ГОСТ Р ИСО/МЭК 27006-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности.
ГОСТ Р ИСО/МЭК 27006-2020
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационные технологии. Методы и средства обеспечения безопасности
ТРЕБОВАНИЯ К ОРГАНАМ, ОСУЩЕСТВЛЯЮЩИМ АУДИТ И СЕРТИФИКАЦИЮ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems
ОКС 03.120.20
Дата введения 2021-07-01
Предисловие
1 ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием "Российский научно-технический центр информации по стандартизации, метрологии и оценке соответствия" (ФГУП "СТАНДАРТИНФОРМ") совместно с Обществом с ограниченной ответственностью "Агентство независимых экспертиз в сфере технического регулирования" на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 079 "Оценка соответствия"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27006:2015* "Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности" (ISO/IEC 27006:2015 "Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems", IDT).
Изменение к указанному международному стандарту, принятое после его официальной публикации, внесено в текст настоящего стандарта и выделено двойной вертикальной линией, расположенной на полях напротив соответствующего текста, а обозначение и год принятия изменения приведены в скобках после соответствующего текста.
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном
5 ВЗАМЕН
Правила применения настоящего стандарта установлены в ". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Международный стандарт ИСО/МЭК 17021-1 содержит критерии для органов, осуществляющих аудит и сертификацию систем менеджмента организаций. При аккредитации указанных органов на соответствие требованиям ИСО/МЭК 17021-1 в части проведения аудита и сертификации систем менеджмента информационной безопасности (СМИБ) по ИСО/МЭК 27001:2013, необходимо учитывать дополнительные требования и руководящие указания по применению ИСО/МЭК 17021-1. Данная информация представлена в настоящем стандарте.
Текст настоящего стандарта повторяет структуру ИСО/МЭК 17021-1, а дополнительные требования, характерные для СМИБ, и руководящие указания по применению ИСО/МЭК 17021-1 для сертификации СМИБ обозначаются аббревиатурой "ИБ".
Термин "должен" используется в тексте настоящего стандарта для указания тех условий, которые, отражая требования ИСО/МЭК 17021-1 и ИСО/МЭК 27001, являются обязательными. Термин "следует" используется для обозначения рекомендаций.
Цель настоящего стандарта - предоставление возможности для органов по аккредитации более эффективно применять стандарты, по которым они обязаны оценивать органы по сертификации.
Примечание - В настоящем стандарте термины "система менеджмента" и "система" используются, заменяя друг друга. Определение системы менеджмента представлено в ИСО/МЭК 9000:2005. Систему менеджмента, применяемую в настоящем стандарте, не следует путать с другими типами систем, такими как системы информационных технологий.
1 Область применения
Настоящий стандарт устанавливает требования и предоставляет руководство для органов, осуществляющих аудит и сертификацию системы менеджмента информационной безопасности (СМИБ), в дополнение к требованиям, содержащимся в ИСО/МЭК 17021-1 и ИСО/МЭК 27001. В первую очередь стандарт предназначен для аккредитации органов по сертификации, осуществляющих сертификацию СМИБ.
Любой орган, осуществляющий сертификацию СМИБ, должен соответствовать требованиям, содержащимся в настоящем стандарте, на основе компетентности и надежности аккредитованного лица, а содержащиеся в стандарте руководящие указания - обеспечивать дополнительную интерпретацию этих требований к органу, осуществляющему сертификацию СМИБ.
Примечание - Настоящий стандарт допускается использовать в качестве документа, содержащего критерии для аккредитации, экспертной оценки или других процессов аудита.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).
ISO/IEC 17021-1:2015, Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 1: Requirements (Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования)
ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и словарь)
ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements (Информационная технология. Методы обеспечения защиты. Системы обеспечения информационной безопасности. Требования)
3 Термины и определения
В настоящем стандарте применены термины по ИСО/МЭК 17021-1, ИСО/МЭК 27000, а также следующий термин с соответствующим определением:
3.1 документы по сертификации (certification documents): Документы, указывающие на то, что СМИБ организации-заказчика соответствует стандартам СМИБ и дополнительной документации, требуемой в соответствии с указанной системой.
