ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011
7.2.2.5 Специальное изучение
Специальное изучение использует характерную выборку объектов проверки (по виду и числу в
пределах вида) и другие конкретные исследования объектов проверки, сочтенные особенно важными
для достижения цели проверки. Оно также обеспечивает уровень охвата, необходимый для опреде
ления, реализованы ли мера и средство контроля и управления, нет ли в них очевидных ошибок, и
возросло ли основание для уверенности в том. что мера и средство контроля и управления реализо
ваны правильно и функционируют, как предназначалось.
7.2 2.6 Всестороннее изучение
Всестороннее изучение, использует достаточно большую выборку объектов проверки (по виду и
числу в пределах вида) и другие конкретные исследования объектов проверки, сочтенные особенно
важными для достижения цели проверки, чтобы обеспечить уровень охвата, необходимый для опре
деления. реализованы ли мера и средство контроля и управления, нет ли в них очевидных ошибок,
возросло ли основание для уверенности в том. что мера и средство контроля и управления реализо
ваны правильно и функционируют, как предназначалось, на постоянной и непротиворечивой основе, а
также что обеспечивается поддержка постоянного совершенствования эффективности меры и
средства контроля и управления.
7.3 Мотод проверки: опрос
7.3.1 Общая информация
Опрос - процесс проведения бесед с лицами или группами лиц в рамках организации с целью
содействия пониманию, достижению ясности или указанию местонахождения свидетельств. Резуль
таты его должны использоваться для поддержки решения о существовании меры и средства контро ля
и управления безопасностью, функциональных возможностях, правильности, полноте мер и
средств контроля и управления и возможности их совершенствования с течением времени.
К объектам проверки обычно относятся отдельные лица или группы лиц.
Типичная деятельность аудитора, проводящего проверку меры и средства контроля и управле
ния информационной безопасностью, может включать опрос:
руководителей:
владельцев информационных активов и лиц. ответственных за целевую задачу;
служащих, отвечающих за информационную безопасность;
руководителей в сфере информационной безопасности;
сотрудников отдела кадров:
руководителей отдела кадров;
руководителей, отвечающих за оборудование;
служащих, отвечающих за обучение;
операторов информационных систем;
сетевых и системных администраторов;
*руководителей площадок;
служащих, обеспечивающих физическую защиту;
пользователей.
7.3.2 Атрибуты
7.3.2.1 Общий опрос
Общий опрос состоит из хорошо организованных бесед общего назначения с отдельными лица
ми или группами лиц. Этот вид опроса проводится с использованием совокупности обобщенных во
просов высокого уровня. Общие опросы обеспечивают уровень понимания меры и средства контроля
и управления безопасностью, необходимый для определения, реализованы ли мера и средство кон
троля и управления и нет ли в них очевидных ошибок.
7.3.2.2 Целевой опрос
В дополнение к необходимым элементам общего опроса, целевой опрос включает углубленное
обсуждение конкретных сфер с лицами или группами лиц. При этом виде опроса дополнительно ис
пользуются конкретные вопросы, касающиеся конкретных сфер, ответы на которые указывают на не
обходимость более глубокого исследования. Целевые опросы обеспечивают уровень понимания ме ры
и средства контроля и управления, необходимый для определения, реализованы ли мера и сред ство
контроля и управления, нет ли в них очевидных ошибок и возросло ли основание для уверенно сти в
том. что мера и средство контроля и управления реализованы правильно и функционируют, как
предназначалось.
7.3.2.3 Детальный опрос
В дополнение к необходимым целевым опросам, детальный опрос включает более глубокие
«зондирующие» вопросы в конкретных сферах, ответы на которые указывают на потребность в более
глубоком исследовании или, где это требуется, процедурах проверки. Детальные опросы обеспечи
вают уровень понимания меры и средства контроля и управления безопасностью, необходимый для
8