ГОСТ Р ИСО/МЭК 27006-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности
Приложение D
(справочное)
Руководящие указания по анализу мер обеспечения, внедренных в соответствии с приложением А ИСО/МЭК 27001
D.1 Цель
Практическая реализация мер обеспечения, необходимых согласно решению организации-заказчика для СМИБ (согласно ведомости применимости мер обеспечения информационной безопасности), должна анализироваться во время второго этапа первоначального аудита, а также во время инспекционного контроля или ресертификационного аудита.
Свидетельства аудита, собираемые органом по сертификации, должны быть достаточными, чтобы сделать вывод, являются ли меры обеспечения эффективными. Каким образом предполагается осуществлять контроль - должно быть определено в процедурах или политиках организации-заказчика.
D.1.1 Свидетельства аудита
Свидетельства аудита высшего качества по аудиту собираются в процессе наблюдений аудитором (например, что запираемая дверь действительно заперта, что служащие действительно подписывают соглашения о соблюдении конфиденциальности, что перечень активов существует и содержит наблюдаемые активы, что параметры настройки системы являются адекватными и т.д.). Такие свидетельства могут собираться при наблюдении результатов применения мер обеспечения [например, распечатки прав доступа, подписанные соответствующим уполномоченным лицом; документация об устранении последствий инцидентов; полномочия для обработки данных, подписанные соответствующим уполномоченным лицом; протоколы управленческих (или других) совещаний и т.д.]. Свидетельства могут быть результатом непосредственного испытания аудитором (или повторного действия) мер обеспечения [например, попытки выполнить задачи, заявленные как запрещенные мерами обеспечения, определение, установлено ли программное обеспечение для защиты от злоумышленного кода и обновляется ли оно на машинах, выдаются ли права доступа (после проверки полномочий) и т.д.]. Свидетельства могут собираться посредством проведения опроса сотрудников, выполняющих работы под контролем организации-заказчика/подрядчиков, о процессах и мерах обеспечения и определения, является ли это корректным.
D.2 Применение таблицы D.1
D.2.1 Общая часть
В таблице D.1 приведены руководящие указания по проведению анализа реализации мер обеспечения, перечисленных в ИСО/МЭК 27001, приложение А, и сбора свидетельств аудита относительно их действия в течение первоначального и последующих аудитов. Таблица не содержит руководящие указания по анализу мер обеспечения, кроме тех, что предусмотрены в ИСО/МЭК 27001, приложение А.
D.2.2 Графы "Организационный контроль" и "Технический контроль"
"X" в соответствующей графе показывает, является ли контроль организационным или техническим. Так как некоторые меры обеспечения являются и организационными, и техническими, для таких мер обеспечения ставятся отметки в обеих графах.
Свидетельства, подтверждающие функционирование организационных мер обеспечения, могут собираться при помощи анализа записей о функционировании мер обеспечения, опросов, наблюдения и физического осмотра. Свидетельства, подтверждающие функционирование технических мер обеспечения, зачастую могут собираться при помощи испытания системы (см. ниже) или посредством использования специализированных инструментов аудита/предоставления отчетности.
D.2.3 Графа "Испытание системы"
"Испытание системы" означает прямую проверку систем (например, проверка параметров настройки системы или конфигурации). Ответы на вопросы аудиторов можно получить на пульте управления системы или посредством оценки результатов инструментальных средств тестирования. Если организация-заказчик применяет известные аудитору компьютерные средства, то они могут использоваться в помощь аудитору или для проверки результатов оценки, осуществленной организацией-заказчиком (или их субподрядчиками).
Существуют две категории проверки технических мер обеспечения:
- "возможно": тестирование системы может применяться для оценки практической реализации мер обеспечения, но не является необходимым при проведении аудита СМИБ;
- "рекомендуется": тестирование системы обычно необходимо при проведении аудита СМИБ.
D.2.4 Графа "Визуальная проверка"
"Визуальная проверка" означает, что указанные меры обеспечения обычно требуют визуального контроля на месте для оценки их эффективности. Это означает, что недостаточно проверить соответствующую документацию на бумаге или при помощи опросов - аудитор должен проверить меру обеспечения на том месте, где она используется.
D.2.5 Графа "Руководящие указания по анализу аудита"
В графе "Руководящие указания по анализу аудита" представлены возможные приоритетные области для оценки данной меры обеспечения в качестве дополнительного руководства для аудитора.
