ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011
определения, реализованы ли мера и средство контроля и управления, нет ли в них очевидных оши
бок. возросло ли основание для уверенности в том. что мера и средство контроля и управления реа
лизованы правильно и на постоянной и непротиворечивой основе функционируют, как предназнача
лось. а также что обеспечивается поддержка постоянного совершенствования эффективности меры и
средства контроля и управления.
7.3.3 Атрибут «охвата»
Атрибут «охвата» рассматривает объем или широту процесса опроса и затрагивает типы лиц,
подлежащих опросу (по их роли и соответствующим обязанностям в организации), число лиц. подле
жащих опросу (по типу), и конкретных лиц. подлежащих опросу.
7.3.3.1 Репрезентативный опрос
Репрезентативный (выборочный) опрос - опрос выбранной группы лиц с ключевыми ролями в
организации для обеспечения уровня охвата, необходимого для определения, реализованы ли мера и
средство контроля и управления и нет ли в них очевидных ошибок.
7.3.3.2 Специальный опрос
Специальный опрос - опрос выбранной группы лиц с ключевыми ролями в организации и других
конкретных лиц. сочтенных особенно важными для достижения цели проверки, чтобы обеспечить
уровень охвата, необходимый для определения, реализованы ли мера и средство контроля и управ
ления, нет ли в них очевидных ошибок и возросло ли основание для уверенности в том, что мера и
средство контроля и управления реализованы правильно и функционируют, как предназначалось.
7.3.3.3 Всесторонний опрос
Всесторонний опрос - опрос достаточно большой выбранной группы лиц с ключевыми ролями в
организации и других конкретных лиц. сочтенных особенно важными для достижения цели проверки,
чтобы обеспечить уровень охвата, необходимый для определения, реализованы ли мера и средство
контроля и управления, нет ли в них очевидных ошибок, возросло ли основание для уверенности в том,
что мера и средство контроля и управления реализованы правильно и на постоянной и непроти
воречивой основе функционируют, как предназначалось, а также что обеспечивается поддержка по
стоянного совершенствования эффективности меры и средства контроля и управления.
7.4 Метод проверки: тестирование
7.4.1 Общая информация
Тестирование - процесс испытания одного или нескольких объектов проверки при определен
ных условиях, который проводится для сравнения реального поведения с ожидаемым. Результаты
используются для поддержки решения о наличии, эффективности, функциональных возможностях,
правильности, полноте мер и средств контроля и управления и возможности их совершенствования с
течением времени. Тестирование должно выполняться с особой тщательностью компетентными
спе циалистами. и до начала тестирования руководством должно быть рассмотрено и утверждено
воз можное влияние тестирования на функционирование организации. При этом должны
учитываться также варианты проведения тестирования в нерабочие периоды времени, в условиях
низкой загру женности или даже в хорошо воспроизведенной тестовой среде. Сбои или
недоступность систем из-за тестирования могут оказывать существенное влияние на обычные
операции бизнеса организации. Это может приводить к нежелательным финансовым последствиям и
к влиянию на репутацию орга низации. поэтому при планировании тестирования и его надлежащем
договорном оформлении (вклю чая рассмотрение правовых аспектов) следует соблюдать особую
тщательность.
Ошибочные результаты тестирования, как положительные, так и отрицательные, должны тща
тельно изучаться аудитором, проводящим проверку мер и средств контроля и управления информа
ционной безопасностью, прежде чем делать какие-либо умозаключения.
К типичным объектам проверки относятся механизмы (например, аппаратные, программные,
программно-аппаратные средства) и процессы (например, операции, администрирование, управле
ние системами; испытания).
Типичные действия аудитора, проводящего проверку мер и средств контроля и управления ин
формационной безопасностью;
тестирование механизмов управления доступом, идентификации, аутентификации и ана
лиза этих механизмов;
тестирование конфигурационных установочных параметров безопасности;
тестирование устройства физического управления доступом;
тестирование на проникновение для ключевых компонентов информационных систем;
тестирование операций резервного копирования информационных систем;
тестирование способности реагирования на инциденты;
практическая проверка способности планирования действий в чрезвычайных ситуациях;
тестирование реагирования систем безопасности, способных обнаруживать вторжения,
подавать сигналы тревоги и осуществлять реагирование;
9