Утвержден и введен в действие
Приказом Федерального агентства
по техническому регулированию
и метрологии
от 11 июня 2014 г. N 569-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
РЕКОМЕНДАЦИИ ДЛЯ АУДИТОРОВ В ОТНОШЕНИИ МЕР И СРЕДСТВ
КОНТРОЛЯ И УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Information technology - Security techniques - Guidelines
for auditors on information security controls
ISO/IEC TR 27008:2011
Information technology - Security techniques - Guidelines
for auditors on information security controls
(IDT)
ГОСТ Р 56045-2014/ISO/IEC TR 27008:2011
ОКС 35.040
Дата введения
1 июня 2015 года
Предисловие
1 ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием "Всероссийский научно-исследовательский институт стандартизации и сертификации в машиностроении" (ФГУП "ВНИИНМАШ"), Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО "ИАВЦ") и Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому регулированию и метрологии от "11" июня 2014 г. N 569-ст
4 Настоящий стандарт идентичен международному документу ISO/IEC TR 27008:2011 "Информационная технология. Методы обеспечения безопасности. Рекомендации для аудиторов в отношении мер и средств контроля и управления информационной безопасностью" (ISO/IEC TR 27008:2011 "Information technology - Security techniques - Guidelines for auditors on information security controls")
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (пункт 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА.
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)
Введение
ИСО/МЭК ТО 27008 был подготовлен совместным техническим комитетом ИСО/МЭК СТК 1 "Информационная технология", подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ".
Настоящий стандарт поддерживает определенный в ИСО/МЭК 27001 и ИСО/МЭК 27005 процесс менеджмента риска системы менеджмента информационной безопасности (СМИБ), а также меры и средства контроля и управления, включенные в ИСО/МЭК 27002.
Настоящий стандарт предоставляет руководство по проверке мер и средств контроля и управления информационной безопасностью организации, например, в организации, процессах бизнеса и системном окружении, включая проверку технического соответствия.
За рекомендациями по аудиту элементов систем менеджмента следует обращаться к ИСО/МЭК 27007, а по проверке соответствия СМИБ требованиям для целей сертификации - к ИСО/МЭК 27006.
1 Область применения
Настоящий стандарт предоставляет руководство по проверке реализации и функционирования мер и средств контроля и управления, включая проверку технического соответствия мер и средств контроля и управления информационных систем, согласно установленным в организации стандартам по информационной безопасности.
Настоящий стандарт применим для организаций всех видов и любой величины, включая акционерные общества открытого и закрытого типа, государственные учреждения и некоммерческие организации, проводящие проверки информационной безопасности и технического соответствия. Настоящий стандарт не предназначен для аудитов систем менеджмента.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты. Для датированных ссылок следует использовать только указанное издание, для недатированных ссылок - последнее издание указанного документа (включая все его изменения).
ИСО/МЭК 27000:2009 <1> Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и терминология (ISO/IEC 27000:2009, Information technology - Security techniques - Information security management systems - Overview and vocabulary).
--------------------------------
<1> Отменен. Действует ИСО/МЭК 27000:2014. Для однозначного соблюдения требований настоящего стандарта, выраженных в датированных ссылках, рекомендуется использовать только указанный ссылочный стандарт.
3 Термины и определения
В настоящем стандарте применены термины по ИСО/МЭК 27000, а также следующие термины с соответствующими определениями:
3.1 объект проверки (review object): Конкретный проверяемый элемент.
3.2 цель проверки (review objective): Формулировка, описывающая, что должно быть достигнуто в результате проверки.
3.3 стандарт реализации безопасности (security implementation standard): Документ, предписывающий санкционированные способы реализации безопасности.
4 Структура настоящего стандарта
Настоящий стандарт содержит описание процесса проверки мер и средств контроля и управления информационной безопасностью, включая проверку технического соответствия.
В разделе 5 представлена вводная информация.
В разделе 6 представлен общий обзор проверок мер и средств контроля и управления информационной безопасностью.