Таблица D.1 - Классификации средств контроля
Меры обеспечения согласно приложению А ИСО/МЭК 27001:2013 | Организа- | Технический контроль | Испытание системы | Визуальная проверка | Рекомендации по анализу аудита |
A.5 Политики информационной безопасности | |||||
A.5.1 Руководящие указания в части информационной безопасности | |||||
A.5.1.1 Политики информационной безопасности | X | ||||
A.5.1.2 Пересмотр политик информационной безопасности | X | ||||
A.6 Организация деятельности по информационной безопасности | |||||
A.6.1 Внутренняя организация деятельности по обеспечению информационной безопасности | |||||
A.6.1.1 Роли и обязанности по обеспечению информационной безопасности | X | ||||
A.6.1.2 Разделение обязанностей | X | ||||
A.6.1.3 Взаимодействие с органами власти | X | ||||
A.6.1.4 Взаимодействие с профессиональными сообществами | X | ||||
A.6.1.5 Информационная безопасность при управлении проектом | X | ||||
A.6.2 Мобильные устройства и дистанционная работа | |||||
A.6.2.1 Политика использования мобильных устройств | X | X | Возможно | Также проверить практическую реализацию политики, где это целесообразно | |
A.6.2.2 Дистанционная работа | X | X | Возможно | Также проверить практическую реализацию политики, где это целесообразно | |
A.7 Безопасность, связанная с персоналом | |||||
A.7.1 При приеме на работу | |||||
A.7.1.1 Проверка | X | ||||
A.7.1.2 Правила и условия работы | X | ||||
A.7.2 Во время работы | |||||
A.7.2.1 Обязанности руководства организации | X | ||||
A.7.2.2 Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности | X | Опросить сотрудников, осведомлены ли они об особенностях, которые должны быть им известны | |||
A.7.2.3 Дисциплинарный процесс | X | ||||
A.7.3 Увольнение и смена места работы | |||||
A.7.3.1 Прекращение или изменение трудовых обязанностей | X | ||||
A.8 Менеджмент активов | |||||
A.8.1 Ответственность за активы | |||||
A.8.1.1 Инвентаризация активов | X | Указать активы | |||
A.8.1.2 Владение активами | X | ||||
A.8.1.3 Допустимое использование активов | X | ||||
A.8.1.4 Возврат активов | X | ||||
A.8.2 Категорирование информации | |||||
A.8.2.1 Категорирование информации | X | Также проверить практическую реализацию политики, где это целесообразно | |||
A.8.2.2 Маркировка информации | X | Наименование: директории, файлы, напечатанные отчеты, носители данных с записями (например, магнитные ленты, дискеты и CD), электронные сообщения и передача файлов | |||
A.8.2.3 Обращение с активами | X | ||||
A.8.3 Обращение с носителями информации | |||||
A.8.3.1 Управление сменными носителями информации | X | X | Возможно | ||
A.8.3.2 Утилизация носителей информации | X | X | Процесс утилизации | ||
A.8.3.3 Перемещение физических носителей | X | Физическая защита | |||
A.9 Управление доступом | |||||
A.9.1 Требования бизнеса по управлению доступом | |||||
A.9.1.1 Политика управления доступом | X | Также проверить практическую реализацию политики, где это целесообразно | |||
A.9.1.2 Доступ к сетям и сетевым сервисам | X | Также проверить практическую реализацию политики, где это целесообразно | |||
A.9.2 Процесс управления доступом пользователей | |||||
A.9.2.1 Регистрация и отмена регистрации пользователей | X | ||||
A.9.2.2 Предоставление пользователю права доступа | X | X | Возможно | Привести пример лиц, работающих под контролем организации/ поставщиков, имеющих разрешение по доступу со всеми правами ко всем системам | |
A.9.2.3 Управление привилегированными правами доступа | X | X | Возможно | Внутренние перемещения персонала | |
A.9.2.4 Процесс управления секретной аутентификационной информацией пользователей | X | ||||
A.9.2.5 Пересмотр прав доступа пользователей | X | ||||
A.9.2.6 Аннулирование или корректировка прав доступа | X | ||||
A.9.3 Ответственность пользователей | |||||
A.9.3.1 Использование секретной аутентификационной информации | X | Проверить рекомендации и политику для пользователей | |||
A.9.4 Управление доступом к системам и приложениям | |||||
A.9.4.1 Ограничение доступа к информации | X | X | Рекомендуется | ||
A.9.4.2 Безопасные процедуры входа в систему | X | X | Рекомендуется | ||
A.9.4.3 Система управления паролями | X | X | Рекомендуется | ||
