AJDocs
Хорошие продукты и сервисы
Наш Поиск (введите запрос без опечаток)
Наш Поиск по гостам (введите запрос без опечаток)
Поиск
Поиск
Бизнес гороскоп на текущую неделю c 22.12.2025 по 28.12.2025
Открыть гороскоп на неделю
Открыть шифр замка из трёх цифр с ограничениями
Открыть игру, играйте в нерабочее время :)

ГОСТ Р 56045-2014; Страница 17

или поделиться
Ещё ГОСТы из 41757, используйте поиск в верху страницы ГОСТ Р 56100-2014 Реабилитация инвалидов. Система информационного обеспечения реабилитационных учреждений (Настоящий стандарт устанавливает требования к системе информационного обеспечения реабилитационных учреждений, ее структуре и функциям, автоматизированным рабочим местам, внедрению. Настоящий стандарт предназначен для применения разработчиками и пользователями систем информационного обеспечения реабилитационных учреждений, федеральными органами исполнительной власти, субъектами хозяйственной деятельности, техническими комитетами по стандартизации, общественными объединениями и заинтересованными лицами) ГОСТ Р ИСО/МЭК 27007-2014 Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности (Настоящий стандарт в дополнении к указаниям, содержащимся в ИСО 19011, предоставляет руководство по менеджменту программы аудита системы менеджмента информационной безопасности, по проведению аудитов и по определению компетентности аудиторов системы менеджмента информационной безопасности. Настоящий стандарт применим для тех организаций, которые нуждаются в понимании или проведении внутренних или внешних аудитов системы менеджмента информационной безопасности или осуществлении менеджмента программы аудита системы менеджмента информационной безопасности) ГОСТ Р ИСО/МЭК 27034-1-2014 Информационная технология. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия (ИСО/МЭК 27034 предоставляет организациям руководство, содействующее интеграции безопасности в процессы, используемые для менеджмента приложений. Данная часть ИСО/МЭК 27034 содержит общий обзор безопасности приложений, а также определения, понятия, принципы и процессы, касающиеся обеспечения безопасности приложений. ИСО/МЭК 27034 применим для приложений, разработанных в рамках организации, или приобретенных у третьей стороны, а также в случаях аутсорсинга разработки или эксплуатации приложений)
Страница 17
Страница 1 Untitled document
ГОСТ Р 560452014/ISO/IEC TR 27008:2011
для реализации соответствующих политикам мер и средств контроля и управления. Аудитору, прово
дящему проверку мер и средств контроля и управления информационной безопасностью, также не
обходим доступ к политикам безопасности информационной системы и любым взаимосвязанным
процедурам реализации, к любым материалам, связанным с реализацией и функционированием мер и
средств контроля и управления (например, планам обеспечения безопасности, записям, графикам,
отчетам о результатах проверки, отчетам о последующих действиях, соглашениям, комплекту аккре
дитационных и лицензионных документов) и подлежащим проверке объектам.
Доступность необходимой документации, а также ведущего персонала организации и проверяе
мых информационных систем крайне важна для успешной проверки мер и средств контроля и управ
ления информационной безопасностью.
8.2 Разработка плана
8.2.1 Обзор
При разработке планов проверки аудиторы, осуществляющие проверку мер и средств контроля
и управления информационной безопасностью, должны определить вид проверки (например, полная
или частичная проверка) и то. какие меры и средства контроля и управления и/или средства, расши
ряющие их возможности, должны быть включены в проверку на основе цвлиУобласти проверки. Ауди
торы. проводящие проверку мер и средств контроля и управления информационной безопасностью,
должны оценить и снизить риск и влияние (где это возможно) проверки на обычное
функционирова ние организации и выбрать на основе мер и средств контроля и управления и
средств, расширяющих их возможности, необходимые процедуры проверки, которые необходимо
включить в проверку и в соответствующие атрибуты «глубины» и «охвата».
Аудиторы, проводящие проверку мер и средств контроля и управления информационной безо
пасностью, должны приспособить выбранные процедуры проверки к уровню риска информационной
системы и к реальной рабочей среде организации. При необходимости они также должны разрабо
тать дополнительные процедуры проверки, не рассматриваемые в данном документе, в отношении
мер и средств контроля и управления безопасностью, а также средств, расширяющих их возможно сти.
и обеспечить доверие к этим процедурам.
Должен быть разработан план, включающий этапы определения контекста, формирования ба
зового уровня ожидаемого поведения в рамках определенного контекста, спецификации тестироеа-
ния/оценивания и метод подтверждения достоверности выводов в контексте оценивания. План дол
жен включать разработку стратегии по применению расширенной процедуры проверки, если это не
обходимо. оптимизации процедур проверки для уменьшения дублирования работ и обеспечения эко
номически эффективных решений, относящихся к проверке. После этого аудиторы, проводящие про
верку мер и средств контроля и управления информационной безопасностью, должны окончательно
оформить план проверки и получить необходимые санкции на его выполнение.
8.2.2 Область
Документация должна содержать обзор требований безопасности информационных активов и
описывать имеющиеся или планируемые меры и средства контроля и управления для выполнения
этих требований. Аудитор, проводящий проверку мер и средств контроля и управления информаци
онной безопасностью, вначале изучает меры и средства контроля и управления, описанные в доку
ментации по обеспечению информационной безопасности, а затем - цель проверки. Проводиться
может полная проверка всех мер и средств контроля и управления информационной безопасностью в
организации или частичная проверка только тех мер и средств контроля и управления, которые обес
печивают защиту информационных активов (например, во время непрерывного мониторинга, где
подмножества мер и средств контроля и управления в информационных активах проверяются на по
стоянной основе). Для проведения частичных проверок владелец информационных активов работает
совместно с заинтересованными в проверке должностными лицами организации над определением
того, какие меры и средства контроля и управления должны проверяться. Выбор мер и средств кон
троля и управления зависит от установленного графика непрерывного мониторинга, пунктов плана
действий и соответствующих контрольных точек. Меры и средства контроля и управления, отличаю
щиеся большей изменчивостью, должны проверяться чаще.
8.2.3 Процедуры проверки
Процедура проверки состоит из совокупности целей проверки, каждая с соответствующим набо
ром потенциальных методов проверки и объектов проверки. Формулировки определений в целях
проверки тесно связаны с сущностью меры и средства контроля и управления (т. е. с функциональ
ными возможностями меры и средства контроля и управления). Это обеспечивает уверенность в про
слеживаемости результатов проверки вплоть до фундаментальных требований меры и средства кон
троля и управления. По результатам применения процедуры проверки к мере и средству контроля и
управления формируются выводы проверки. Эти выводы проверки впоследствии используются для
определения общей эффективности меры и средства контроля и управления. Объекты проверки
оп-
13
 © 2017-2025 AJDocs — Живые юридические документы
Мы не храним персональных и любых иных данных пользователей нашего сайта; советуем обращаться к юристам, экспертам и не несем ответственности за достоверность информации, опубликованной на сайте.
Мы в социальных сетях
Телеграм
Youtube
Rutube
ВКонтакте
ОК
Яндекс.Дзен
Электронная почта