Утвержден и введен в действие
Приказом Федерального
агентства по техническому
регулированию и метрологии
от 11 июня 2014 г. N 563-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
РУКОВОДСТВА
ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Information technology - Security techniques - Guidelines
for information security management systems auditing
ISO/IEC 27007:2011
Information technology - Security techniques - Guidelines
for information security management systems auditing
(IDT)
ГОСТ Р ИСО/МЭК 27007-2014
ОКС 35.040
Дата введения
1 июня 2015 года
Предисловие
1. Подготовлен Федеральным государственным унитарным предприятием "Всероссийский научно-исследовательский институт стандартизации и сертификации в машиностроении" (ФГУП "ВНИИНМАШ"), Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО "ИАВЦ") и Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4.
2. Внесен Техническим комитетом по стандартизации ТК 22 "Информационные технологии".
3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 11 июня 2014 г. N 563-ст.
4. Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27007:2011 "Информационная технология. Методы обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности" (ISO/IEC 27007:2011 "Information technology - Security techniques - Guidelines for information security management systems auditing").
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (пункт 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном Приложении ДА.
5. Введен впервые.
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru).
Введение
ИСО/МЭК 27007 был подготовлен совместным техническим комитетом ИСО/МЭК СТК 1 "Информационная технология", Подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ".
Настоящий стандарт предоставляет руководство по менеджменту программы аудита системы менеджмента информационной безопасности (СМИБ) и проведению внутренних или внешних аудитов на соответствие ИСО/МЭК 27001:2005, а также руководство по вопросу компетентности и оценки аудиторов СМИБ, которое следует использовать совместно с руководством, содержащимся в ИСО 19011.
Настоящий стандарт предназначен для всех пользователей, включая малые и средние организации.
В ИСО 19011 "Руководящие указания по аудиту систем менеджмента" представлено руководство по менеджменту программ аудита, проведению внутренних или внешних аудитов систем менеджмента, а также по вопросу компетентности и оценки аудиторов систем менеджмента.
Текст настоящего стандарта соответствует структуре ИСО 19011, а дополнительное, ориентированное на СМИБ, руководство по применению ИСО 19011 для аудита СМИБ обозначается буквами "ИБ".
1. Область применения
Настоящий стандарт в дополнение к указаниям, содержащимся в ИСО 19011, предоставляет руководство по менеджменту программы аудита системы менеджмента информационной безопасности (СМИБ), по проведению аудитов и по определению компетентности аудиторов СМИБ.
Настоящий стандарт применим для тех организаций, которые нуждаются в понимании или проведении внутренних или внешних аудитов СМИБ или осуществлении менеджмента программы аудита СМИБ.
2. Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты. Для датированных ссылок следует использовать только указанное издание. Для недатированных ссылок - последнее издание указанного документа (включая все его изменения).
ИСО 19011:2011 Руководящие указания по аудиту систем менеджмента (ISO 19011:2011, Guidelines for auditing management systems)
ИСО/МЭК 27001:2005 <1> Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems - Requirements)
--------------------------------
<1> Отменен. Действует ИСО/МЭК 27001:2013. Для однозначного соблюдения требований настоящего стандарта, выраженных в датированных ссылках, рекомендуется использовать только указанный ссылочный стандарт.
ИСО/МЭК 27000:2009 <2> Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и терминология (ISO/IEC 27000:2009, Information technology - Security techniques - Information security management systems - Overview and vocabulary).
--------------------------------
<2> Отменен. Действует ИСО/МЭК 27000:2014. Для однозначного соблюдения требований настоящего стандарта, выраженных в датированных ссылках, рекомендуется использовать только указанный ссылочный стандарт.
Примечание. При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3. Термины и определения
В настоящем стандарте применены термины и определения, приведенные в ИСО 19011 и ИСО/МЭК 27000.
4. Принципы проведения аудита
Применять принципы проведения аудита, приведенные в разделе 4 ИСО 19011:2011.
5. Менеджмент программы аудита
5.1. Общие положения
Применять руководство подраздела 5.1 ИСО 19011:2011. Дополнительно применять приведенное ниже руководство, ориентированное на СМИБ.
5.1.1. ИБ 5.1. Общие положения
Должна быть разработана программа аудита <1> СМИБ, основанная на ситуации, связанной с риском информационной безопасности проверяемой организации.
--------------------------------
<1> Для целей данного документа использование термина "аудит" относится к аудитам СМИБ.
5.2. Разработка целей программы аудита
Применять руководство подраздела 5.2 ИСО 19011:2011. Дополнительно применять приведенное ниже руководство, ориентированное на СМИБ.
5.2.1. ИБ 5.2. Разработка целей программы аудита
Цели программы (программ) аудита должны быть установлены, для того чтобы руководить планированием и проведением аудитов и обеспечивать эффективную реализацию программы аудита. Цели могут зависеть от:
a) идентифицированных требований информационной безопасности;
b) требований ИСО/МЭК 27001;
c) уровня качества функционирования проверяемой организации, который отражает случаи возникновения сбоев и инцидентов информационной безопасности и эффективность измерений;
d) рисков информационной безопасности организации, подвергающейся аудиту.
Примеры целей программы аудита могут включать следующее:
1) проверку соответствия установленным правовым и договорным требованиям, а также иным требованиям и связанным с ними последствиям для безопасности;
2) достижение и поддержку уверенности в возможностях менеджмента риска проверяемой организации.
5.3. Разработка программы аудита
5.3.1. Роли и обязанности лица, осуществляющего менеджмент программы аудита
Применять руководство пункта 5.3.1 ИСО 19011:2011.
5.3.2. Компетентность лица, осуществляющего менеджмент программы аудита
Применять руководство пункта 5.3.2 ИСО 19011:2011.
5.3.3. Определение объема программы аудита
Применять руководство пункта 5.3.3 ИСО 19011:2011. Дополнительно применять приведенное ниже руководство, ориентированное на СМИБ.
Для просмотра документа целиком скачайте его >>>