ГОСТ Р ИСО/МЭК 27006-2020

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии. Методы и средства обеспечения безопасности

ТРЕБОВАНИЯ К ОРГАНАМ, ОСУЩЕСТВЛЯЮЩИМ АУДИТ И СЕРТИФИКАЦИЮ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems

ОКС 03.120.20

Дата введения 2021-07-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием "Российский научно-технический центр информации по стандартизации, метрологии и оценке соответствия" (ФГУП "СТАНДАРТИНФОРМ") совместно с Обществом с ограниченной ответственностью "Агентство независимых экспертиз в сфере технического регулирования" на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 079 "Оценка соответствия"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 8 сентября 2020 г. N 628-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27006:2015* "Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности" (ISO/IEC 27006:2015 "Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

Изменение к указанному международному стандарту, принятое после его официальной публикации, внесено в текст настоящего стандарта и выделено двойной вертикальной линией, расположенной на полях напротив соответствующего текста, а обозначение и год принятия изменения приведены в скобках после соответствующего текста.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВЗАМЕН ГОСТ Р ИСО/МЭК 27006-2008

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Международный стандарт ИСО/МЭК 17021-1 содержит критерии для органов, осуществляющих аудит и сертификацию систем менеджмента организаций. При аккредитации указанных органов на соответствие требованиям ИСО/МЭК 17021-1 в части проведения аудита и сертификации систем менеджмента информационной безопасности (СМИБ) по ИСО/МЭК 27001:2013, необходимо учитывать дополнительные требования и руководящие указания по применению ИСО/МЭК 17021-1. Данная информация представлена в настоящем стандарте.

Текст настоящего стандарта повторяет структуру ИСО/МЭК 17021-1, а дополнительные требования, характерные для СМИБ, и руководящие указания по применению ИСО/МЭК 17021-1 для сертификации СМИБ обозначаются аббревиатурой "ИБ".

Термин "должен" используется в тексте настоящего стандарта для указания тех условий, которые, отражая требования ИСО/МЭК 17021-1 и ИСО/МЭК 27001, являются обязательными. Термин "следует" используется для обозначения рекомендаций.

Цель настоящего стандарта - предоставление возможности для органов по аккредитации более эффективно применять стандарты, по которым они обязаны оценивать органы по сертификации.

Примечание - В настоящем стандарте термины "система менеджмента" и "система" используются, заменяя друг друга. Определение системы менеджмента представлено в ИСО/МЭК 9000:2005. Систему менеджмента, применяемую в настоящем стандарте, не следует путать с другими типами систем, такими как системы информационных технологий.

     1 Область применения

Настоящий стандарт устанавливает требования и предоставляет руководство для органов, осуществляющих аудит и сертификацию системы менеджмента информационной безопасности (СМИБ), в дополнение к требованиям, содержащимся в ИСО/МЭК 17021-1 и ИСО/МЭК 27001. В первую очередь стандарт предназначен для аккредитации органов по сертификации, осуществляющих сертификацию СМИБ.

Любой орган, осуществляющий сертификацию СМИБ, должен соответствовать требованиям, содержащимся в настоящем стандарте, на основе компетентности и надежности аккредитованного лица, а содержащиеся в стандарте руководящие указания - обеспечивать дополнительную интерпретацию этих требований к органу, осуществляющему сертификацию СМИБ.

Примечание - Настоящий стандарт допускается использовать в качестве документа, содержащего критерии для аккредитации, экспертной оценки или других процессов аудита.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).

ISO/IEC 17021-1:2015, Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 1: Requirements (Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования)

ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и словарь)

ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements (Информационная технология. Методы обеспечения защиты. Системы обеспечения информационной безопасности. Требования)

     3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 17021-1, ИСО/МЭК 27000, а также следующий термин с соответствующим определением:

3.1 документы по сертификации (certification documents): Документы, указывающие на то, что СМИБ организации-заказчика соответствует стандартам СМИБ и дополнительной документации, требуемой в соответствии с указанной системой.

     4 Принципы

Применяют принципы ИСО/МЭК 17021-1, раздел 4.

     5 Общие требования

     5.1 Правовые и договорные вопросы

Применяют требования ИСО/МЭК 17021-1, подраздел 5.1.

     5.2 Управление беспристрастностью

Применяют требования ИСО/МЭК 17021-1, подраздел 5.2. Кроме того, применяют следующие требования и руководящие указания, дополняющие требования ИСО/МЭК 17021-1 в части сертификации СМИБ.

