AJDocs
Хорошие продукты и сервисы
Наш Поиск (введите запрос без опечаток)
Наш Поиск по гостам (введите запрос без опечаток)
Поиск
Поиск
Бизнес гороскоп на текущую неделю c 22.12.2025 по 28.12.2025
Открыть гороскоп на неделю
Открыть шифр замка из трёх цифр с ограничениями
Открыть игру, играйте в нерабочее время :)

ГОСТ Р 56045-2014; Страница 20

или поделиться
Ещё ГОСТы из 41757, используйте поиск в верху страницы ГОСТ Р 56100-2014 Реабилитация инвалидов. Система информационного обеспечения реабилитационных учреждений (Настоящий стандарт устанавливает требования к системе информационного обеспечения реабилитационных учреждений, ее структуре и функциям, автоматизированным рабочим местам, внедрению. Настоящий стандарт предназначен для применения разработчиками и пользователями систем информационного обеспечения реабилитационных учреждений, федеральными органами исполнительной власти, субъектами хозяйственной деятельности, техническими комитетами по стандартизации, общественными объединениями и заинтересованными лицами) ГОСТ Р ИСО/МЭК 27007-2014 Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности (Настоящий стандарт в дополнении к указаниям, содержащимся в ИСО 19011, предоставляет руководство по менеджменту программы аудита системы менеджмента информационной безопасности, по проведению аудитов и по определению компетентности аудиторов системы менеджмента информационной безопасности. Настоящий стандарт применим для тех организаций, которые нуждаются в понимании или проведении внутренних или внешних аудитов системы менеджмента информационной безопасности или осуществлении менеджмента программы аудита системы менеджмента информационной безопасности) ГОСТ Р ИСО/МЭК 27034-1-2014 Информационная технология. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия (ИСО/МЭК 27034 предоставляет организациям руководство, содействующее интеграции безопасности в процессы, используемые для менеджмента приложений. Данная часть ИСО/МЭК 27034 содержит общий обзор безопасности приложений, а также определения, понятия, принципы и процессы, касающиеся обеспечения безопасности приложений. ИСО/МЭК 27034 применим для приложений, разработанных в рамках организации, или приобретенных у третьей стороны, а также в случаях аутсорсинга разработки или эксплуатации приложений)
Страница 20
Страница 1 Untitled document
ГОСТ Р 560452014/ISO/IEC TR 27008:2011
аудитора, требуемая при проверке, должна быть постоянной. Например, неуместно повторно исполь
зовать результаты предыдущих самооценок, в которых не требовалась независимость аудитора, про
водящего проверку мер и средств контроля и управления информационной безопасностью, при теку
щей проверке, требующей большей степени независимости.
8.2.7 Внешние системы
Представленные в приложении А методы и процедуры проверки должны быть соответствующим
образом скорректированы для выполнения проверки внешних информационных систем. Поскольку
организация не всегда имеет возможность проведения непосредственного контроля мер и средств
контроля и управления безопасностью, используемых во внешних информационных системах, или
достаточного визуального контроля разработки, реализации и проверки этих мер и средств контроля и
управления, то может потребоваться применение альтернативных подходов к проверке. Это может
приводить к необходимости адаптации процедур проверки, описанных в приложении А. При необхо
димости согласованные меры и средства контроля и управления информационной системы докумен
тируются в договорах или соглашениях об уровне услуг. Аудитор, проводящий проверку мер и
средств контроля и управления информационной безопасностью, должен проверять эти договоры
или соглашения и в соответствующих случаях либо адаптировать процедуры для проверки мер и
средств контроля и управления, представленных по этим соглашениям, либо результаты проверки
мер и средств контроля и управления предоставлять через соглашения. Кроме того, аудиторы, про
водящие проверку мер и средств контроля и управления информационной безопасностью, должны
учитывать информацию, полученную при любых проверках, проведенных или находящихся в процес се
проведения организациями, эксплуатирующими внешние информационные системы, которые
имеют отношение к защищаемым информационным активам на основании проводимой проверки.
Соответствующая информация, полученная в результате этих проверок, если она будет сочтена дос
товерной. должна быть включена в отчет.
8.2.8 Информационные активы и организация
Процедуры проверки могут быть приспособлены для рассмотрения системы или конкретной
платформы, или зависимостей конкретной организации. Такая ситуация часто возникает в процеду
рах проверок, связанных с мерами и средствами контроля и управления безопасностью из числа тех
нических мер и средств контроля и управления информационной безопасностью (т. е. управление
доступом, аудит и подотчетность, идентификация и аутентификация, защита систем и средств связи).
Результаты последнего тестирования могут быть также применимы для текущей проверки, если его
методы обеспечивают высокую степень прозрачности (например, что тестировалось, когда и каким
образом). Протоколы тестирования на основе стандартов могут представлять примеры, как организа
ции могут способствовать достижению подобного уровня прозрачности.
8.2.9 Расширенная процедура проверки
Организации обладают большой гибкостью при выполнении требований доверия к мерам и
средствам контроля и управления информационной безопасностью. Например, в отношении такого
требования, как доверие своевременному рассмотрению недостатков. Организация может удовле
творять этому требованию по принципу «в зависимости от конкретной меры и средства контроля и
управления», по принципу «в зависимости от вида меры и средства контроля и управления», по
принципу «в зависимости от конкретной системы» или возможно даже по организационному уровню.
Принимая во внимание эту гибкость, расширенная процедура проверки из 7.4.3 применяется по прин
ципу «в зависимости от конкретной проверки» обычно в соответствии с тем, как организация решает
достигать доверия к проверяемым информационным активам. Метод применения расширенной про
цедуры проверки должен документироваться в плане проверки. Далее организация выбирает соот
ветствующие цели проверки из расширенной процедуры проверки на основе уровня риска для ин
формационных активов. Применение расширенной процедуры проверки предназначается для допол
нения других процедур проверки, чтобы увеличивать основание для уверенности в том, что меры и
средства контроля и управления реализованы правильно, функционируют, как предназначалось, и
дают желаемый результат в отношении выполнения применяемых требований информационной
безопасности.
8.2.10 Оптимизация
Аудиторы, проводящие проверку мер и средств контроля и управления информационной безо
пасностью. должны проявлять определенную степень гибкости в вопросе формирования плана про
верки, отвечающего потребностям организации. Это дает возможность получения необходимых сви
детельств при определении эффективности мер и средств контроля и управления безопасностью при
одновременном снижении общих расходов на проверку.
Комбинирование и объединение процедур проверки является одной из сфер, где может быть
применена гибкость. Во время проверки методы проверки многократно применяются к различным
16
 © 2017-2025 AJDocs — Живые юридические документы
Мы не храним персональных и любых иных данных пользователей нашего сайта; советуем обращаться к юристам, экспертам и не несем ответственности за достоверность информации, опубликованной на сайте.
Мы в социальных сетях
Телеграм
Youtube
Rutube
ВКонтакте
ОК
Яндекс.Дзен
Электронная почта