Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27006-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности


Приложение D
(справочное)

Руководство по анализу реализованных мер управления из приложения А ИСО/МЭК 27001:2005

D.1 Цель

В настоящем приложении представлено руководство по анализу внедрения мер управления, перечисленных в приложении А ИСО/МЭК 27001:2005, и сбору свидетельств аудита в отношении эффективности этих мер во время первоначального аудита и последующих инспекций с целью надзора. Внедрение всех средств контроля, выбранных организацией-клиентом для СМИБ (согласно утверждению о применимости), должно проверяться во время второго этапа первоначального аудита и во время деятельности, связанной с надзором или повторной сертификацией.

Свидетельство аудита, которое собирает орган сертификации, должно быть достаточным, чтобы сделать вывод об эффективности мер управления. Каким образом предполагается осуществлять управление, должно быть определено в процедурах или политиках организации-клиента, заданных или взятых из утверждения о применимости. Очевидно, что меры управления вне области действия СМИБ проверяться не будут.

D.1.1 Свидетельство аудита

Наилучшее свидетельство аудита может быть получено в процессе визуального наблюдения аудитора (например, что запираемая дверь действительно заперта; что служащие действительно подписывают соглашения о соблюдении конфиденциальности; что перечень активов существует и содержит зарегистрированные активы; что находящиеся под наблюдением параметры настройки являются адекватными и т.д.). Свидетельство может быть получено на основе просмотра результатов осуществления контроля (например, распечаток прав доступа, подписанных соответствующим уполномоченным лицом; записей о разрешении инцидентов; полномочий для обработки, подписанных соответствующим уполномоченным лицом; протоколов административных (или других) совещаний и т.д.). Свидетельство может быть результатом прямого испытания аудитором (или повторного действия) средств контроля (например, попытки выполнить задачи, заявленные как запрещенные средствами контроля; определение, установлено ли программное обеспечение для защиты от вредоносной программы и обновляется ли оно на машинах, предоставляются ли права доступа (после проверки полномочий) и т.д.). Свидетельства могут собираться посредством проведения опроса сотрудников/подрядчиков о процессах и средствах контроля и определения, являются ли они действительно корректными.

D.2 Как работать с таблицей D.1


Таблица D.1 - Классификация мер управления

Меры управления в приложении
 А ИСО/МЭК 27001:2005

Органи-
зацион-
ный конт-
роль

Техни-
ческий конт-
роль

Испы-
тание
 системы

Визу-
аль-
ная про-
верка

Руководство по  анализу аудита

А.5 Политика безопасности

А.5.1 Политика информационной безопасности (ИБ)

А.5.1.1 Документация политики ИБ

X

А.5.1.2 Анализ политики ИБ

X

Протоколы анализа
со стороны руководства

А.6 Организация ИБ

А.6.1 Внутренняя организация

А.6.1.1 Обязательство менеджмента по ИБ

X

Протоколы заседаний руководства

А.6.1.2 Координация ИБ

X

Протоколы заседаний руководства

А.6.1.3 Распределение обязанностей по ИБ

X

А.6.1.4 Процесс санкционирования средств обработки информации

X

А.6.1.5 Соглашения о конфиденциальности

X

Выбрать несколько
копий из архива

А.6.1.6 Контакт с властями

X

А.6.1.7 Контакт со специальными группами людей, объединенными общими интересами

X

А.6.1.8 Независимая проверка ИБ

X

Читать отчеты

А.6.2 Внешние стороны

А.6.2.1 Определение рисков, связанных с внешними сторонами

X

А.6.2.2 Определение безопасности при обращении с клиентами

X

А.6.2.3 Определение безопасности в соглашениях с третьей стороной

X

Проверить некоторые
условия контракта

А.7 Менеджмент активами

А.7.1 Ответственность за активы

А.7.1.1 Опись активов

X

Идентифицировать активы

А.7.1.2 Владение активами

X

А.7.1.3 Приемлемое использование активов

X

А.7.2 Классификация информации

А.7.2.1 Правила классификации

X

А.7.2.2 Маркировка и обработка информации

X

Наименование: директории, файлы, напечатанные отчеты, носители данных с записями (например, магнитные ленты, дискеты и CD), электронные сообщения и передача файлов

А.8 Кадровая безопасность

Провести выборку
нескольких кадровых дел

А.8.1 Условия, предшествующие найму

А.8.1.1 Роли и обязанности

X

А.8.1.2 Отбор

X

А.8.1.3 Условия найма

X

А.8.2 Условия работы

А.8.2.1 Обязанности руководства

X

А.8.2.2 Осведомленность об ИБ, образование и обучение

X

Опросить штат, осведомлены ли они о конкретных вопросах, которые они должны знать

