ГОСТ Р ИСО/МЭК 27007-2014

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Руководства по аудиту систем менеджмента информационной безопасности

Information technology. Security techniques. Guidelines for information security management systems auditing

ОКС 35.040

Дата введения 2015-06-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием "Всероссийский научно-исследовательский институт стандартизации и сертификации в машиностроении" (ФГУП "ВНИИНМАШ"), Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО "ИАВЦ") и Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 11 июня 2014 г. N 563-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27007:2011* "Информационная технология. Методы обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности" (ISO/IEC 27007:2011 "Information technology - Security techniques - Guidelines for information security management systems auditing", IDT).

________________
     * Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Январь 2019 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

ИСО/МЭК 27007 был подготовлен совместным техническим комитетом ИСО/МЭК СТК 1 "Информационная технология", Подкомитетом ПК 27, "Методы и средства обеспечения безопасности ИТ".

Настоящий стандарт предоставляет руководство по менеджменту программы аудита системы менеджмента информационной безопасности (СМИБ) и проведению внутренних или внешних аудитов на соответствие ИСО/МЭК 27001:2005, а также руководство по вопросу компетентности и оценки аудиторов СМИБ, которое следует использовать совместно с руководством, содержащимся в ИСО 19011.

Настоящий стандарт предназначен для всех пользователей, включая малые и средние организации.

В ИСО 19011 "Руководящие указания по аудиту систем менеджмента" представлено руководство по менеджменту программ аудита, проведению внутренних или внешних аудитов систем менеджмента, а также по вопросу компетентности и оценки аудиторов систем менеджмента.

Текст настоящего стандарта соответствует структуре ИСО 19011, а дополнительное, ориентированное на СМИБ, руководство по применению ИСО 19011 для аудита СМИБ обозначается буквами "ИБ".

     1 Область применения

Настоящий стандарт в дополнение к указаниям, содержащимся в ИСО 19011, предоставляет руководство по менеджменту программы аудита системы менеджмента информационной безопасности (СМИБ), по проведению аудитов и по определению компетентности аудиторов СМИБ.

Настоящий стандарт применим для тех организаций, которые нуждаются в понимании или проведении внутренних или внешних аудитов СМИБ или осуществлении менеджмента программы аудита СМИБ.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты. Для датированных ссылок следует использовать только указанное издание. Для недатированных ссылок - последнее издание указанного документа (включая все его изменения).

ISO 19011:2011, Guidelines for auditing management systems (Руководящие указания по аудиту систем менеджмента)

________________

Заменен на ISO 19011:2018. Для однозначного соблюдения требований настоящего стандарта, выраженных в датированных ссылках, рекомендуется использовать только указанный ссылочный стандарт.

ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems - Requirements (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования)

________________

Отменен. Действует ISO/IEC 27001:2013. Для однозначного соблюдения требований настоящего стандарта, выраженных в датированных ссылках, рекомендуется использовать только указанный ссылочный стандарт.

ISO/IEC 27000:2009, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и терминология)

________________

Отменен. Действует ISO/IEC 27000:2018. Для однозначного соблюдения требований настоящего стандарта, выраженных в датированных ссылках, рекомендуется использовать только указанный ссылочный стандарт.

     3 Термины и определения

В настоящем стандарте применены термины и определения, приведенные в ИСО 19011 и ИСО/МЭК 27000.

     4 Принципы проведения аудита

Применять принципы проведения аудита, приведённые в разделе 4 ИСО 19011:2011.

     5 Менеджмент программы аудита

     5.1 Общие положения

Применять руководство подраздела 5.1 ИСО 19011:2011. Дополнительно применять приведенное ниже руководство, ориентированное на СМИБ.

5.1.1 ИБ 5.1 Общие положения

Должна быть разработана программа аудита СМИБ, основанная на ситуации, связанной с риском информационной безопасности проверяемой организации.

________________

Для целей данного документа использование термина "аудит" относится к аудитам СМИБ.

     5.2 Разработка целей программы аудита

Применять руководство подраздела 5.2 ИСО 19011:2011. Дополнительно применять приведенное ниже руководство, ориентированное на СМИБ.

5.2.1 ИБ 5.2 Разработка целей программы аудита

Цели программы (программ) аудита должны быть установлены, для того чтобы руководить планированием и проведением аудитов и обеспечивать эффективную реализацию программы аудита. Цели могут зависеть от:

a) идентифицированных требований информационной безопасности;

b) требований ИСО/МЭК 27001;

c) уровня качества функционирования проверяемой организации, который отражает случаи возникновения сбоев и инцидентов информационной безопасности и эффективность измерений;

d) рисков информационной безопасности организации, подвергающейся аудиту.

Примеры целей программы аудита могут включать следующее:

1) проверку соответствия установленным правовым и договорным требованиям, а также иным требованиям и связанным с ними последствиям для безопасности;

2) достижение и поддержку уверенности в возможностях менеджмента риска проверяемой организации.

     5.3 Разработка программы аудита

5.3.1 Роли и обязанности лица, осуществляющего менеджмент программы аудита

Применять руководство пункта 5.3.1 ИСО 19011:2011.

5.3.2 Компетентность лица, осуществляющего менеджмент программы аудита

Применять руководство пункта 5.3.2 ИСО 19011:2011.

5.3.3 Определение объема программы аудита

Применять руководство пункта 5.3.3 ИСО 19011:2011. Дополнительно применять приведенное ниже руководство, ориентированное на СМИБ.

5.3.3.1 ИБ 5.3.3 Определение объема программы аудита

Объем программы аудита может меняться. Факторы, которые могут влиять на объем программы аудита:

a) масштаб СМИБ, включая:

1) общее количество сотрудников, работающих на каждом объекте, и взаимоотношения со сторонними организациями, регулярно работающими на проверяемом объекте;

2) количество информационных систем;

3) количество объектов, охваченных СМИБ;

b) сложность СМИБ (включая количество и критичность процессов и видов деятельности);

c) значимость рисков информационной безопасности, идентифицированных для СМИБ;

d) важность информации и связанных с ней активов в области действия СМИБ;

e) сложность информационных систем, подлежащих аудиту на объекте, включая сложность использованной информационной технологии (ИТ);

f) наличие многих сходных объектов;

g) изменения сложности объектов, находящихся в области действия СМИБ.

В программе аудита следует уделить внимание установлению приоритетов на основе рисков информационной безопасности и требований бизнеса в отношении областей СМИБ, требующих более детального изучения.

Дополнительную информацию о выборке нескольких объектов можно найти в ИСО/МЭК 27006:2007 и IAF MD 1:2007 [7], информация в которых относится только к сертификационным аудитам.

________________

Заменен на ИСО/МЭК 27006:2015. Для однозначного соблюдения требований настоящего стандарта, выраженных в датированных ссылках, рекомендуется использовать только указанный ссылочный стандарт.

5.3.4 Идентификация и оценка рисков программы аудита

Применять руководство пункта 5.3.4 ИСО 19011:2011.

5.3.5 Разработка процедур по программе аудита

Применять руководство пункта 5.3.5 ИСО 19011:2011.

5.3.6 Идентификация ресурсов для программы аудита

Применять руководство пункта 5.3.6 ИСО 19011:2011. Дополнительно применять приведенное ниже руководство, ориентированное на СМИБ.

5.3.6.1 ИБ 5.3.6 Идентификация ресурсов для программы аудита

Для всех существенных рисков, применяемых к проверяемой организации, аудиторам должно быть выделено достаточно времени для проверки эффективности соответствующих мер по уменьшению риска.