4 Принципы
Применяют принципы ИСО/МЭК 17021-1, раздел 4.
5 Общие требования
5.1 Правовые и договорные вопросы
Применяют требования ИСО/МЭК 17021-1, подраздел 5.1.
5.2 Управление беспристрастностью
Применяют требования ИСО/МЭК 17021-1, подраздел 5.2. Кроме того, применяют следующие требования и руководящие указания, дополняющие требования ИСО/МЭК 17021-1 в части сертификации СМИБ.
5.2.1 ИБ 5.2 Конфликт интересов
Органы по сертификации могут выполнять следующие виды работ, при этом они не рассматриваются как консультанты или лица, имеющие потенциальный конфликт интересов:
a) организация и участие в качестве преподавателя в учебных курсах при условии, что если эти курсы связаны с менеджментом информационной безопасности, взаимосвязанными системами менеджмента или аудитом, то органы по сертификации должны ограничиваться предоставлением общей информации и рекомендаций, которые являются общедоступными, т.е. они не должны предоставлять рекомендации для конкретной компании, что противоречит требованиям перечисления b);
b) предоставление или публикация по запросу информации, описывающей толкование органом по сертификации требований стандартов по сертификационному аудиту (см. 9.1.3.6);
c) деятельность до аудита, направленная исключительно на определение готовности к сертификационному аудиту; однако подобная деятельность не должна приводить к предоставлению рекомендаций или консультаций, противоречащих данному пункту, и орган по сертификации должен иметь возможность подтвердить, что подобная деятельность не противоречит указанным требованиям и не используется для обоснования сокращения возможной продолжительности сертификационного аудита;
d) проведение аудитов второй и третьей сторонами в соответствии со стандартами или правилами, отличными от тех, которые входят в область аккредитации;
e) повышение значимости сертификационного аудита и инспекционного контроля, например путем определения возможностей для улучшения, которые становятся очевидными в ходе аудита, без рекомендаций относительно конкретных решений.
Орган по сертификации не должен проводить внутренние аудиты СМИБ организации-заказчика. Кроме того, орган по сертификации должен быть независимым от органа или органов (включая любых физических лиц), которые проводят внутренний аудит СМИБ.
5.3 Обязательства и финансирование
Применяют требования ИСО/МЭК 17021-1, пункт 5.3.
6 Требования к структуре
Применяют требования ИСО/МЭК 17021-1, раздел 6.
7 Требования к ресурсам
7.1 Компетентность персонала
Применяются требования ИСО/МЭК 17021-1, подраздел 7.1. Кроме того, применяются следующие требования и руководящие указания, дополняющие требования ИСО/МЭК 17021-1 в части сертификации СМИБ.
7.1.1 ИБ 7.1.1 Общие положения
7.1.1.1 Общие требования к компетентности
Орган по сертификации должен обеспечивать уверенность в том, что он обладает знанием технологических, правовых и нормативных вопросов, относящихся к СМИБ организации-заказчика, оценку которой он осуществляет.
Орган по сертификации должен определять требования к компетентности персонала для выполнения каждой функции по сертификации, указанной в таблице А.1 ИСО/МЭК 17021-1. Орган по сертификации должен учитывать все требования, указанные в ИСО/МЭК 17021-1 и пунктах 7.1.2 и 7.2.1 настоящего стандарта, относящиеся к техническим областям СМИБ, определенным органом по сертификации.
Примечание - Приложение А содержит краткое изложение требований к компетентности персонала, выполняющего определенные функции по сертификации.
7.1.2 ИБ 7.1.2 Определение критериев компетентности
7.1.2.1 Требования к компетентности для проведения аудита СМИБ
7.1.2.1.1 Общие требования
Орган по сертификации должен иметь критерии с целью оценивания предыдущего опыта, специальной подготовки или проводить инструктажи для участников аудиторской группы, обеспечивающие как минимум следующее:
a) знания в области информационной безопасности;
b) технические знания о деятельности, подлежащей аудиту;
c) знание систем менеджмента;
d) знание принципов аудита.
Примечание - Дополнительную информацию о принципах аудита см. в [1];
e) знание мониторинга, измерения, анализа и оценки СМИБ.