А.8.2.3 Процесс, связанный с дисциплиной

X

А.8.3 Окончание или изменение работы по найму

А.8.3.1 Обязанности, связанные с окончанием найма

X

А.8.3.2 Возвращение активов

X

А.8.3.3 Лишение прав доступа

X

X

Рекомен-
дуется

А.9 Физическая защита от влияния окружающей среды

А.9.1 Безопасные области

А.9.1.1 Периметр физической защиты

X

А.9.1.2 Средства физического контроля входа в помещение

X

X

Возможно

X

Архивирование записей о доступе

А.9.1.3 Обеспечение безопасности офисов, комнат и помещений

X

X

А.9.1.4 Защита от внешних угроз и угроз окружающей среды

X

X

А.9.1.5 Работа в безопасных зонах

X

X

А.9.1.6 Области доступа к местам общественного пользования, поставки и погрузки

X

X

А.9.2 Безопасность оборудования

А.9.2.1 Размещение оборудования и его защита

X

X

Возможно

X

А.9.2.2 Вспомогательное оборудование

X

X

Возможно

X

А.9.2.3 Безопасность кабельной системы

X

X

А.9.2.4 Обслуживание оборудования

X

А.9.2.5 Безопасность дистанционного оборудования

X

X

Возможно

Шифрование портативных (переносных) устройств

А.9.2.6 Безопасное устранение или повторное использование оборудования

X

X

Возможно

X

А.9.2.7 Ликвидация собственности

X

А.10 Управление коммуникациями и их работой

А.10.1 Эксплуатационные процедуры и обязанности

А.10.1.1 Документально оформленные способы эксплуатации

X

А.10.1.2 Управление изменениями

X

X

Рекомен-
дуется

А.10.1.3 Распределение обязанностей

X

А.10.1.4 Разделение разработки, испытания и рабочего оборудования

X

X

Возможно

А.10.2 Управление доставкой услуг третьей стороной

А.10.2.1 Доставка услуг

X

А.10.2.2 Мониторинг и проверка услуг третьей стороны

X

X

Возможно

А.10.2.3 Менеджмент изменениями услуг третьей стороны

X

А.10.3 Планирование и приемка системы

А.10.3.1 Управление пропускной способностью

X

X

Возможно

А.10.3.2 Приемка системы

X

А.10.4 Защита от вредоносного программного обеспечения и мобильных программ

А.10.4.1 Средства контроля в отношении вредоносного программного обеспечения

X

X

Рекомен-
дуется

Выборка серверов, настольных компьютеров, межсетевых интерфейсов

А.10.4.2 Средства контроля в отношении мобильных программ

X

X

Возможно

А.10.5 Резервирование

А.10.5.1 Резервирование информации

X

X

Рекомен-
дуется

Попытаться восстановить

А.10.6 Управление защитой сети

А.10.6.1 Средства контроля сети

X

X

Возможно

А.10.6.2 Безопасность сетевых услуг

X

Соглашения об уровне сервиса, функции безопасности

А.10.7 Обращение с носителями информации

А.10.7.1 Управление съемными носителями информации

X

X

Возможно

А.10.7.2 Уничтожение носителей информации

X

А.10.7.3 Процедуры обработки информации

X

А.10.7.4 Безопасность документации системы

X

X

Возможно

X

А.10.8 Обмен информацией

А.10.8.1 Политики и процедуры обмена информацией

X

А.10.8.2 Соглашения об обмене

X

А.10.8.3 Физические носители информации в процессе передачи

X

X

Возможно

Шифрование или физическая защита

А.10.8.4 Электронный обмен сообщениями

X

X

Возможно

Подтвердить, что выборочные сообщения соответствуют политике/процедурам

А.10.8.5 Системы бизнес-информации

X

А.10.9 Услуги электронной коммерции

А.10.9.1 Электронная коммерция

X

X

Возможно

А.10.9.2 Сделки в режиме он-лайн

X

X

Рекомен-
дуется

Проверить: целостность, авторизацию доступа

А.10.9.3 Общедоступная информация

X

X

Возможно

А.10.10 Мониторинг

А.10.10.1 Ведение регистрации аудита

X

X

Возможно

Онлайн или печатная

А.10.10.2 Мониторинг использования системы

X

X

Возможно

А.10.10.3 Защита информации журналов регистрации

X

X

Возможно

А.10.10.4 Журналы регистрации деятельности администраторов и операторов

X

X

Возможно

А.10.10.5 Фиксирование ошибок

X

А.10.10.6 Синхронизация часов

X

Возможно

А.11 Контроль доступа

А.11.1 Требования бизнеса к контролю доступа

А.11.1.1 Политика контроля доступа

X

А.11.2 Управление доступом пользователей

А.11.2.1 Регистрация пользователей

X

Выбрать сотрудников/подрядчиков для проверки наличия разрешений всех прав доступа ко всем системам

