AJDocs
Хорошие продукты и сервисы
Наш Поиск (введите запрос без опечаток)
Наш Поиск по гостам (введите запрос без опечаток)
Поиск
Поиск
Бизнес гороскоп на текущую неделю c 22.12.2025 по 28.12.2025
Открыть гороскоп на неделю
Открыть шифр замка из трёх цифр с ограничениями
Открыть игру, играйте в нерабочее время :)

ГОСТ Р 56045-2014; Страница 19

или поделиться
Ещё ГОСТы из 41757, используйте поиск в верху страницы ГОСТ Р 56100-2014 Реабилитация инвалидов. Система информационного обеспечения реабилитационных учреждений (Настоящий стандарт устанавливает требования к системе информационного обеспечения реабилитационных учреждений, ее структуре и функциям, автоматизированным рабочим местам, внедрению. Настоящий стандарт предназначен для применения разработчиками и пользователями систем информационного обеспечения реабилитационных учреждений, федеральными органами исполнительной власти, субъектами хозяйственной деятельности, техническими комитетами по стандартизации, общественными объединениями и заинтересованными лицами) ГОСТ Р ИСО/МЭК 27007-2014 Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности (Настоящий стандарт в дополнении к указаниям, содержащимся в ИСО 19011, предоставляет руководство по менеджменту программы аудита системы менеджмента информационной безопасности, по проведению аудитов и по определению компетентности аудиторов системы менеджмента информационной безопасности. Настоящий стандарт применим для тех организаций, которые нуждаются в понимании или проведении внутренних или внешних аудитов системы менеджмента информационной безопасности или осуществлении менеджмента программы аудита системы менеджмента информационной безопасности) ГОСТ Р ИСО/МЭК 27034-1-2014 Информационная технология. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия (ИСО/МЭК 27034 предоставляет организациям руководство, содействующее интеграции безопасности в процессы, используемые для менеджмента приложений. Данная часть ИСО/МЭК 27034 содержит общий обзор безопасности приложений, а также определения, понятия, принципы и процессы, касающиеся обеспечения безопасности приложений. ИСО/МЭК 27034 применим для приложений, разработанных в рамках организации, или приобретенных у третьей стороны, а также в случаях аутсорсинга разработки или эксплуатации приложений)
Страница 19
Страница 1 Untitled document
ГОСТ Р 560452014/ISO/IEC TR 27008:2011
вторное использование результатов ранее признанных или утвержденных проверок информационных
систем должно рассматриваться в рамках совокупности свидетельств для определения общей эф
фективности мер и средств контроля и управления.
При рассмотрении вопроса о повторном использовании результатов предыдущих проверок и
ценности этих результатов для текущей проверки аудиторы, проводящие проверку мер и средств кон
троля и управления информационной безопасностью, должны определить:
достоверность свидетельств:
пригодность предыдущего анализа;
применимость свидетельств при текущем состоянии информационных активов.
В определенных ситуациях бывает необходимо дополнить результаты предыдущей проверки,
рассматриваемые на предмет их повторного использования, дополнительными мероприятиями про
верки. для полного удовлетворения целей проверки. Например, если при независимом проводимом
третьей стороной оценивании продукта информационной технологии не проводилось тестирования
применительно к конкретной настройке параметров конфигурации, которая применяется организаци ей
в информационной системе, аудитору, проводящему проверку мер и средств контроля и управле ния
информационной безопасностью, может потребоваться дополнить первоначальные результаты
тестирования. Для этого необходимо дополнительное тестирование, которое охватит данную на
стройку параметров конфигурации для текущей среды информационной системы.
Информация последующих подразделов должна приниматься во внимание при рассмотрении
результатов предыдущих проверок на предмет их повторного использования при текущей проверке.
8.2.5.2 Меняющиеся условия
Меры и средства контроля и управления, сочтенные эффективными во время предыдущих про
верок, могут стать неэффективными в результате изменившихся условий, связанных с информацион
ными активами или окружающей средой. Соответственно результаты проверки, признанные ранее
приемлемыми, могут больше не давать достоверных свидетельств для определения эффективности
мер и средств контроля и управления, и потребуется новая проверка. Применение результатов пре
дыдущей проверки в ходе текущей проверки требует определения любых изменений, произошедших
со времени предыдущей проверки, и влияния этих изменений на результаты предыдущей проверки.
Например, повторное использование результатов предыдущей проверки, включающей изучение по
литик и процедур обеспечения безопасности организации, может быть приемлемым, если определе
но, что никаких существенных изменений идентифицированных политик, процедур и среды риска не
произошло.
8.2.5.3 Допустимость использования результатов предыдущих проверок
Допустимость использования результатов предыдущих проверок при проверке мер и средств
контроля и управления должна координироваться и утверждаться лицами, использующими результа ты
проверки. Важно, чтобы владелец информационных активов сотрудничал с соответствующими
должностными лицами организации (например, с директором по информационным технологиям, от
ветственным за информационную безопасность, ответственными за целевую задачу или владельца
ми информации) при определении допустимости использования результатов предыдущих проверок.
Решение об использовании результатов предыдущих проверок должно документироваться в плане
проверки и окончательном отчете.
Проверки безопасности могут включать выводы предыдущих проверок безопасности, пока:
это специально разрешено в плане аудита;
у аудиторов, проводящих проверку мер и средств контроля и управления информационной
безопасности, существуют достаточные основания считать, что выводы остаются адекватными;
любые технологические или процедурные изменения в мерах и средствах контроля и
управления или процессах, к которым они применяются, адекватным образом учитываются при теку
щей проверке с точки зрения безопасности;
использование и любые потенциальные последствия менеджмента риска вследствие при
нятия предыдущих выводов аудита четко излагаются в отчете о результатах аудита.
8.2.5.4 Временные аспекты
С увеличением периода времени между текущей и предыдущими проверками достовер-
ность/полезность результатов предыдущих проверок уменьшается. Это связано в основном с тем. что
информационные активы или среда, в которой функционируют информационные активы, с большой
вероятностью изменяются с течением времени, возможно, делая недействительными исходные ус
ловия или предположения, на которых была основана предыдущая проверка.
8.2.6 Рабочее задание
Независимость аудитора, проводящего проверку мер и средств контроля и управления инфор
мационной безопасностью, может быть критическим фактором при некоторых видах проверок, осо
бенно для информационных активов со средним и высоким уровнями риска. Степень независимости
15
 © 2017-2025 AJDocs — Живые юридические документы
Мы не храним персональных и любых иных данных пользователей нашего сайта; советуем обращаться к юристам, экспертам и не несем ответственности за достоверность информации, опубликованной на сайте.
Мы в социальных сетях
Телеграм
Youtube
Rutube
ВКонтакте
ОК
Яндекс.Дзен
Электронная почта