ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011
Поскольку способ документального оформления своей работы разными лицами различается, то
для многих функций проверки используют стандартизированные процессы проверки, поддерживае
мые документами-шаблонами для рабочих материалов, такими как контрольные перечни для провер
ки. опросные листы по внутреннему контролю, графики тестирования, таблицы управления риском и т. д.
Контрольный перечень для проверки (или аналогичный документ) является основным докумен
том по нескольким причинам:
в нем изложены планируемые сферы проверочной деятельности, возможно, и уровни де
тального описания отдельных тестов по проверке и ожидаемые/идеальные выводы;
он предоставляет состав работ, способствуя обеспечению уверенности в полном охвате
планируемой области;
необходимый для создания контрольного перечня анализ в первую очередь подготавли
вает аудиторов, проводящих проверку мер и средств контроля и управления информационной безо
пасностью. к последующей практической проверочной деятельности, в то время как заполнение кон
трольного перечня в ходе проверки способствует развитию аналитического процесса, из которого бу
дут выводиться данные для отчета о результатах проверки;
он предоставляет рамки для фиксирования результатов предварительной обработки ин
формации и практической проверочной деятельности, а также, например, место для ссылок и ком
ментариев к собранным свидетельствам проверки;
он может быть проверен руководителями аудита или другими аудиторами, проводящими
проверку мер и средств контроля и управления информационной безопасностью, как часть процесса
по обеспечению качества проверки;
будучи полностью заполненным, он (наряду со свидетельствами проверки) представляет
собой достаточно подробную запись о проведенной проверочной деятельности и полученных выво
дах. которая может потребоваться для обоснования или подтверждения отчета о результатах
про верки. информирования руководства и/или помощи при планировании будущих проверок.
Аудиторы информационной безопасности должны проявлять осторожность, чтобы просто ис
пользовать общие контрольные перечни для проверки, составленные другими, так как за исключени ем
возможной экономии времени это. вероятно, сведет на нет некоторые из вышеперечисленных вы год.
(Это. по-видимому, менее проблематично в случав прямых проверок соответствия или сертифи
кационных проверок, потому что требования, которые должны выполняться обычно являются доста
точно определенными.]
Основной объем практической проверочной деятельности состоит из серии тестов, проводимых
самими аудиторами или по их запросу, для сбора свидетельств проверки и их рассмотрения часто
путем сравнения с ожидаемыми результатами, которые выводятся из соответствующих обязательств
по обеспечению соответствия, стандартов или из более общей оценки хороших практических прие
мов. Например, один из тестов в рамках проверки информационной безопасности, изучающий меры и
средства контроля и управления для защиты от вредоносного программного средства, может прове
рять. существуют ли на всех применяемых компьютерных платформах соответствующие антивирус
ные программы. При применении для проверки тестов, подобных указанному, часто используют ме тод
выборки, поскольку для всеохватывающей проверки обычно бывает недостаточно ресурсов.
Практические приемы выборки различаются в зависимости от аудиторов, ситуаций и могут включать
случайную выборку, стратифицированную выборку и другие более сложные статистические методы
выборки (например, использование дополнительной выборки, если первоначальные результаты не
удовлетворительны, чтобы подтвердить степень слабости мер и средств контроля и управления). Как
правило, полное тестирование возможно в тех случаях, когда свидетельства могут быть собраны и
протестированы электронным способом, например, используя запросы SQL’1в базе данных свиде
тельств проверки, подобранных из систем или баз данных менеджмента активов. Подход к выбороч
ному аудиторскому обследованию должен, по крайней мере, частично определяться рисками, свя
занными с подвергающейся аудиту сферой деятельности.
Собранные в ходе проверки свидетельства должны отмечаться, упоминаться или вноситься в
список рабочих документов проверки. Свидетельства проверки, наряду с анализом, выводами, реко
мендациями по проверке и отчетами о результатах проверки, должны быть надлежащим образом за
щищены аудиторами, проводящими проверку мер и средств контроля и управления информационной
безопасностью, особенно в связи с тем. что некоторые свидетельства являются крайне чувствитель
ными и/или ценными. Защита данных, извлеченных, например, из используемых в организации баз
данных с целью проверки, должна обеспечиваться в той же степени, что и защита самих баз данных,
путем использования мер и средств контроля и управления доступом, шифрования и т. д. Автомати
зированные инструментальные средства проверки, запросы, утилиты/программы извлечения данных
’ SQL (Structured Query Language) - Язык структурированных запросов.
4