Примечание - Указанные выше требования перечислений a)-e) применимы ко всем аудиторам - участникам аудиторских групп, за исключением перечисления b), обязанности по которому аудиторы - участники аудиторской группы могут разделить между собой.
Аудиторская группа должна быть компетентной и уметь отслеживать индикаторы инцидентов информационной безопасности в СМИБ организации-заказчика вплоть до соответствующих отдельных элементов СМИБ.
Аудиторская группа должна иметь соответствующий опыт работы по указанным выше перечислениям и навыки практического применения этих элементов (это не означает, что аудитору необходимо владеть полным диапазоном навыков и опыта по всем направлениям информационной безопасности, но в целом вся аудиторская группа должна иметь достаточно знаний и опыта для того, чтобы охватить область проверки СМИБ).
7.1.2.1.2 Терминология, принципы, практические методики и средства менеджмента информационной безопасности
В совокупности все участники аудиторской группы должны знать:
a) структуру документации СМИБ, иерархию и взаимоотношения в системе;
b) инструменты менеджмента информационной безопасности, средства и методику их применения;
c) подходы к оценке рисков информационной безопасности и управление рисками;
d) процессы, применимые к СМИБ;
e) существующие технологии, где информационная безопасность может иметь особое значение или может вызывать проблемы.
Каждый аудитор должен быть компетентным по перечислениям a), c) и d).
7.1.2.1.3 Стандарты и нормативные правовые акты системы менеджмента информационной безопасности
Аудиторы, участвующие в процессе аудита СМИБ, должны знать:
a) все требования, содержащиеся в ИСО/МЭК 27001.
В совокупности все участники аудиторской группы должны знать:
b) все меры обеспечения, содержащиеся в ИСО/МЭК 27002 (а если это определено, при необходимости, также из отраслевых стандартов), и их применение в следующей классификации:
1) политики информационной безопасности;
2) организация информационной безопасности;
3) кадровая безопасность;
4) управление активами;
5) контроль доступа, включая авторизацию;
6) криптография;
7) физическая защита и защита от воздействия окружающей среды;
8) производственная безопасность, включая услуги ИТ-сервисов;
9) безопасность коммуникаций, включая менеджмент безопасности информационных сетей и передачи информации;
10) процессы приобретения систем, их развития и технического обслуживания;
11) взаимоотношения с поставщиками, включая услуги сторонних организаций;
12) управление инцидентами информационной безопасности;
13) аспекты информационной безопасности менеджмента устойчивого развития бизнеса, включая резервирование систем;
14) соблюдение требований, включая проверку соблюдения информационной безопасности.
7.1.2.1.4 Практики менеджмента бизнеса
Аудиторы, участвующие в аудите СМИБ, должны знать:
a) передовые отраслевые методики и процедуры по обеспечению информационной безопасности;
b) политики и бизнес-требования к информационной безопасности;
c) общие концепции менеджмента бизнеса, практические методики и взаимоотношения между политикой, целями и результатами;
d) процессы менеджмента и соответствующую терминологию.
Примечание - К указанным процессам также относятся управление персоналом, внешний и внутренний обмен информацией и другие соответствующие вспомогательные процессы.
7.1.2.1.5 Сектор бизнеса организаций-заказчиков
Аудиторы, участвующие в аудите СМИБ, должны знать:
a) правовые и нормативные требования в конкретной области информационной безопасности, а также особенности географического расположения и юрисдикции.
Примечание - Знание правовых и нормативных требований не предполагает наличия углубленной правовой базы;
b) риски информационной безопасности, относящиеся к указанному бизнес-сектору;
c) общую терминологию, процессы и технологии, относящиеся к бизнес-сектору организации-заказчика;
d) соответствующие практические методики указанного бизнес-сектора.
Задачи в рамках перечисления а) аудиторы могут разделить между собой.
7.1.2.1.6 Продукция, процессы и структура организации-заказчика
В совокупности аудиторы, участвующие в аудите СМИБ, должны знать:
a) влияние типа, размера, системы управления, структуры, функций и их взаимоотношений на разработку и внедрение СМИБ, а также деятельность по сертификации, включая услуги сторонних лиц;
b) совокупность видов производственной деятельности в широкой перспективе;
c) правовые и нормативные требования, применимые к продукции или услугам.
