ГОСТ Р ИСО/МЭК 27006-2020
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационные технологии. Методы и средства обеспечения безопасности
ТРЕБОВАНИЯ К ОРГАНАМ, ОСУЩЕСТВЛЯЮЩИМ АУДИТ И СЕРТИФИКАЦИЮ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems
ОКС 03.120.20
Дата введения 2021-07-01
1 ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием "Российский научно-технический центр информации по стандартизации, метрологии и оценке соответствия" (ФГУП "СТАНДАРТИНФОРМ") совместно с Обществом с ограниченной ответственностью "Агентство независимых экспертиз в сфере технического регулирования" на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 079 "Оценка соответствия"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 8 сентября 2020 г. N 628-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27006:2015* "Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности" (ISO/IEC 27006:2015 "Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
Изменение к указанному международному стандарту, принятое после его официальной публикации, внесено в текст настоящего стандарта и выделено двойной вертикальной линией, расположенной на полях напротив соответствующего текста, а обозначение и год принятия изменения приведены в скобках после соответствующего текста.
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВЗАМЕН ГОСТ Р ИСО/МЭК 27006-2008
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Международный стандарт ИСО/МЭК 17021-1 содержит критерии для органов, осуществляющих аудит и сертификацию систем менеджмента организаций. При аккредитации указанных органов на соответствие требованиям ИСО/МЭК 17021-1 в части проведения аудита и сертификации систем менеджмента информационной безопасности (СМИБ) по ИСО/МЭК 27001:2013, необходимо учитывать дополнительные требования и руководящие указания по применению ИСО/МЭК 17021-1. Данная информация представлена в настоящем стандарте.
Текст настоящего стандарта повторяет структуру ИСО/МЭК 17021-1, а дополнительные требования, характерные для СМИБ, и руководящие указания по применению ИСО/МЭК 17021-1 для сертификации СМИБ обозначаются аббревиатурой "ИБ".
Термин "должен" используется в тексте настоящего стандарта для указания тех условий, которые, отражая требования ИСО/МЭК 17021-1 и ИСО/МЭК 27001, являются обязательными. Термин "следует" используется для обозначения рекомендаций.
Цель настоящего стандарта - предоставление возможности для органов по аккредитации более эффективно применять стандарты, по которым они обязаны оценивать органы по сертификации.
Примечание - В настоящем стандарте термины "система менеджмента" и "система" используются, заменяя друг друга. Определение системы менеджмента представлено в ИСО/МЭК 9000:2005. Систему менеджмента, применяемую в настоящем стандарте, не следует путать с другими типами систем, такими как системы информационных технологий.
Настоящий стандарт устанавливает требования и предоставляет руководство для органов, осуществляющих аудит и сертификацию системы менеджмента информационной безопасности (СМИБ), в дополнение к требованиям, содержащимся в ИСО/МЭК 17021-1 и ИСО/МЭК 27001. В первую очередь стандарт предназначен для аккредитации органов по сертификации, осуществляющих сертификацию СМИБ.
Любой орган, осуществляющий сертификацию СМИБ, должен соответствовать требованиям, содержащимся в настоящем стандарте, на основе компетентности и надежности аккредитованного лица, а содержащиеся в стандарте руководящие указания - обеспечивать дополнительную интерпретацию этих требований к органу, осуществляющему сертификацию СМИБ.
Примечание - Настоящий стандарт допускается использовать в качестве документа, содержащего критерии для аккредитации, экспертной оценки или других процессов аудита.
В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).
ISO/IEC 17021-1:2015, Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 1: Requirements (Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования)
ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и словарь)
ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements (Информационная технология. Методы обеспечения защиты. Системы обеспечения информационной безопасности. Требования)
В настоящем стандарте применены термины по ИСО/МЭК 17021-1, ИСО/МЭК 27000, а также следующий термин с соответствующим определением:
3.1 документы по сертификации (certification documents): Документы, указывающие на то, что СМИБ организации-заказчика соответствует стандартам СМИБ и дополнительной документации, требуемой в соответствии с указанной системой.
Применяют принципы ИСО/МЭК 17021-1, раздел 4.
Применяют требования ИСО/МЭК 17021-1, подраздел 5.1.
Применяют требования ИСО/МЭК 17021-1, подраздел 5.2. Кроме того, применяют следующие требования и руководящие указания, дополняющие требования ИСО/МЭК 17021-1 в части сертификации СМИБ.
