ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011
предназначен для предоставления какого-либо конкретного руководства по проверке соответствия в
отношении измерений, оценки риска или аудита СМИБ. как определено в ИСО/МЭК 27004,
ИСО/МЭК 27005 или ИСО/МЭК 27007 соответственно.
Использование настоящего стандарта в качестве отправной точки процесса определения про
цедур для проверки мер и средств контроля и управления информационной безопасностью способст
вует более стабильному уровню информационной безопасности в рамках организации. Он предлага ет
необходимую гибкость в уточнении параметров процесса проверки на основе целевой задачи и целей
бизнеса, политик и требований организации, известной информации об угрозах и уязвимостях,
представлений об операционной деятельности, зависимостей информационных систем и платформ и
готовности рисковать.
П р и м е ч а н и е - ИСО Руководство 73 определяет готовность рисковать как величину и вид риска, кото
рый организация готова рассматривать, сохранять или принимать.
6 Обзор проверок мер и средств контроля иуправления информационной
безопасностью
6.1 Процесс проверки
Приступая к конкретной проверке, относящейся к информационной безопасности, аудиторы,
проводящие проверку мер и средств контроля и управления информационной безопасностью, обычно
начинают со сбора предварительной информации, рассмотрения планируемого объема и содержания
работ, установления связи с руководителями и другими контактными лицами в соответствующих час
тях организации и расширенной оценки риска, связанного с проверкой, чтобы разработать докумен
тацию по проверке, представляющую собой руководство по осуществляемой проверочной деятель
ности. Для эффективного осуществления проверок назначенные аудиторы, проводящие проверку мер и
средств контроля и управления информационной безопасностью, должны быть хорошо подготовле ны
как в области мер и средств контроля и управления, так и в области тестирования (например, экс
плуатация применимых инструментальных средств, техническая цель тестирования). На этом уровне
могут быть установлены приоритетные этапы работы по проверке в соответствии с осознаваемыми
рисками, также этапы работы могут быть спланированы согласно определенному процессу бизнеса
или системы или могут быть разработаны просто для последовательного охвата всех сфер, входя
щих в область проверки.
Предварительная информация может поступать из различных источников:
книги. Интернет, технические руководства, стандарты и другие общие сведения, содержа
щиеся в исследовательских работах по распространенным рискам и мерам и средствам контроля и
управления в данной сфере, материалах конференций, симпозиумов, семинаров или форумов;
результаты предыдущих проверок, тестирований и оценок, частично или полностью отно
сящихся к текущей области проверки и так или иначе выполненных аудиторами, проводящими про
верку мер и средств контроля и управления информационной безопасностью (например, предвари
тельные тесты безопасности, проведенные специалистами по обеспечению информационной безо
пасности, могут дать обширные знания по безопасности основных прикладных систем);
сведения о соответствующих инцидентах информационной безопасности, ситуациях,
близких к инцидентам, вопросах поддержки и изменениях, полученные от службы технической под
держки ИТ, из процессов менеджмента изменений ИТ. процессов менеджмента инцидентов ИТ и
из аналогичных источников;
общие перечни контрольных проверок и договоров, касающихся проверки мер и средств
контроля и управления информационной безопасностью и проводимых аудиторами или специали
стами по информационной безопасности с опытом работы в данной сфере.
Может быть уместным проведение пересмотра планируемой области проверки в свете предва
рительной информации, особенно если план проверки, первоначально определивший область про
верки. подготавливался за много месяцев до этого. Например, дополнительные проверки могут рас
крыть проблемы, заслуживающие более глубокого исследования, или. наоборот, могут обеспечить
ббльшую уверенность в некоторых областях, позволяя сосредоточить назначенную работу на чем-то
другом.
На начальном этапе важно установить связи с руководителями и контактными лицами, связан
ными с проверкой. По завершении процесса проверки от этих людей требуется понимание выводов
проверки, чтобы адекватно реагировать на отчет о результатах проверки. Взаимопонимание, взаим
ное уважение и способность объяснить процесс проверки существенно повышают качество и эффек
тивность результата.
3