5.2.1 ИБ 5.2 Конфликт интересов

Органы по сертификации могут выполнять следующие виды работ, при этом они не рассматриваются как консультанты или лица, имеющие потенциальный конфликт интересов:

a) организация и участие в качестве преподавателя в учебных курсах при условии, что если эти курсы связаны с менеджментом информационной безопасности, взаимосвязанными системами менеджмента или аудитом, то органы по сертификации должны ограничиваться предоставлением общей информации и рекомендаций, которые являются общедоступными, т.е. они не должны предоставлять рекомендации для конкретной компании, что противоречит требованиям перечисления b);

b) предоставление или публикация по запросу информации, описывающей толкование органом по сертификации требований стандартов по сертификационному аудиту (см. 9.1.3.6);

c) деятельность до аудита, направленная исключительно на определение готовности к сертификационному аудиту; однако подобная деятельность не должна приводить к предоставлению рекомендаций или консультаций, противоречащих данному пункту, и орган по сертификации должен иметь возможность подтвердить, что подобная деятельность не противоречит указанным требованиям и не используется для обоснования сокращения возможной продолжительности сертификационного аудита;

d) проведение аудитов второй и третьей сторонами в соответствии со стандартами или правилами, отличными от тех, которые входят в область аккредитации;

e) повышение значимости сертификационного аудита и инспекционного контроля, например путем определения возможностей для улучшения, которые становятся очевидными в ходе аудита, без рекомендаций относительно конкретных решений.

Орган по сертификации не должен проводить внутренние аудиты СМИБ организации-заказчика. Кроме того, орган по сертификации должен быть независимым от органа или органов (включая любых физических лиц), которые проводят внутренний аудит СМИБ.

     5.3 Обязательства и финансирование

Применяют требования ИСО/МЭК 17021-1, пункт 5.3.

     6 Требования к структуре

Применяют требования ИСО/МЭК 17021-1, раздел 6.

     7 Требования к ресурсам

     7.1 Компетентность персонала

Применяются требования ИСО/МЭК 17021-1, подраздел 7.1. Кроме того, применяются следующие требования и руководящие указания, дополняющие требования ИСО/МЭК 17021-1 в части сертификации СМИБ.

7.1.1 ИБ 7.1.1 Общие положения

7.1.1.1 Общие требования к компетентности

Орган по сертификации должен обеспечивать уверенность в том, что он обладает знанием технологических, правовых и нормативных вопросов, относящихся к СМИБ организации-заказчика, оценку которой он осуществляет.

Орган по сертификации должен определять требования к компетентности персонала для выполнения каждой функции по сертификации, указанной в таблице А.1 ИСО/МЭК 17021-1. Орган по сертификации должен учитывать все требования, указанные в ИСО/МЭК 17021-1 и пунктах 7.1.2 и 7.2.1 настоящего стандарта, относящиеся к техническим областям СМИБ, определенным органом по сертификации.

Примечание - Приложение А содержит краткое изложение требований к компетентности персонала, выполняющего определенные функции по сертификации.

7.1.2 ИБ 7.1.2 Определение критериев компетентности

7.1.2.1 Требования к компетентности для проведения аудита СМИБ

7.1.2.1.1 Общие требования

Орган по сертификации должен иметь критерии с целью оценивания предыдущего опыта, специальной подготовки или проводить инструктажи для участников аудиторской группы, обеспечивающие как минимум следующее:

a) знания в области информационной безопасности;

b) технические знания о деятельности, подлежащей аудиту;

c) знание систем менеджмента;

d) знание принципов аудита.

Примечание - Дополнительную информацию о принципах аудита см. в [1];

e) знание мониторинга, измерения, анализа и оценки СМИБ.

Примечание - Указанные выше требования перечислений a)-e) применимы ко всем аудиторам - участникам аудиторских групп, за исключением перечисления b), обязанности по которому аудиторы - участники аудиторской группы могут разделить между собой.

Аудиторская группа должна быть компетентной и уметь отслеживать индикаторы инцидентов информационной безопасности в СМИБ организации-заказчика вплоть до соответствующих отдельных элементов СМИБ.

Аудиторская группа должна иметь соответствующий опыт работы по указанным выше перечислениям и навыки практического применения этих элементов (это не означает, что аудитору необходимо владеть полным диапазоном навыков и опыта по всем направлениям информационной безопасности, но в целом вся аудиторская группа должна иметь достаточно знаний и опыта для того, чтобы охватить область проверки СМИБ).

7.1.2.1.2 Терминология, принципы, практические методики и средства менеджмента информационной безопасности

В совокупности все участники аудиторской группы должны знать:

a) структуру документации СМИБ, иерархию и взаимоотношения в системе;

b) инструменты менеджмента информационной безопасности, средства и методику их применения;

c) подходы к оценке рисков информационной безопасности и управление рисками;

d) процессы, применимые к СМИБ;

e) существующие технологии, где информационная безопасность может иметь особое значение или может вызывать проблемы.