7.1.2.2 Требования к компетентности руководителя аудиторской группы СМИБ
В дополнение к требованиям 7.1.2.1 руководители аудиторских групп должны отвечать следующим требованиям, которые должны быть продемонстрированы во время аудитов, проводимых под соответствующим руководством и контролем:
a) знания и навыки для управления процессом сертификационного аудита и аудиторской группой;
b) демонстрация способности к эффективной коммуникации, как устной, так и письменной.
7.1.2.3 Требования к компетентности персонала, отвечающего за рассмотрение заявки
7.1.2.3.1 Стандарты и нормативные документы системы менеджмента информационной безопасности
Персонал, проводящий рассмотрение заявки для определения необходимой компетентной аудиторской группы, выбора участников аудиторской группы и определения общей продолжительности/трудоемкости аудита, должен знать:
a) соответствующие стандарты СМИБ и другие нормативные документы, используемые в процессе сертификации.
7.1.2.3.2 Бизнес-сектор организации-заказчика
Персонал, проводящий рассмотрение заявки для определения необходимой компетентности аудиторской группы, выбора участников аудиторской группы и определения общей продолжительности/трудоемкости аудита, должен знать:
a) общую терминологию, процессы, технологию и риски, относящиеся к бизнес-сектору организации-заказчика.
7.1.2.3.3 Продукция, процессы и структура организации-заказчика
Персонал, проводящий рассмотрение заявки для определения необходимой компетентной аудиторской группы, выбора участников аудиторской группы и определения общей продолжительности/трудоемкости аудита, должен знать:
a) продукцию организации-заказчика, ее процессы, типы ее организации, размер, систему управления, структуру, функции и взаимоотношения при разработке и внедрении СМИБ и деятельности по сертификации, включая функции привлечения сторонних организаций.
7.1.2.4 Требования к компетентности персонала, отвечающего за анализ аудиторских отчетов и принятие решений по сертификации
7.1.2.4.1 Общие требования
Персонал, выполняющий анализ аудиторских отчетов и принимающий решения о сертификации, должен обладать знаниями, позволяющими им осуществлять проверку соответствия области сертификации, а также изменений в этой области и влияния указанных изменений на эффективность аудита, в частности на непрерывность процесса выявления взаимосвязей и взаимозависимостей, а также соответствующих рисков.
Кроме того, персонал, выполняющий анализ аудиторских отчетов и принимающий решения о сертификации, должен знать:
a) общие основы систем менеджмента в целом;
b) процессы и процедуры аудита;
c) принципы, практики и технологии аудита.
7.1.2.4.2 Терминология, принципы, практики и технологии менеджмента информационной безопасности
Персонал, выполняющий анализ аудиторских отчетов и принимающий решения о сертификации, должен знать:
a) информацию, приведенную в 7.1.2.1.2, перечисления a), c) и d);
b) правовые и нормативные требования, относящиеся к информационной безопасности.
7.1.2.4.3 Стандарты и нормативные документы системы менеджмента информационной безопасности
Персонал, выполняющий анализ аудиторских отчетов и принимающий решения о сертификации, должен знать:
a) соответствующие стандарты СМИБ и другие нормативные документы, применяемые в процессе сертификации.
7.1.2.4.4 Бизнес-сектор организации-заказчика
Персонал, выполняющий анализ аудиторских отчетов и принимающий решения о сертификации, должен знать:
a) общую терминологию и риски, связанные с соответствующей практической деятельностью в бизнес-секторе.
7.1.2.4.5 Продукция, процессы и структура организации-заказчика
Персонал, выполняющий анализ аудиторских отчетов и принимающий решения о сертификации, должен знать:
a) продукцию организации-заказчика, процессы, тип и размер организации, систему управления, структуру, функции и их взаимоотношения.
7.2 Персонал, участвующий в деятельности по сертификации
Применяют требования ИСО/МЭК 17021-1, подраздел 7.2. Кроме того, применяют следующие требования и руководящие указания, дополняющие требования ИСО/МЭК 17021-1 в части сертификации СМИБ.
