ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011
с вполне приемлемым результатом. Вывод «частично выполняется» означает, что часть меры и
средства контроля и управления не направлена на свою цель или что во время проверки реализация
меры и средства контроля и управления все еще продолжается, обоснованно обеспечивая уверен
ность в том. что мера и средство контроля и управления достигнет результата «выполняется» (В).
Вывод «не выполняется» означает, что для части меры и средства контроля и управления, к которой
относится формулировка решения, полученная информация проверки указывает на потенциальную
аномалию функционирования или реализации меры и средства контроля и управления, которая воз
можно должна быть рассмотрена организацией. Вывод «не выполняется» также может означать, что по
детально изложенным в отчете о результатах проверки причинам аудитор, проводящий проверку мер и
средств контроля и управления информационной безопасностью, был не в состоянии получить
достаточно информации, чтобы принять конкретное решение, требуемое в формулировке решения.
Выводы аудитора, проводящего проверку мер и средств контроля и управления информацион
ной безопасностью (т. е. вынесенные решения), должны быть беспристрастными, содержать факти
ческую информацию о том. что было обнаружено в отношении проверяемой меры и средства контро
ля и управления. Для каждого вывода «не выполняется» аудиторы, проводящие проверку мер и
средств контроля и управления информационной безопасностью, должны указать, какие части меры
и средства контроля и управления затронуты (т. е. те аспекты меры и средства контроля и управле
ния. которые были сочтены несоответствующими или которые не было возможности проверить), и
должны описать, насколько мера и средство контроля и управления отличается от планируемого
или ожидаемого состояния. Аудитор, проводящий проверку мер и средств контроля и управления
инфор мационной безопасностью, должен также отметить возможность компрометации
конфиденциально сти. целостности и доступности, соответствующую выводам «не выполняется».
Если проверка пока зывает существенные несоответствия (т. е. делаются выводы «не выполняется»,
которые указывают на существенное отклонение от запланированного состояния), аудитор,
проводящий проверку мер и средств контроля и управления информационной безопасностью,
должен немедленно информиро вать лицо, отвечающее за эту меру и средство контроля и
управления, и руководство, чтобы неза медлительно могли быть инициированы процедуры для
уменьшения последствий.
8.4 Анализ результатов и отчет о результатах
План проверки предоставляет цели проверки и детальный график действий по проведению та
кой проверки. Конечным результатом проверки является отчет о результатах проверки, в котором от
ражается уровень информационной безопасности на основе реализованных мер и средств контроля
и управления информационной безопасностью. Отчет включает информацию, поступающую от ауди
тора. проводящего проверку мер и средств контроля и управления информационной безопас^стью
(в форме выводов проверки), необходимую для определения эффективности используемых мер и
средств контроля и управления и общей эффективности деятельности организации в реализации вы
бранных и соответствующих мер и средств контроля и управления, на основе выводов аудитора. От
чет является важным фактором при определении рисков информационной безопасности для опера
ций (т. е. целевой задачи, функций), активов организации, кадров, других организаций и т. д.
Результаты проверки должны быть документально оформлены с предназначенным для провер
ки уровнем детальности в соответствии с форматом отчетности, предписываемым политикой органи
зации. Формат отчетности должен также соответствовать виду проводимой проверки мер и средств
контроля и управления (например, самооценка, проводимая владельцами информационной системы,
независимая проверка и подтверждение достоверности, независимые проверки мер и средств кон
троля и управления, проводимые аудиторами, и т. д.).
Владелец информационной системы полагается на квалификацию в сфере информационной
безопасности и технические решения аудитора, проводящего проверку мер и средств контроля и
управления информационной безопасностью, в вопросах проведения проверки мер и средств кон
троля и управления безопасностью, а также предоставляющего конкретные рекомендации по исправ
лению слабых мест или недостатков мер и средств контроля и управления и снижению или устране
нию выявленных уязвимостей.
Информация по проверке, формируемая аудитором, проводящим проверку мер и средств кон
троля и управления информационной безопасностью (т. е. выводы «выполняется» или «не выполня
ется». идентификация тех частей мер и средств контроля и управления безопасностью, которые не
дают удовлетворительного результата, и описание проистекающей отсюда возможности компромета
ции информационных активов), предоставляется руководителям в форме первоначального отчета
(проекта) о проверке безопасности. Владельцы активов могут решить действовать в соответствии с
выбранными рекомендациями аудитора, проводящего проверку мер и средств контроля и управления
информационной безопасностью, до придания отчету окончательной формы, осли существуют кон
кретные возможности исправления слабых мест или недостатков мер и средств контроля и управле ния
или исправления/прояснения неправильного понимания или толкования результатов проверки.
18