ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011
Приложение В
(справочное)
Начало сбора информации (отличной от ИТ)
Ведущий аудитор в группе, проводящей проверку мер и средств контроля и управления инфор
мационной безопасностью, должен назначать аудитора, проводящего проверку мер и средств кон
троля и управления, с соответствующей компетентностью и опытом для каждой области информаци
онной безопасности.
По каждой указанной ниже сфере для соответствующего персонала приведен не исчерпываю
щий перечень примерных вопросов.
В.1 Кадровые ресурсы и безопасность
a)Чувствует ли персонал себя ответственным и/или подотчетным за свои действия?
b
)Существуют ли «на месте» специалисты, обладающие знаниями по обеспечению безопас
ности и информационной безопасности, для ответа на вопросы, мотивации персонала и предостав
ления необходимого руководства?
c)Являются ли применяемые политики и процедуры четкими и SMART1’ (конкретными, изме
римыми. приемлемыми, реалистичными, привязанными ко времени)?
d)Осуществляется ли наем персонала в соответствии с ожидаемыми «операционными» зна
ниями?
e)Является ли персонал заслуживающим доверия, чтобы обращаться с чувствительной ин
формацией и системами, которые могут подвергать опасности продолжительность существования
организации?
f)Является ли персонал таким, которому можно полностью доверять?
д)Как определяется и измеряется доверие?
В.2 Политики
a)Иерархия:
i)выводятся ли политики информационной безопасности из целей бизнеса и общей поли
тики безопасности?
ii)как осуществляется связь между политиками ИТ. кадровыми политиками, политиками
приобретения и т. д.?
b
)Полнота:
i)рассматриваются ли в политиках вопросы обеспечения информационной безопасности
во всех секторах деятельности бизнеса (кадровом, физическом, ИТ, продаж, производства, научно-
исследовательском. договоров и т. д.)?
ii)являются ли политики полными в плане охвата стратегии, тактики и операций?
c) Формулировка:
i)сформированылиполитикипопринципу«копия-вставка»,изложенномув
ИСО/МЭК 27002, или же цели контроля и меры и средства контроля и управления приспособлены к
конкретному контексту?
ii)написаны ли политики с четкой идентификацией ответственного лица (лиц)?
iii)ожидаемое в рамках политики или процедуры действие должно рассматривать «осно
вополагающие» вопросы: кто. когда, зачем, что. где. каким образом:
-если лицо (кто), ответственное за выполнение деятельности, не определено, то кто будет
достигать установленных целей?
-если плановое время (когда) для выполнения деятельности не определено, то будет ли она
начата и завершена в должное время?
-если задача или цель деятельности не определена (зачем), то будет ли деятельность пра
вильно понята, а ее значимость адекватно учтена?
-если сама деятельность (что) не определена, то как будет возможно ее выполнить?
SMART
(Self-Monitoring Analysis and Reporting Technology) - Технология самоконтроля, анализа и состав
ления диагностических отчётов.
36