А.11.2.2 Управление привилегиями

X

X

Возможно

Внутреннее перемещение штата

А.11.2.3 Управление паролями пользователей

X

А.11.2.4 Пересмотр прав доступа пользователей

X

А.11.3 Обязанности пользователей

А.11.3.1 Использование паролей

X

Проверить руководства/политику для пользователей

А.11.3.2 Оборудование, не обслуживаемое пользователем

X

Проверить руководства/политику для пользователей

А.11.3.3 Политика чистого рабочего стола и чистого экрана

X

X

А.11.4 Контроль доступа к сети

А.11.4.1 Политика использования сетевых услуг

X

А.11.4.2 Аутентификация пользователя для внешних соединений

X

X

Рекомен-
дуется

А.11.4.3 Идентификация оборудования сетей

X

А.11.4.4 Защита дистанционной диагностики и порта конфигурации

X

Рекомен-
дуется

А.11.4.5 Разделение в сетях

X

X

Возможно

Сетевые графики: глобальная сеть, локальная сеть, виртуальная локальная сеть, виртуальная частная сеть, сетевые объекты, сегменты сети (например, демилитаризованная зона)

А.11.4.6 Контроль сетевых соединений

X

X

Рекомен-
дуется

Совместно используемые сети, мало распространенные сети

А.11.4.7 Контроль маршрутизации в сети

X

X

Рекомен-
дуется

Межсетевые экраны, маршрутизаторы/переключатели: база правил, списки управления доступом, политики управления доступом

А.11.5 Контроль доступа к операционным системам

А.11.5.1 Процедуры безопасного входа в систему

X

X

Рекомен-
дуется

А.11.5.2 Идентификация и аутентификация пользователей

X

X

Рекомен-
дуется

А.11.5.3 Система управления паролями

X

X

Рекомен-
дуется

А.11.5.4 Использование системных утилит

X

X

Рекомен-
дуется

А.11.5.5 Лимит времени в сеансе связи

X

X

Возможно

X

А.11.5.6 Ограничение времени соединения

X

X

Возможно

X

А.11.6 Управление доступом к информации

А.11.6.1 Ограничение доступа к информации

X

X

Рекомен-
дуется

А.11.6.2 Изоляция секретной системы

X

X

Возможно

А.11.7 Мобильные компьютерные среды и дистанционная работа

А.11.7.1 Мобильные компьютерные среды и коммуникации

X

X

Возможно

А.11.7.2 Дистанционная работа

X

X

Возможно

А.12 Приобретение, разработка и обслуживание информационных систем

А.12.1 Требования безопасности информационных систем

А.12.1.1 Анализ и подробное изложение требований безопасности

X

А.12.2 Правильная обработка данных в прикладных программах

А.12.2.1 Подтверждение правильности входных данных

X

X

Рекомен-
дуется

Руководства по разработке программного обеспечения, тестирование программных средств; подтвердить в выборке бизнес-приложений, что средства контроля, требующиеся пользователям, существуют на практике

А.12.2.2 Управление внутренней обработкой

X

X

Возможно

Принципы разработки программных
средств, тестирование программных средств; подтвердить в выборке бизнес-приложений, что требующиеся пользователям средства контроля существуют на практике

А.12.2.3 Целостность сообщений

X

Возможно

А.12.2.4 Подтверждение правильности выходных данных

X

X

Возможно

Руководства по разработке программного обеспечения, тестирование программных средств; подтвердить в выборке бизнес-приложений, что средства контроля, требующиеся пользователям, существуют на практике