7.2.1 ИБ 7.2 Демонстрация знаний и опыта аудитора
Орган по сертификации должен продемонстрировать наличие у аудиторов знаний и опыта посредством:
a) признанных квалификаций, относящихся к СМИБ;
b) регистрации (сертификации) их в качестве аудиторов, где это применимо;
c) участия в учебных курсах СМИБ и получения соответствующих подтверждающих документов;
d) ведения записей о повышении уровня профессиональной квалификации;
e) участия в аудитах СМИБ, засвидетельствованных другим аудитором СМИБ.
7.2.1.1 Выбор аудиторов
В дополнение к положениям 7.1.2.1 критерии отбора аудиторов должны гарантировать, что каждый аудитор:
a) имеет профессиональное образование или прошел подготовку до уровня, эквивалентного высшему образованию;
b) имеет не менее четырех лет опыта практической работы в штатной должности в области информационной технологии, из которых не менее двух лет в роли или функции, относящейся к информационной безопасности;
c) успешно прошел по крайней мере пять дней обучения, объем которого охватывает аудиты СМИБ и управление аудитом;
|
|
d) приобрел опыт аудита СМИБ, прежде чем выступать в качестве аудитора в аудите СМИБ. Указанный опыт должен быть приобретен путем проведения в качестве обучающегося аудитора под наблюдением оценщика СМИБ (см. ИСО/МЭК 17021-1:2015, подпункт 9.2.2.1.4) по меньшей мере одного первоначального сертификационного аудита СМИБ (первого и второго этапов) или аудита по ресертификации и как минимум одного инспекционного контроля. Этот опыт должен быть приобретен не менее чем в течение 10 дней проведения аудита СМИБ на месте и выполнен в течение последних 5 лет. Участие должно включать в себя анализ документации и оценку рисков, оценку внедрения и аудиторскую отчетность; |
|
(Amd.1:2020)
e) имеет соответствующий опыт практической работы;
f) постоянно актуализирует свои знания и навыки в области информационной безопасности и проведении аудитов посредством непрерывного профессионального развития;
|
|
g) обладает компетенцией в области аудита СМИБ в соответствии с ИСО/МЭК 27001. |
|
(Amd.1:2020)
Технические эксперты должны отвечать требованиям критериев, приведенных в перечислениях a), b) и e).
7.2.1.2 Выбор аудиторов на роль руководителя группы
В дополнение к положениям 7.1.2.2 и 7.2.1.1 критерии отбора аудитора на роль руководителя аудиторской группы должны гарантировать, что аудитор:
а) активно принимал участие на всех этапах не менее трех аудитов СМИБ. Участие должно включать в себя первоначальную оценку и планирование, анализ документации и оценку рисков, оценку практического внедрения и официальную отчетность по проведенному аудиту.
7.3 Привлечение внешних аудиторов и технических экспертов
Применяют требования ИСО/МЭК 17021-1, подраздел 7.3. Кроме того, применяются следующие требования и руководящие указания, дополняющие требования ИСО/МЭК 17021-1 в части сертификации СМИБ.
7.3.3 ИБ 7.3 Включение внешних аудиторов или технических экспертов в состав аудиторской группы
Технические эксперты должны работать под контролем аудитора. Минимальные требования к техническим экспертам приведены в 7.2.1.1.
7.4 Записи данных о персонале
Применяют требования ИСО/МЭК 17021-1, подраздел 7.4.
7.5 Аутсорсинг
Применяют требования ИСО/МЭК 17021-1, подраздел 7.5.
8 Требования к информации
8.1 Общедоступная информация
Применяются требования ИСО/МЭК 17021-1, подраздел 8.1.
8.2 Документы по сертификации
Применяются требования ИСО/МЭК 17021-1, подраздел 8.2. Кроме того, применяются следующие требования и руководящие указания.
8.2.1 ИБ 8.2 Документы по сертификации СМИБ
Документы по сертификации должны быть подписаны должностным лицом, которому предоставлены соответствующие полномочия. Версия ведомости применимости мер обеспечения информационной безопасности должна быть включена в комплект документации по сертификации.