В разделе 7 представлены методы проверок, а в разделе 8 - деятельность по проверке -.
В приложении A приведено практическое руководство по проверке технического соответствия, а в приложении B дается описание начала сбора информации -.
5 Предпосылки
Меры и средства контроля и управления информационной безопасностью организации должны выбираться организацией на основе результата оценки риска в рамках процесса менеджмента риска информационной безопасности, чтобы снижать свои риски до допустимого уровня. Однако организации, решившие не реализовывать СМИБ, могут отдать предпочтение другим способам выбора, реализации и поддержки мер и средств контроля и управления информационной безопасностью.
Часть мер и средств контроля и управления информационной безопасностью организации обычно осуществляется путем реализации технических мер и средств контроля и управления информационной безопасностью, например, когда информационные активы включают информационные системы.
Технические меры и средства контроля и управления информационной безопасностью необходимо определять, документально оформлять, реализовать и поддерживать в соответствии со стандартами, относящимися к информационной безопасности. С течением времени на эффективность мер и средств контроля и управления информационной безопасностью и в конечном счете на применение в организации стандартов информационной безопасности могут оказывать негативное влияние внутренние факторы, такие как корректировки информационных систем, конфигурации функций безопасности и изменения окружающей среды информационных систем, а также внешние факторы, такие как совершенствование навыков атаки. У организаций должна быть строгая программа контроля изменений, касающихся информационной безопасности. Организации должны регулярно проверять, осуществляется ли соответствующее применение стандартов, касающихся реализации безопасности, и их действие. Проверка технического соответствия включена в ИСО/МЭК 27002:2005 в качестве одной из мер и средств контроля и управления, осуществляемой вручную и/или посредством специальных проверок с помощью автоматизированных инструментальных средств. Она может осуществляться лицами, выполняющими роль, не задействованную в осуществлении меры и средства контроля и управления (например, владельцем системы или персоналом, отвечающим за конкретные меры и средства контроля и управления), или внутренними или внешними специалистами по обеспечению информационной безопасности, включая аудиторов информационной технологии (ИТ).
Результат проверки технического соответствия объясняет фактический уровень технического соответствия реализации информационной безопасности в организации требованиям стандартов. Это обеспечивает уверенность в том, что состояние технических мер и средств контроля и управления соответствует стандартам информационной безопасности или, в противном случае, служит основой для совершенствования. В начале проверки должна быть четко установлена последовательность отчетности по аудиту и должна обеспечиваться целостность процесса отчетности. Должны предприниматься шаги, чтобы обеспечить:
- получение соответствующими ответственными сторонами неизмененной копии отчета непосредственно от аудиторов, проводящих проверку мер и средств контроля и управления информационной безопасностью;
- невозможность получения несоответствующими или неуполномоченными сторонами копии отчета от аудиторов, проводящих проверку мер и средств контроля и управления информационной безопасностью;
- возможность беспрепятственного выполнения работы аудиторами, проводящими проверку мер и средств контроля и управления информационной безопасностью.
Проверки мер и средств контроля и управления информационной безопасностью, в особенности проверки технического соответствия могут помочь организации:
- установить и понять степень серьезности потенциальных проблем или недостатков реализации и действия мер и средств контроля и управления информационной безопасностью, стандартов информационной безопасности и, в результате, технических мер и средств контроля и управления информационной безопасностью организации;
- установить и понять потенциальное влияние на организацию воздействия недостаточно ослабленных угроз и уязвимостей информационной безопасности;
- установить приоритеты в действиях по уменьшению риска информационной безопасности;
- подтвердить, что вопрос, касающийся ранее установленных или возникающих слабых мест или недостатков информационной безопасности, был адекватным образом решен;
- поддерживать бюджетные решения в рамках инвестиционного процесса и другие решения руководства, связанные с совершенствованием менеджмента
Для просмотра документа целиком скачайте его >>>