5.2.1 ИБ 5.2 Конфликт интересов
Органы по сертификации могут выполнять следующие виды работ, при этом они не рассматриваются как консультанты или лица, имеющие потенциальный конфликт интересов:
a) организация и участие в качестве преподавателя в учебных курсах при условии, что если эти курсы связаны с менеджментом информационной безопасности, взаимосвязанными системами менеджмента или аудитом, то органы по сертификации должны ограничиваться предоставлением общей информации и рекомендаций, которые являются общедоступными, т.е. они не должны предоставлять рекомендации для конкретной компании, что противоречит требованиям перечисления b);
b) предоставление или публикация по запросу информации, описывающей толкование органом по сертификации требований стандартов по сертификационному аудиту (см. 9.1.3.6);
c) деятельность до аудита, направленная исключительно на определение готовности к сертификационному аудиту; однако подобная деятельность не должна приводить к предоставлению рекомендаций или консультаций, противоречащих данному пункту, и орган по сертификации должен иметь возможность подтвердить, что подобная деятельность не противоречит указанным требованиям и не используется для обоснования сокращения возможной продолжительности сертификационного аудита;
d) проведение аудитов второй и третьей сторонами в соответствии со стандартами или правилами, отличными от тех, которые входят в область аккредитации;
e) повышение значимости сертификационного аудита и инспекционного контроля, например путем определения возможностей для улучшения, которые становятся очевидными в ходе аудита, без рекомендаций относительно конкретных решений.
Орган по сертификации не должен проводить внутренние аудиты СМИБ организации-заказчика. Кроме того, орган по сертификации должен быть независимым от органа или органов (включая любых физических лиц), которые проводят внутренний аудит СМИБ.
Применяют требования ИСО/МЭК 17021-1, пункт 5.3.
Применяют требования ИСО/МЭК 17021-1, раздел 6.
Применяются требования ИСО/МЭК 17021-1, подраздел 7.1. Кроме того, применяются следующие требования и руководящие указания, дополняющие требования ИСО/МЭК 17021-1 в части сертификации СМИБ.
7.1.1 ИБ 7.1.1 Общие положения
7.1.1.1 Общие требования к компетентности
Орган по сертификации должен обеспечивать уверенность в том, что он обладает знанием технологических, правовых и нормативных вопросов, относящихся к СМИБ организации-заказчика, оценку которой он осуществляет.
Орган по сертификации должен определять требования к компетентности персонала для выполнения каждой функции по сертификации, указанной в таблице А.1 ИСО/МЭК 17021-1. Орган по сертификации должен учитывать все требования, указанные в ИСО/МЭК 17021-1 и пунктах 7.1.2 и 7.2.1 настоящего стандарта, относящиеся к техническим областям СМИБ, определенным органом по сертификации.
Примечание - Приложение А содержит краткое изложение требований к компетентности персонала, выполняющего определенные функции по сертификации.
7.1.2 ИБ 7.1.2 Определение критериев компетентности
7.1.2.1 Требования к компетентности для проведения аудита СМИБ
7.1.2.1.1 Общие требования
Орган по сертификации должен иметь критерии с целью оценивания предыдущего опыта, специальной подготовки или проводить инструктажи для участников аудиторской группы, обеспечивающие как минимум следующее:
a) знания в области информационной безопасности;
b) технические знания о деятельности, подлежащей аудиту;
c) знание систем менеджмента;
d) знание принципов аудита.
Примечание - Дополнительную информацию о принципах аудита см. в [1];
e) знание мониторинга, измерения, анализа и оценки СМИБ.
Примечание - Указанные выше требования перечислений a)-e) применимы ко всем аудиторам - участникам аудиторских групп, за исключением перечисления b), обязанности по которому аудиторы - участники аудиторской группы могут разделить между собой.
Аудиторская группа должна быть компетентной и уметь отслеживать индикаторы инцидентов информационной безопасности в СМИБ организации-заказчика вплоть до соответствующих отдельных элементов СМИБ.
Аудиторская группа должна иметь соответствующий опыт работы по указанным выше перечислениям и навыки практического применения этих элементов (это не означает, что аудитору необходимо владеть полным диапазоном навыков и опыта по всем направлениям информационной безопасности, но в целом вся аудиторская группа должна иметь достаточно знаний и опыта для того, чтобы охватить область проверки СМИБ).
7.1.2.1.2 Терминология, принципы, практические методики и средства менеджмента информационной безопасности
В совокупности все участники аудиторской группы должны знать:
a) структуру документации СМИБ, иерархию и взаимоотношения в системе;
b) инструменты менеджмента информационной безопасности, средства и методику их применения;
c) подходы к оценке рисков информационной безопасности и управление рисками;
d) процессы, применимые к СМИБ;
e) существующие технологии, где информационная безопасность может иметь особое значение или может вызывать проблемы.