Примечание - Изменение ведомости применимости мер обеспечения информационной безопасности, которое не изменяет меры обеспечения в области сертификации, не требует внесения изменений в сертификат соответствия.
|
|
В документах по сертификации допускаются ссылки на национальные и международные стандарты в качестве источника(ов) контрольного набора мер обеспечения, которые определены как необходимые в ведомости применимости мер обеспечения информационной безопасности организации в соответствии с ИСО/МЭК 27001:2013, пункт 6.1.3 d). Ссылка на документы по сертификации должна быть четко указана только как источник контрольного набора мер обеспечения, применяемых в ведомости применимости мер обеспечения информационной безопасности. |
|
(Amd.1:2020)
8.3 Ссылка на сертификацию и использование знаков
Применяют требования ИСО/МЭК 17021-1, подраздел 8.3.
8.4 Конфиденциальность
Применяют требования ИСО/МЭК 17021-1, подраздел 8.4. Кроме того, применяют следующие требования и руководящие указания.
8.4.1 ИБ 8.4 Доступ к записям организации
Перед проведением сертификационного аудита орган по сертификации должен попросить организацию-заказчика сообщить, если какая-либо связанная с СМИБ информация (такая как записи СМИБ или информация относительно структуры, состава и эффективности мер обеспечения) не может быть представлена для проверки аудиторской группой, поскольку она содержит конфиденциальную или секретную информацию. Орган по сертификации должен определить, можно ли провести аудит СМИБ должным образом в отсутствие такой информации. Если орган по сертификации приходит к выводу, что невозможно провести аудит СМИБ должным образом без проверки выявленной конфиденциальной или секретной информации, он должен сообщить организации-заказчику, что сертификационный аудит не может быть проведен до тех пор, пока не будут предоставлены соответствующие механизмы доступа.
8.5 Обмен информацией между органом по сертификации и его заказчиками
Применяют требования ИСО/МЭК 17021-1, подраздел 8.5.
9 Технологические требования
9.1 Предсертификационная деятельность
9.1.1 Заявка
Применяют требования ИСО/МЭК 17021-1, пункт 9.1.1. Кроме того, применяют следующие требования и руководящие указания.
9.1.1.1 ИБ 9.1.1 Готовность заявки
Орган по сертификации должен затребовать у организации-заказчика документы, подтверждающие наличие внедренной СМИБ, соответствующей требованиям ИСО/МЭК 27001, и других документов, необходимых для сертификации.
9.1.2 Анализ заявки
Применяют требования ИСО/МЭК 17021-1, пункт 9.1.2.
9.1.3 Программа аудита
Применяют требования ИСО/МЭК 17021-1, пункт 9.1.3. Кроме того, применяют следующие требования и руководящие указания.
9.1.3.1 ИБ 9.1.3 Общие требования
Программа аудита СМИБ должна учитывать определенные меры обеспечения информационной безопасности.
9.1.3.2 ИБ 9.1.3 Методология аудита
Процедуры органа по сертификации не должны предусматривать конкретные методы внедрения СМИБ или конкретный формат ведения документации или записей. Процедуры сертификации должны быть направлены на установление факта соответствия СМИБ организации-заказчика требованиям, указанным в ИСО/МЭК 27001, а также политикам и целям организации-заказчика.
Примечание - Более подробные руководящие указания по проведению аудита приведены в [2].
9.1.3.3 ИБ 9.1.3 Общая подготовка к первоначальному аудиту
Орган по сертификации должен потребовать от организации-заказчика предоставления доступа к отчетам по результатам внутренних аудитов и отчетам о независимых проверках информационной безопасности.
На первом этапе сертификационного аудита организация-заказчик должна предоставить как минимум следующую информацию:
a) общую информация о СМИБ и перечень видов деятельности, которые она охватывает;
b) копии необходимой документации СМИБ, указанной в ИСО/МЭК 27001, и при необходимости сопутствующую документацию.
9.1.3.4 ИБ 9.1.3 Периодичность проверок
Орган по сертификации не должен сертифицировать СМИБ, если не был проведен по крайней мере один анализ со стороны руководства и один внутренний аудит СМИБ, охватывающий область сертификации.
