Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27006-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности

Приложение С
(справочное)

Методы расчета общей продолжительности/трудоемкости аудита


C.1 Общая часть

В данном приложении приведены дополнительные руководящие указания по выведению формулы для расчета общей продолжительности/трудоемкости аудита. В C.2 приведен пример классификации факторов, которые могут быть использованы в качестве основы для расчета общей продолжительности/трудоемкости аудита, а в С.3 - пример расчета общей продолжительности/трудоемкости аудита.

С.2 Классификация факторов для расчета общей продолжительности/трудоемкости аудита

В таблице С.1 приведены примеры классификации основных факторов для расчета общей продолжительности/трудоемкости аудита, перечисленных в B.3.4, перечисления a)-h). Данная классификация может использоваться органами по сертификации для выработки схемы расчета общей продолжительности/трудоемкости аудита согласно условиям 9.1.4.1.

Таблица С.1 - Классификация факторов для расчета общей продолжительности/трудоемкости аудита

Влияние

Сокращение

Нормальный режим

Увеличение

Факторы (см. В.3.4)

a) Сложность структуры СМИБ:

- требования ИБ [конфиденциальность, целостность и доступность (КЦД)];

- количество критичных активов;

- количество процессов и услуг

Незначительная секретная и конфиденциальная информация, низкие требования по доступности. Мало критичных объектов. Один ключевой бизнес-процесс с малым количеством связей и несколькими участвующими структурными единицами

Высокие требования по доступности или некоторая секретная или конфиденциальная информация. Несколько критичных активов.

Два-три простых бизнес-процесса с малым количеством связей и несколькими участвующими структурными единицами

Большое количество секретной или конфиденциальной информации (медицинская, персональные данные, страховки, банковские данные) или высокие требования по доступности.

Много критичных активов. Более двух сложных процессов с большим количеством связей и участвующих структур

b) Виды деловой активности, осуществляемой в рамках СМИБ

Низкий риск бизнеса без нормативных требований

Высокие нормативные требования

Рискованный бизнес с незначительным количеством нормативных требований

c) Ранее продемонстрированная результативность СМИБ

Недавно сертифицирован. Не сертифицирован, но СМИБ реализована посредством нескольких циклов аудита и доработки, включая документированные внутренние аудиты, анализы со стороны руководства и действующую систему постоянного улучшения

Недавний инспекционный контроль.

Не сертифицирован, но СМИБ частично реализована: имеются некоторые реализованные инструменты системы менеджмента; действуют некоторые процессы постоянного улучшения, но они документированы частично

Не сертифицирован, аудиты не проводились. СМИБ новая и не полностью внедрена (например, отсутствуют контрольные механизмы системы менеджмента, "сырые" процессы улучшения, ситуативное исполнение процессов)

d) Степень разнообразия технологий при реализации различных компонентов СМИБ (например, количество различных ИТ-платформ, количество раздельных сетей)

Высокостандар-
тизированная среда с незначительным разнообразием (несколько ИТ-платформ, серверов, операционных систем, баз данных, сетей и др.)

Стандартизированные, но разнообразные ИТ-платформы, серверы, операционные системы, базы данных, сети

Разнообразие или сложность ИТ (например, множество сетевых сегментов, типов серверов или баз данных, несколько основных приложений)

e) Степень привлечения сторонних услуг и персонала, а также договоров по аутсорсингу со сторонними организациями в рамках области действия СМИБ

Без аутсорсинга и с малой зависимостью от поставщиков. Четко определенные, управляемые и контролируемые договоренности по аутсорсингу. Аутсорсер имеет сертифицированную СМИБ. Доступны соответствующие отчеты

Несколько частично регулируемых договоренностей по аутсорсингу

Большая зависимость от аутсорсинга или поставщиков, существенно влияющих на бизнес. Неизвестный объем аутсорсинга.

Несколько бесконтрольных договоренностей по аутсорсингу

f) Степень развития информационной системы

Внутренние доработки системы отсутствуют. Использование стандартных приложений и платформ

Использование стандартных платформ с комплексной конфигурацией и параметрированием. (Узко) специальное ПО. Некоторая деятельность по доработкам ПО (самостоятельно или по аутсорсингу)

Обширная внутренняя деятельность по разработке программного обеспечения по нескольким текущим проектам для важных бизнес-целей

g) Количество объектов и количество узлов аварийного восстановления (DR)

Низкие требования по доступности, сайт отсутствует или существует один альтернативный сайт DR (аварийного восстановления)

Требования по средней или высокой доступности, сайт отсутствует или существует альтернативный сайт DR (аварийного восстановления)

Требования по высокой доступности, например услуги в режиме 24/7. Несколько альтернативных сайтов DR (аварийного восстановления). Несколько центров данных

h) Для инспекционного или ресертификационного аудита: объем и степень изменений СМИБ в соответствии с ИСО/МЭК 17021-1, пункт 8.5.3

Нет изменений после последнего аудита по повторной сертификации

Незначительные изменения в области СМИБ или ведомости применимости мер обеспечения информационной безопасности, например в некоторых политиках, документах и др.

