ГОСТ Р 56045-2014/
ISO/IEC TR 27008:2011

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Рекомендации для аудиторов в отношении мер и средств контроля и управления информационной безопасностью

Information technology - Security techniques - Guidelines for auditors on information security controls

ОКС 35.040

Дата введения 2015-06-01

     
Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием "Всероссийский научно-исследовательский институт стандартизации и сертификации в машиностроении" (ФГУП "ВНИИНМАШ"), Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО "ИАВЦ") и Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому регулированию и метрологии от "11" июня 2014 г. N 569-ст

4 Настоящий стандарт идентичен международному документу ISO/IEC TR 27008:2011* "Информационная технология. Методы обеспечения безопасности. Рекомендации для аудиторов в отношении мер и средств контроля и управления информационной безопасностью" (ISO/IEC TR 27008:2011 "Information technology - Security techniques - Guidelines for auditors on information security controls")

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА.

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)

Введение

ИСО/МЭК ТО 27008 был подготовлен совместным техническим комитетом ИСО/МЭК СТК 1 "Информационная технология", подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ".

Настоящий стандарт поддерживает определенный в ИСО/МЭК 27001 и ИСО/МЭК 27005 процесс менеджмента риска системы менеджмента информационной безопасности (СМИБ), а также меры и средства контроля и управления, включенные в ИСО/МЭК 27002.

Настоящий стандарт предоставляет руководство по проверке мер и средств контроля и управления информационной безопасностью организации, например, в организации, процессах бизнеса и системном окружении, включая проверку технического соответствия.

За рекомендациями по аудиту элементов систем менеджмента следует обращаться к ИСО/МЭК 27007, а по проверке соответствия СМИБ требованиям для целей сертификации - к ИСО/МЭК 27006.

     1 Область применения

Настоящий стандарт предоставляет руководство по проверке реализации и функционирования мер и средств контроля и управления, включая проверку технического соответствия мер и средств контроля и управления информационных систем, согласно установленным в организации стандартам по информационной безопасности.

Настоящий стандарт применим для организаций всех видов и любой величины, включая акционерные общества открытого и закрытого типа, государственные учреждения и некоммерческие организации, проводящие проверки информационной безопасности и технического соответствия. Настоящий стандарт не предназначен для аудитов систем менеджмента.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты*. Для датированных ссылок следует использовать только указанное издание, для недатированных ссылок - последнее издание указанного документа (включая все его изменения).

________________

* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.

ИСО/МЭК 27000:2009 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и терминология (ISO/IEC 27000:2009, Information technology - Security techniques - Information security management systems - Overview and vocabulary).

________________

Отменен. Действует ИСО/МЭК 27000:2014. Для однозначного соблюдения требований настоящего стандарта, выраженных в датированных ссылках, рекомендуется использовать только указанный ссылочный стандарт.

     3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 27000, а также следующие термины с соответствующими определениями:

3.1 объект проверки (review object): Конкретный проверяемый элемент.

3.2 цель проверки (review objective): Формулировка, описывающая, что должно быть достигнуто в результате проверки.

3.3 стандарт реализации безопасности (security implementation standard): Документ, предписывающий санкционированные способы реализации безопасности.

     4 Структура настоящего стандарта

Настоящий стандарт содержит описание процесса проверки мер и средств контроля и управления информационной безопасностью, включая проверку технического соответствия.

В разделе 5 представлена вводная информация.

В разделе 6 представлен общий обзор проверок мер и средств контроля и управления информационной безопасностью.

В разделе 7 представлены методы проверок, а в разделе 8 - деятельность по проверке -.

В приложении А приведено практическое руководство по проверке технического соответствия, а в приложении В дается описание начала сбора информации -.

     5 Предпосылки

Меры и средства контроля и управления информационной безопасностью организации должны выбираться организацией на основе результата оценки риска в рамках процесса менеджмента риска информационной безопасности, чтобы снижать свои риски до допустимого уровня. Однако организации, решившие не реализовывать СМИБ, могут отдать предпочтение другим способам выбора, реализации и поддержки мер и средств контроля и управления информационной безопасностью.