9.1.3.5 ИБ 9.1.3 Область сертификации
Аудиторская группа должна провести аудит СМИБ организации-заказчика в объеме, охватываемом областью сертификации, в соответствии со всеми применимыми для сертификации требованиями. Орган по сертификации должен подтвердить, что СМИБ организации-заказчика распространяется на его деятельность и соответствует требованиям, изложенным в ИСО/МЭК 27001, подраздел 4.3.
Органы по сертификации должны установить, что оценка и управление рисками информационной безопасности организации-заказчика надлежащим образом применяются в рамках указанной деятельности согласно заявленной области сертификации. Органы по сертификации должны подтвердить, что это отражено в области действия СМИБ организаций-заказчиков и в ведомости применимости мер обеспечения информационной безопасности. Орган по сертификации должен удостовериться, что на каждую область сертификации имеется как минимум одна ведомость применимости мер обеспечения информационной безопасности.
Органы по сертификации должны убедиться, что область взаимодействия с услугами или видами деятельности, которые не полностью включены в область действия СМИБ, также находят свое отражение в СМИБ, на которую распространяется сертификация, и включены в систему оценки рисков информационной безопасности организации-заказчика. Примером такого положения может быть совместное использование технических средств (например, ИТ-системы, базы данных и телекоммуникационные системы или аутсорсинг бизнес-функций) с другими организациями.
9.1.3.6 ИБ 9.1.3 Критерии сертификационного аудита
Критерии, на основании которых проводится аудит СМИБ организации-заказчика, должны соответствовать ИСО/МЭК 27001. Для сертификации, в зависимости от видов деятельности, могут потребоваться и другие документы.
9.1.4 Определение общей продолжительности/трудоемкости аудита
Применяют требования ИСО/МЭК 17021-1, пункт 9.1.4. Кроме того, применяют следующие требования и руководящие указания.
9.1.4.1 ИБ 9.1.4 Общая продолжительность/трудоемкость аудита
Органы по сертификации должны предоставлять аудиторам достаточное время для проведения всех мероприятий, связанных с первоначальным аудитом, инспекционным контролем и ресертификационным аудитом. При расчете общей продолжительности/трудоемкости аудита в нее должно быть включено время на подготовку акта по результатам аудита.
Для определения общей продолжительности/трудоемкости аудита органы по сертификации должны применять положения приложения В.
Примечание - Более подробные практические указания и примеры расчета общей продолжительности/трудоемкости аудита приведены в приложении С.
9.1.5 Выборочные проверки объектов (площадок)
Применяют требования ИСО/МЭК 17021-1, пункт 9.1.5. Кроме того, применяют следующие требования и руководящие указания.
9.1.5.1 ИБ 9.1.5 Несколько объектов (площадок)
9.1.5.1.1 Если организация-заказчик имеет несколько объектов, отвечающих критериям перечислений a)-c), органы по сертификации могут использовать подход к сертификационному аудиту нескольких объектов, основанный на их выборочной проверке:
a) все объекты (площадки) работают в рамках одной и той же СМИБ, которая администрируется и управляется централизованно и подлежит анализу со стороны центрального руководства;
b) все объекты (площадки) включены в программу внутреннего аудита СМИБ организации-заказчика;
c) все объекты (площадки) включены в программу анализа со стороны руководства СМИБ организации-заказчика.
9.1.5.1.2 Орган по сертификации, предполагающий использовать подход, основанный на выборочной проверке, должен иметь действующие процедуры, обеспечивающие следующее:
a) при заключении договора на сертификацию с организацией-заказчиком выявляется, насколько это возможно, разница между объектами (площадками), чтобы можно было определить адекватный уровень выборки;
b) репрезентативное количество объектов (площадок) отобрано органом по сертификации с учетом:
1) результатов внутренних аудитов центрального офиса и на объектах (площадках);
2) результатов анализа со стороны руководства центрального офиса и на объектах (площадках);
3) различий в размерах объектов (площадок);
4) различий бизнес-целей объектов;
5) сложности информационных систем на различных объектах;
6) различий в методах работы;
7) различий в видах деятельности;
8) различий в конструкции и работе мер обеспечения;
9) потенциального взаимодействия с критическими информационными системами или информационными системами, обрабатывающими конфиденциальную информацию;
10) любых отличающихся правовых требований;
11) географических и культурных аспектов;
12) рисковых ситуаций на объектах;
13) инцидентов информационной безопасности на конкретных объектах;
c) репрезентативная выборка осуществляется из всех объектов в рамках СМИБ организации-заказчика; этот выбор должен основываться на экспертном мнении с целью отражения факторов, представленных в перечислении b), а также учета элемента случайности;
d) каждый включенный в СМИБ объект, который подвержен значительным рискам, проверяется органом по сертификации до проведения сертификации;
e) программа аудита должна быть разработана с учетом вышеуказанных требований и охватывать проверку всех объектов (площадок), входящих в область распространения СМИБ, и репрезентативных объектов (площадок) в течение трехлетнего периода;
f) в случае обнаружения несоответствия либо в центральном офисе, либо на одном объекте (площадке), процедура корректирующих действий применяется к центральному офису и всем объектам, на которые распространяется действие сертификата.
