доведены до всех пользователей)? Проверьте, обеспечивает ли управление документами СМИБ: идентификацию изменений и текущего статуса пересмотра документов; сохранение документов четкими и легко
  49. 49. http://itsec.by/ 49 Раздел ISO /IEC 27001 (Обязательные требования к СМИБ) Свидетельства Наблюде ния идентифицируемыми; доступность документов; идентификацию документов внешнего происхождения. Убедитесь в наличии соответствующих версий документов в местах их применения. 4.3.3 Оцените защищенность и управляемость записей СМИБ, таких как различные обзор информационной безопасности и аудиторские отчеты, планы действий, официальные документы СМИБ, книги посетителей, запросы на предоставление доступа и т.д. Проверить адекватность управления идентификацией, хранением (установлением сроков хранения), защитой, восстановлением, в особенности если к организации применяются . Проверьте, учитываются ли при этом соответствующие правовые или другие обязательные требования и контрактные обязательства. Отражают ли записи выполнение процессов, определенных в соответствии с п. 4.2, и все случаи возникновения инцидентов информационной безопасности, связанных со СМИБ. 5 Ответственность руководства 5.1 Рассмотрите свидетельства принятых руководством обязательств по разработке, внедрению, обеспечению функционирования, мониторингу, анализу, поддержке и улучшению СМИБ (Приказы, решения, меморандумы, письма, презентации, брифинги и т.д.):  Формальное утверждение политики СМИБ руководством;  Одобрение установленных целей и разработки планов СМИБ;  Четко определенные роли и сферы ответственности в области информационной безопасности;
  50. 50. http://itsec.by/ 50 Раздел ISO /IEC 27001 (Обязательные требования к СМИБ) Свидетельства Наблюде ния  Выделение достаточных ресурсов для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ (см. 5.2.1);  Установление критериев принятия рисков и их приемлемых уровней  Обеспечения проведения внутренних аудитов СМИБ (см. раздел 6);  Проведения анализа СМИБ со стороны руководства (см. раздел 7). 5.2.1 Рассмотреть ресурсы (материальные, финансовые, человеческие), выделяемые на СМИБ. Надлежащим ли образом финансируется СМИБ на практике? Достаточно ли средств, выделяемых руководством для решения вопросов информационной безопасности в разумные сроки и на надлежащем уровне качества? 5.2.2 Идентифицированы ли компетенции для персонала, участвующего в процессе СМИБ? Проводится ли подготовка персонала и повышение осведомленности в области информационной безопасности? Поддерживаются ли в рабочем состоянии записи об образовании, подготовке, навыках, опыте и квалификации персонала? Рассмотреть уровень подготовки тех, которые участвует в эксплуатацию СМИБ. Рассмотреть записи по подготовке персонала, повышению осведомленности, оценки компетентности. Выборочно проверьте результативность подготовки и повышения осведомленности персонала в области информационной безопасности. 6 Внутренние аудиты системы менеджмента информационной безопасности 6 Рассмотрите записи по проведению внутренние аудиты СМИБ (планы аудита,
  51. 51. http://itsec.by/ 51 Раздел ISO /IEC 27001 (Обязательные требования к СМИБ) Свидетельства Наблюде ния отчеты по аудитам, планы действий по результатам аудита и т.д.). Планируется ли программа аудита с учетом статуса и важности процессов и областей, подлежащих аудиту, а также результатов предыдущих аудитов? Определены ли критерии, область, частота и методы аудита? Обеспечивается ли объективность и беспристрастность процесса аудита? Установлены ли в документированной процедуре ответственность и требования для планирования и проведения аудита и для отчетности о результатах и ведения записей? Предпринимаются ли без необоснованной задержки действия по устранению обнаруженных несоответствий и их причин? Верифицируются ли предпринятые действия? Составляется ли отчет о результатах верификации? Определите, в какой степени внутренние аудиты СМИБ подтверждают, что цели управления, средства управления, процессы и процедуры СМИБ: соответствуют требованиям настоящего стандарта и соответствующим законодательным или другим обязательным требованиям; соответствуют идентифицированным требованиям в области информационной безопасности; результативно внедряются и поддерживаются; функционируют должным образом. Примечание: это вполне нормально для некоторых корректирующих мер, согласованных в рамках аудита СМИБ, что они остаются невыполненные в согласованные сроки, особенно в случае, если они являются сложными и дорогостоящими. Постоянное совершенствование СМИБ важнее строгого соответствия с планами (см. также раздел

×