A.9.4.4 Использование привилегированных служебных программ | X | X | Рекомендуется | ||
A.9.4.5 Управление доступом к исходному тексту программы | X | X | Рекомендуется | ||
A.10 Криптография | |||||
А.10.1 Криптографическая защита информации | |||||
A.10.1.1 Политика использования средств криптографической защиты информации | X | Также проверить практическую реализацию политики, где это целесообразно | |||
A.10.1.2 Управление ключами | X | X | Рекомендуется | Также проверить практическую реализацию политики, где это целесообразно | |
A.11 Физическая безопасность и защита от воздействия окружающей среды | |||||
A.11.1 Зоны безопасности | |||||
A.11.1.1 Физический периметр безопасности | X | ||||
A.11.1.2 Меры и средства контроля и управления физическим доступом | X | X | Возможно | X | Ознакомиться с документацией по доступу |
A.11.1.3 Безопасность зданий, помещений и оборудования | X | X | |||
A.11.1.4 Защита от внешних угроз и угроз со стороны окружающей среды | X | X | |||
A.11.1.5 Работа в зонах безопасности | X | X | |||
A.11.1.6 Зоны погрузки и разгрузки | X | X | |||
A.11.2 Оборудование | |||||
A.11.2.1 Размещение и защита оборудования | X | X | |||
A.11.2.2 Вспомогательные услуги | X | X | Возможно | X | |
A.11.2.3 Безопасность кабельной сети | X | X | |||
A.11.2.4 Техническое обслуживание оборудования | X | ||||
A.11.2.5 Перемещение активов | X | Опись активов за пределами объекта | |||
A.11.2.6 Безопасность оборудования и активов вне помещений организации | X | X | Возможно | Шифрование переносных устройств | |
A.11.2.7 Безопасная утилизация или повторное использование оборудования | X | X | Возможно | X | Стирание диска, шифрование диска |
A.11.2.8 Оборудование, оставленное пользователем без присмотра | X | Проверить рекомендации и политику для пользователей | |||
A.11.2.9 Политика "чистого стола" и "чистого экрана" | X | X | Также проверить практическую реализацию политики, где это целесообразно | ||
A.12 Безопасность при эксплуатации | |||||
A.12.1 Эксплуатационные процедуры и обязанности | |||||
A.12.1.1 Документально оформленные эксплуатационные процедуры | X | ||||
A.12.1.2 Процесс управления изменениями | X | X | Рекомендуется | ||
A.12.1.3 Управление производительностью | X | X | Возможно | ||
A.12.1.4 Разделение сред разработки, тестирования и эксплуатации | X | X | Возможно | ||
A.12.2 Защита от вредоносных программ | |||||
A.12.2.1 Меры обеспечения информационной безопасности в отношении вредоносных программ | X | X | Рекомендуется | Конфигурация и полнота покрытия для контроля вредоносного ПО | |
A.12.3 Резервное копирование | |||||
A.12.3.1 Резервное копирование информации | X | X | Рекомендуется | Выбор событий для регистрации на основе риска | |
A.12.4 Регистрация и мониторинг | |||||
A.12.4.1 Регистрация событий | X | X | Возможно | ||
A.12.4.2 Защита информации регистрационных журналов | X | X | Возможно | ||
A.12.4.3 Регистрационные журналы действий администратора и оператора | X | X | Возможно | ||
A.12.4.4 Синхронизация часов | X | Возможно | |||
A.12.5 Контроль программного обеспечения, находящегося в эксплуатации | |||||
A.12.5.1 Установка программного обеспечения в эксплуатируемых системах | X | X | Возможно | ||
A.12.6 Менеджмент технических уязвимостей | |||||
A.12.6.1 Учет и нейтрализация технических уязвимостей | X | X | Рекомендуется | Патч- | |
A.12.6.2 Ограничения по установке программного обеспечения | X | X | Возможно | ||
A.12.7 Особенности аудита информационных систем | |||||
A.12.7.1 Меры обеспечения информационной безопасности в отношении аудита информационных систем | X | ||||
A.13 Безопасность связи | |||||
A.13.1 Менеджмент информационной безопасности сетей | |||||
A.13.1.1 Меры обеспечения информационной безопасности сетей | X | X | Возможно | Сетевой менеджмент | |
A.13.1.2 Безопасность сетевых сервисов | X | X | Рекомендуется | SLA, положения о ИБ сетевых услуг (например, VPN, контроль сетевой маршрутизации и подключений, конфигурация сетевых устройств) | |
A.13.1.3 Разделение в сетях | X | X | Возможно | Сетевые схемы, сетевые сегменты (например, DMZ) и разделение (например, VLAN) | |
A.13.2 Передача информации | |||||
A.13.2.1 Политики и процедуры передачи информации | X | Также проверить практическую реализацию политики, где это целесообразно | |||