Аудит должен охватывать деятельность центрального офиса организации-заказчика, чтобы гарантировать, что единая СМИБ применяется ко всем объектам (площадкам) и обеспечивает централизованное управление на оперативном уровне. Аудит должен учитывать все указанные выше вопросы.
9.1.6 Множественные системы управления
Применяют требования ИСО/МЭК 17021-1, пункт 9.1.6. Кроме того, применяют следующие требования и руководящие указания.
9.1.6.1 ИБ 9.1.6 Интеграция документации СМИБ с документацией других систем менеджмента
Орган по сертификации может принять документацию, которая объединена с другими системами менеджмента (например, для обеспечения информационной безопасности, качества, здоровья и безопасности окружающей среды), при условии, что СМИБ четко идентифицирована и надлежащим образом показаны ее связи и взаимодействие с другими системами.
9.1.6.2 ИБ 9.1.6 Комплексные аудиты систем менеджмента
Аудит СМИБ может быть совмещен с аудитами других систем менеджмента при условии, что есть возможность продемонстрировать, что такой аудит отвечает всем требованиям сертификации СМИБ. Все элементы, имеющие значение для СМИБ, должны быть четко обозначены и легко идентифицироваться в отчетах по проведенным аудитам. На качество аудита не должно отрицательно влиять совмещение аудитов различных систем менеджмента.
9.2 Планирование аудитов
9.2.1 Определение целей, области и критериев аудита
Применяют требования ИСО/МЭК 17021-1, пункт 9.2.1. Кроме того, применяют следующие требования и руководящие указания.
9.2.1.1 ИБ 9.2.1 Цели аудита
Цели аудита должны включать в себя определение результативности системы менеджмента, гарантирующей, что на основании оценки рисков организация-заказчик реализовала применимые меры обеспечения и достигла поставленных целей обеспечения информационной безопасности.
9.2.2 Отбор участников аудиторской группы и закрепление за ними соответствующих обязанностей
Применяют требования ИСО/МЭК 17021-1, пункт 9.2.2. Кроме того, применяют следующие требования и руководящие указания.
9.2.2.1 ИБ 9.2.2 Аудиторская группа
Аудиторская группа должна быть официально назначена и обеспечена соответствующими рабочими документами. Предписание, выданное аудиторской группе, должно иметь четкую формулировку и должно быть доведено до сведения организации-заказчика. Аудиторская группа может состоять из одного человека при условии, что такой специалист соответствует всем критериям 7.1.2.1.
9.2.2.2 ИБ 9.2.2 Компетентность аудиторской группы
Применяют требования 7.1.2. Для работ в рамках инспекционного контроля и специального аудита применяют только те требования, которые имеют отношение к плановому инспекционному контролю или специальному аудиту.
При выборе и управлении аудиторской группой, которая назначается для проведения конкретного сертификационного аудита, орган по сертификации должен гарантировать, что все участники аудиторской группы обладают соответствующими компетенциями. Группа должна:
a) иметь надлежащие технические знания особенностей деятельности в рамках СМИБ, представленной на сертификацию, и, при необходимости, связанных процедур и их потенциальных рисков информационной безопасности (эту функцию могут выполнять технические специалисты);
Для получения доступа к полной версии без ограничений вы можете выбрать подходящий тариф или активировать демо-доступ.