А.12.3 Криптографические средства контроля

А.12.3.1 Политика использования криптографических средств контроля

X

X

Возможно

Проверить также внедрение политики, где это необходимо

А.12.3.2 Распределение ключей

X

X

Рекомен-
дуется

А.12.4 Безопасность системных файлов

А.12.4.1 Контроль системного программного обеспечения

X

X

Возможно

А.12.4.2 Защита данных испытаний системы

X

X

Возможно

X

А.12.4.3 Контроль доступа к коду источника программы

X

X

Рекомен-
дуется

А.12.5 Обеспечение безопасности в процессах разработки и поддержки

А.12.5.1 Процедуры контроля изменений

X

А.12.5.2 Техническая проверка приложений после изменений в операционной системе

X

А.12.5.3 Ограничения по изменениям в программных пакетах

X

А.12.5.4 Утечка информации

X

X

Возможно

Неизвестные услуги

А.12.5.5 Разработка программного обеспечения аутсорсинга

X

А.12.6 Управление технической уязвимостью

А.12.6.1 Контроль технических уязвимостей

X

X

Рекомен-
дуется

Распределение патчей

А.13 Менеджмент инцидентов информационной безопасности

А.13.1 Составление отчетов о событиях, связанных с ИБ, и слабых местах

А.13.1.1 Составление отчетов о событиях, связанных с ИБ

X

А.13.1.2 Составление отчетов о слабых местах безопасности

X

А.13.2 Менеджмент инцидентов ИБ и улучшений

А.13.2.1 Обязанности и процедуры

X

А.13.2.2 Извлечение уроков из инцидентов ИБ

X

А.13.2.3 Сбор данных

X

А.14 Управление непрерывностью бизнеса

А.14.1 Аспекты ИБ управления непрерывностью бизнеса

Протоколы анализа со стороны руководства

А.14.1.1 Включение безопасности в процесс управления непрерывностью бизнеса

X

А.14.1.2 Обеспечение непрерывности бизнеса и оценка риска

X

А.14.1.3 Разработка и реализация планов непрерывности бизнеса, включая ИБ

X

X

Возможно

X

Инспекция объектов для восстановления после бедствия, удаленность объектов для восстановления после бедствия в соответствии с оценкой риска и применимыми правовыми/регулирующими требованиями

А.14.1.4 Основа планирования непрерывности бизнеса

X

А.14.1.5 Тестирование поддержания и повторной оценки планов непрерывности бизнеса

X

А.15 Соответствие

А.15.1 Соответствие правовым требованиям

А.15.1.1 Определение применимого законодательства

X

А.15.1.2 Права на интеллектуальную собственность

X

А.15.1.3 Защита документов организации

X

X

Возможно

А.15.1.4 Защита данных и обеспечение конфиденциальности личной информации

X

X

Возможно

А.15.1.5 Предотвращение неправильного использования средств обработки информации

X

А.15.1.6 Регулирование криптографических средств контроля

X

А.15.2 Соответствие политикам и стандартам безопасности и техническое соответствие

А.15.2.1 Соответствие политикам и стандартам безопасности

X

А.15.2.2 Проверка технического соответствия

X

X

Оценить процесс и дополнительные
данные

А.15.3 Рассмотрение аудита информационных систем

А.15.3.1 Средства контроля аудита информационных систем

X

А.15.3.2 Защита инструментальных средств аудита информационных систем

X

X

Возможно

D.2.1 Колонки "Организационный контроль" и "Технический контроль"

"X" в соответствующей колонке показывает, является ли контроль организационным или техническим. Так как некоторые средства контроля являются как организационными, так и техническими, для таких средств контроля ставятся отметки в обеих колонках.

Свидетельства функционирования организационных средств контроля могут собираться при помощи анализа записей о функционировании средств контроля, опросов, наблюдения и физического осмотра. Свидетельства функционирования технических средств контроля зачастую могут собираться при помощи испытания системы или посредством использования специальных инструментов аудита/предоставления отчетности.

D.2.2 Колонка "Испытание системы"

"Испытание системы" означает прямую проверку систем (например, проверка параметров настройки системы или конфигурации). Ответы на вопросы аудиторов можно получить на пульте управления системы, или они могут содержаться в оценке результатов тестирования инструментальных средств. Если организация-клиент имеет компьютерное инструментальное средство, известное аудитору, то оно может использоваться для поддержки аудита или для проверки результатов оценки, осуществленной организацией-клиентом (или ее субподрядчиками).

Существуют две категории проверки технических средств контроля:

"возможно": тестирование системы возможно для оценки введения в действие средства контроля, но обычно это не является необходимым;

"рекомендуется": тестирование системы обычно необходимо.

D.2.3 Колонка "Визуальная проверка"

"Визуальная проверка" означает, что обычно средства контроля для оценки их эффективности требуют визуального осмотра на месте. Это значит, что недостаточно проверить соответствующую документацию на бумаге или при помощи опросов - аудитор должен проверить это средство контроля на месте его эксплуатации.

D.2.4 Колонка "Руководство по анализу аудита"

В колонке "Руководство по анализу аудита" представлены возможные области повышенного внимания для оценки классифицируемой меры управления в качестве дальнейшего руководства для аудитора.