A.13.2.2 Соглашения о передаче информации | X | ||||
A.13.2.3 Электронный обмен сообщениями | X | X | Возможно | Подтвердить, что образцы сообщений соответствуют политике и процедурам | |
A.13.2.4 Соглашения о конфиденциальности или неразглашении | X | ||||
A.14 Приобретение, разработка и поддержка систем | |||||
A.14.1 Требования к безопасности информационных систем | |||||
A.14.1.1 Анализ и спецификация требований информационной безопасности | X | ||||
A.14.1.2 Обеспечение безопасности прикладных сервисов, предоставляемых с использованием сетей общего пользования | X | X | Рекомендуется | Услуги ПО на основе оценки рисков | |
A.14.1.3 Защита транзакций прикладных услуг | X | X | Рекомендуется | Конфиденциальность, целостность, безотказность | |
A.14.2 Безопасность в процессах разработки и поддержки | |||||
A.14.2.1 Политика безопасной разработки | X | Также проверить практическую реализацию политики, где это целесообразно | |||
A.14.2.2 Процедуры управления изменениями системы | X | X | Рекомендуется | ||
A.14.2.3 Техническая экспертиза приложений (прикладных программ) после изменений операционной платформы | X | ||||
A.14.2.4 Ограничения на изменения пакетов программ | X | ||||
A.14.2.5 Принципы безопасного проектирования систем | X | ||||
A.14.2.6 Безопасная среда разработки | X | X | Возможно | ||
A.14.2.7 Разработка с использованием аутсорсинга | X | ||||
A.14.2.8 Тестирование безопасности систем | X | ||||
A.14.2.9 Приемо-сдаточные испытания системы | X | X | Возможно | ||
A.14.3 Тестовые данные | |||||
A.14.3.1 Защита тестовых данных | X | X | Возможно | X | |
A.15 Взаимоотношения с поставщиками | |||||
A.15.1 Информационная безопасность во взаимоотношениях с поставщиками | |||||
A.15.1.1 Политика информационной безопасности во взаимоотношениях с поставщиками | X | Также проверить практическую реализацию политики, где это целесообразно | |||
A.15.1.2 Рассмотрение вопросов безопасности в соглашениях с поставщиками | X | Проверить несколько условий контракта | |||
A.15.1.3 Цепочка поставок информационно- | X | Проверить несколько условий контракта | |||
A.15.2 Управление услугами, предоставляемыми поставщиком | |||||
A.15.2.1 Мониторинг и анализ услуг поставщика | X | ||||
A.15.2.2 Управление изменениями услуг поставщика | X | ||||
A.16 Менеджмент инцидентов информационной безопасности | |||||
A.16.1 Менеджмент инцидентов информационной безопасности и улучшений | |||||
A.16.1.1 Обязанности и процедуры | X | ||||
A.16.1.2 Сообщения о событиях информационной безопасности | X | ||||
A.16.1.3 Сообщения о недостатках информационной безопасности | X | ||||
A.16.1.4 Оценка и принятие решений в отношении событий информационной безопасности | X | ||||
A.16.1.5 Реагирование на инциденты информационной безопасности | X | ||||
A.16.1.6 Анализ инцидентов информационной безопасности | X | ||||
A.16.1.7 Сбор свидетельств | X | ||||
A.17 Аспекты информационной безопасности в рамках менеджмента непрерывности деятельности организации | |||||
A.17.1 Непрерывность информационной безопасности | |||||
A.17.1.1 Планирование непрерывности информационной безопасности | X | ||||
A.17.1.2 Реализация непрерывности информационной безопасности | X | ||||
A.17.1.3 Проверка, анализ и оценивание непрерывности информационной безопасности | X | ||||
A.17.2 Резервирование оборудования | |||||
A.17.2.1 Доступность средств обработки информации | X | X | Возможно | ||
A.18 Соответствие | |||||
A.18.1 Соответствие правовым и договорным требованиям | |||||
A.18.1.1 Идентификация применимых законодательных и договорных требований | X | Рекомендуется | |||
A.18.1.2 Права на интеллектуальную собственность | X | ||||
A.18.1.3 Защита записей | X | X | Рекомендуется | ||
A.18.1.4 Конфиденциальность и защита персональных данных | X | Также проверить практическую реализацию политики, где это целесообразно | |||
A.18.1.5 Регулирование средств криптографической защиты информации | X | ||||
A.18.2 Проверки информационной безопасности | |||||
A.18.2.1 Независимая проверка информационной безопасности | X | ||||
A.18.2.2 Соответствие политикам и стандартам безопасности | X | ||||
A.18.2.3 Анализ технического соответствия | X | X |