Незначительные изменения в названных выше факторах

Существенные изменения в области СМИБ или ведомости применимости мер обеспечения информационной безопасности, например новые технологии, новые структурные единицы, направления, методологии оценки менеджмента рисков, политики, документация, методы снижение рисков. Значительные изменения в названных выше факторах


С.3 Пример расчета общей продолжительности/трудоемкости аудита

Следующий пример иллюстрирует, как орган по сертификации может использовать факторы, указанные в B.3, для расчета общей продолжительности/трудоемкости аудита. Расчет общей продолжительности/трудоемкости аудита в приведенном ниже примере действует следующим образом.

Шаг 1. Определение факторов, связанных с бизнесом и организацией (кроме ИТ): определить подходящую степень для каждой из категорий, приведенных в таблице C.2, и суммировать результаты.

Шаг 2. Определение факторов, связанных со средой ИТ: определить подходящую степень для каждой из категорий, приведенных в таблице C.3, и суммировать результаты.

Шаг 3. На основании шагов 1 и 2 определить влияние факторов на общую продолжительность/трудоемкость аудита, выбрав соответствующую строку в таблице С.4.

Шаг 4. Итоговый подсчет: количество дней, определенное путем использования таблицы общей продолжительности/трудоемкости аудита (таблица B.1), умножают на коэффициент, получаемый в результате выполнения шага 3. При использовании выборочной многообъектной проверки рассчитанное количество дней увеличивают на время, необходимое для выполнения плана выборочных многообъектных проверок.

В результате получают итоговое количество дней аудита.

Таблица C.2 - Факторы, связанные с бизнесом и организацией (кроме ИТ)

Категория

Степень

Типы бизнес- и нормативных требований

1 Организация работает в некритичных секторах бизнеса и в секторах без нормативного регулирования.

2 Организация имеет заказчиков в критичных секторах бизнеса.

3 Организация работает в критичных секторах бизнеса

Процесс и задачи

1 Стандартные процессы со стандартными и повторяющимися задачами; большое количество людей выполняют работу под контролем организации, решая одни и те же задачи; небольшое количество видов продукции или услуг.

2 Стандартные, но не повторяющиеся процессы, с большим количеством продукции или услуг.

3 Комплексные процессы, большое количество видов продукции или услуг, большое количество структурных единиц, участвующих в программе сертификации (СМИБ охватывает комплексные процессы или относительно большое количество уникальных видов деятельности)

Уровень реализации СМ

1 СМИБ уже внедрена и функционирует, и (или) действуют другие системы менеджмента.

2 Некоторые элементы других систем менеджмента реализованы, некоторые - нет.

3 Никакие другие системы менеджмента на реализованы вообще, СМИБ новая и не отработана

Критичные сектора бизнеса - это те сектора, которые могут повлиять на услуги общественного или государственного характера и вызвать риск здоровья людей, безопасности, экономики, имиджа государства и способности правительства продолжать функционировать, что в свою очередь может оказать значительное неблагоприятное воздействие на государство.



Таблица C.3 - Факторы, связанные с ИТ-средой

Категория

Степень

Сложность структуры ИТ

1 Несколько высокостандартизированных ИТ-платформ, серверов, операционных систем, баз данных, сетей и др.

2 Несколько различных ИТ-платформ, серверов, операционных систем, баз данных, сетей.

3 Много разных ИТ-платформ, серверов, операционных систем, баз данных, сетей

Зависимость от аутсорсинга и поставщиков, включая облачные сервисы

1 Незначительное или полное отсутствие зависимости от аутсорсинга и поставщиков.

2 Некоторая зависимость от аутсорсинга и поставщиков, связанная с некоторыми, но не всеми важнейшими направлениями бизнеса.

3 Высокая зависимость от аутсорсинга и поставщиков, большое влияние на важнейшие направления бизнеса

Разработка информационных систем

1 Отсутствие или очень ограниченный объем внутренних разработок систем и ПО.

2 Некоторый объем внутренних или привлеченных разработок систем и ПО для некоторых важнейших целей бизнеса.

3 Обширные внутренние разработки и привлечение систем и ПО для важнейших целей бизнеса



Таблица C.4 - Влияние факторов на общую продолжительность/трудоемкость аудита

Сложность системы ИТ

Низкая (от 3 до 4)

Средняя (от 5 до 6)

Высокая (от 7 до 9)

Сложность структуры бизнеса

Высокая
 (от 7 до 9)

От +5%
до +20%

От +10%
до +50%

От +20%
до +100%

Средняя
(от 5 до 6)

От -5%
до -10%

0%

От +10%
до +50%

Низкая
(от 3 до 4)

От -10%
до -30%

От -5%
до -10%

От +5%
до +20%