Часть мер и средств контроля и управления информационной безопасностью организации обычно осуществляется путем реализации технических мер и средств контроля и управления информационной безопасностью, например, когда информационные активы включают информационные системы.

Технические меры и средства контроля и управления информационной безопасностью необходимо определять, документально оформлять, реализовать и поддерживать в соответствии со стандартами, относящимися к информационной безопасности. С течением времени на эффективность мер и средств контроля и управления информационной безопасностью и в конечном счете на применение в организации стандартов информационной безопасности могут оказывать негативное влияние внутренние факторы, такие как корректировки информационных систем, конфигурации функций безопасности и изменения окружающей среды информационных систем, а также внешние факторы, такие как совершенствование навыков атаки. У организаций должна быть строгая программа контроля изменений, касающихся информационной безопасности. Организации должны регулярно проверять, осуществляется ли соответствующее применение стандартов, касающихся реализации безопасности, и их действие. Проверка технического соответствия включена в ИСО/МЭК 27002:2005 в качестве одной из мер и средств контроля и управления, осуществляемой вручную и/или посредством специальных проверок с помощью автоматизированных инструментальных средств. Она может осуществляться лицами, выполняющими роль, не задействованную в осуществлении меры и средства контроля и управления (например, владельцем системы или персоналом, отвечающим за конкретные меры и средства контроля и управления), или внутренними или внешними специалистами по обеспечению информационной безопасности, включая аудиторов информационной технологии (ИТ).

Результат проверки технического соответствия объясняет фактический уровень технического соответствия реализации информационной безопасности в организации требованиям стандартов. Это обеспечивает уверенность в том, что состояние технических мер и средств контроля и управления соответствует стандартам информационной безопасности или, в противном случае, служит основой для совершенствования. В начале проверки должна быть четко установлена последовательность отчетности по аудиту и должна обеспечиваться целостность процесса отчетности. Должны предприниматься шаги, чтобы обеспечить:

- получение соответствующими ответственными сторонами неизмененной копии отчета непосредственно от аудиторов, проводящих проверку мер и средств контроля и управления информационной безопасностью;

- невозможность получения несоответствующими или неуполномоченными сторонами копии отчета от аудиторов, проводящих проверку мер и средств контроля и управления информационной безопасностью;

- возможность беспрепятственного выполнения работы аудиторами, проводящими проверку мер и средств контроля и управления информационной безопасностью.

Проверки мер и средств контроля и управления информационной безопасностью, в особенности проверки технического соответствия могут помочь организации:

- установить и понять степень серьезности потенциальных проблем или недостатков реализации и действия мер и средств контроля и управления информационной безопасностью, стандартов информационной безопасности и, в результате, технических мер и средств контроля и управления информационной безопасностью организации;

- установить и понять потенциальное влияние на организацию воздействия недостаточно ослабленных угроз и уязвимостей информационной безопасности;

- установить приоритеты в действиях по уменьшению риска информационной безопасности;

- подтвердить, что вопрос, касающийся ранее установленных или возникающих слабых мест или недостатков информационной безопасности, был адекватным образом решен;

- поддерживать бюджетные решения в рамках инвестиционного процесса и другие решения руководства, связанные с совершенствованием менеджмента информационной безопасности организации.

Настоящий стандарт предназначен для проверки мер и средств контроля и управления информационной безопасностью, включая проверку технического соответствия относительно реализации организацией установленного стандарта по информационной безопасности. Настоящий стандарт не предназначен для предоставления какого-либо конкретного руководства по проверке соответствия в отношении измерений, оценки риска или аудита СМИБ, как определено в ИСО/МЭК 27004, ИСО/МЭК 27005 или ИСО/МЭК 27007 соответственно.

Использование настоящего стандарта в качестве отправной точки процесса определения процедур для проверки мер и средств контроля и управления информационной безопасностью способствует более стабильному уровню информационной безопасности в рамках организации. Он предлагает необходимую гибкость в уточнении параметров процесса проверки на основе целевой задачи и целей бизнеса, политик и требований организации, известной информации об угрозах и уязвимостях, представлений об операционной деятельности, зависимостей информационных систем и платформ и готовности рисковать.

Примечание - ИСО Руководство 73 определяет готовность рисковать как величину и вид риска, который организация готова рассматривать, сохранять или принимать.

     6 Обзор проверок мер и средств контроля и управления информационной безопасностью

    6.1 Процесс проверки

Приступая к конкретной проверке, относящейся к информационной безопасности, аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, обычно начинают со сбора предварительной информации, рассмотрения планируемого объема и содержания работ, установления связи с руководителями и другими контактными лицами в соответствующих частях организации и расширенной оценки риска, связанного с проверкой, чтобы разработать документацию по проверке, представляющую собой руководство по осуществляемой проверочной деятельности. Для эффективного осуществления проверок назначенные аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны быть хорошо подготовлены как в области мер и средств контроля и управления, так и в области тестирования (например, эксплуатация применимых инструментальных средств, техническая цель тестирования). На этом уровне могут быть установлены приоритетные этапы работы по проверке в соответствии с осознаваемыми рисками, также этапы работы могут быть спланированы согласно определенному процессу бизнеса или системы или могут быть разработаны просто для последовательного охвата всех сфер, входящих в область проверки.

Предварительная информация может поступать из различных источников:

- книги, Интернет, технические руководства, стандарты и другие общие сведения, содержащиеся в исследовательских работах по распространенным рискам и мерам и средствам контроля и управления в данной сфере, материалах конференций, симпозиумов, семинаров или форумов;

- результаты предыдущих проверок, тестирований и оценок, частично или полностью относящихся к текущей области проверки и так или иначе выполненных аудиторами, проводящими проверку мер и средств контроля и управления информационной безопасностью (например, предварительные тесты безопасности, проведенные специалистами по обеспечению информационной безопасности, могут дать обширные знания по безопасности основных прикладных систем);

- сведения о соответствующих инцидентах информационной безопасности, ситуациях, близких к инцидентам, вопросах поддержки и изменениях, полученные от службы технической поддержки ИТ, из процессов менеджмента изменений ИТ, процессов менеджмента инцидентов ИТ и из аналогичных источников;

- общие перечни контрольных проверок и договоров, касающихся проверки мер и средств контроля и управления информационной безопасностью и проводимых аудиторами или специалистами по информационной безопасности с опытом работы в данной сфере.

Может быть уместным проведение пересмотра планируемой области проверки в свете предварительной информации, особенно если план проверки, первоначально определивший область проверки, подготавливался за много месяцев до этого. Например, дополнительные проверки могут раскрыть проблемы, заслуживающие более глубокого исследования, или, наоборот, могут обеспечить большую уверенность в некоторых областях, позволяя сосредоточить назначенную работу на чем-то другом.

На начальном этапе важно установить связи с руководителями и контактными лицами, связанными с проверкой. По завершении процесса проверки от этих людей требуется понимание выводов проверки, чтобы адекватно реагировать на отчет о результатах проверки. Взаимопонимание, взаимное уважение и способность объяснить процесс проверки существенно повышают качество и эффективность результата.

Поскольку способ документального оформления своей работы разными лицами различается, то для многих функций проверки используют стандартизированные процессы проверки, поддерживаемые документами-шаблонами для рабочих материалов, такими как контрольные перечни для проверки, опросные листы по внутреннему контролю, графики тестирования, таблицы управления риском и т.д.

Контрольный перечень для проверки (или аналогичный документ) является основным документом по нескольким причинам:

- в нем изложены планируемые сферы проверочной деятельности, возможно, и уровни детального описания отдельных тестов по проверке и ожидаемые/идеальные выводы;

- он предоставляет состав работ, способствуя обеспечению уверенности в полном охвате планируемой области;

- необходимый для создания контрольного перечня анализ в первую очередь подготавливает аудиторов, проводящих проверку мер и средств контроля и управления информационной безопасностью, к последующей практической проверочной деятельности, в то время как заполнение контрольного перечня в ходе проверки способствует развитию аналитического процесса, из которого будут выводиться данные для отчета о результатах проверки;