ГОСТ Р ИСО/МЭК 27006-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности
7 Требования к ресурсам
7.1 Компетентность персонала
Применяются требования ИСО/МЭК 17021-1, подраздел 7.1. Кроме того, применяются следующие требования и руководящие указания, дополняющие требования ИСО/МЭК 17021-1 в части сертификации СМИБ.
7.1.1 ИБ 7.1.1 Общие положения
7.1.1.1 Общие требования к компетентности
Орган по сертификации должен обеспечивать уверенность в том, что он обладает знанием технологических, правовых и нормативных вопросов, относящихся к СМИБ организации-заказчика, оценку которой он осуществляет.
Орган по сертификации должен определять требования к компетентности персонала для выполнения каждой функции по сертификации, указанной в таблице A.1 ИСО/МЭК 17021-1. Орган по сертификации должен учитывать все требования, указанные в ИСО/МЭК 17021-1 и пунктах 7.1.2 и 7.2.1 настоящего стандарта, относящиеся к техническим областям СМИБ, определенным органом по сертификации.
Примечание - Приложение A содержит краткое изложение требований к компетентности персонала, выполняющего определенные функции по сертификации.
7.1.2 ИБ 7.1.2 Определение критериев компетентности
7.1.2.1 Требования к компетентности для проведения аудита СМИБ
7.1.2.1.1 Общие требования
Орган по сертификации должен иметь критерии с целью оценивания предыдущего опыта, специальной подготовки или проводить инструктажи для участников аудиторской группы, обеспечивающие как минимум следующее:
a) знания в области информационной безопасности;
b) технические знания о деятельности, подлежащей аудиту;
c) знание систем менеджмента;
d) знание принципов аудита.
Примечание - Дополнительную информацию о принципах аудита см. в [1];
e) знание мониторинга, измерения, анализа и оценки СМИБ.
Примечание - Указанные выше требования перечислений a) - e) применимы ко всем аудиторам - участникам аудиторских групп, за исключением перечисления b), обязанности по которому аудиторы - участники аудиторской группы могут разделить между собой.
Аудиторская группа должна быть компетентной и уметь отслеживать индикаторы инцидентов информационной безопасности в СМИБ организации-заказчика вплоть до соответствующих отдельных элементов СМИБ.
Аудиторская группа должна иметь соответствующий опыт работы по указанным выше перечислениям и навыки практического применения этих элементов (это не означает, что аудитору необходимо владеть полным диапазоном навыков и опыта по всем направлениям информационной безопасности, но в целом вся аудиторская группа должна иметь достаточно знаний и опыта для того, чтобы охватить область проверки СМИБ).
7.1.2.1.2 Терминология, принципы, практические методики и средства менеджмента информационной безопасности
В совокупности все участники аудиторской группы должны знать:
a) структуру документации СМИБ, иерархию и взаимоотношения в системе;
b) инструменты менеджмента информационной безопасности, средства и методику их применения;
c) подходы к оценке рисков информационной безопасности и управление рисками;
d) процессы, применимые к СМИБ;
e) существующие технологии, где информационная безопасность может иметь особое значение или может вызывать проблемы.
Каждый аудитор должен быть компетентным по перечислениям a), c) и d).
7.1.2.1.3 Стандарты и нормативные правовые акты системы менеджмента информационной безопасности
Аудиторы, участвующие в процессе аудита СМИБ, должны знать:
a) все требования, содержащиеся в ИСО/МЭК 27001.
В совокупности все участники аудиторской группы должны знать:
b) все меры обеспечения, содержащиеся в ИСО/МЭК 27002 (а если это определено, при необходимости, также из отраслевых стандартов), и их применение в следующей классификации:
1) политики информационной безопасности;
2) организация информационной безопасности;
3) кадровая безопасность;
4) управление активами;
5) контроль доступа, включая авторизацию;
6) криптография;
7) физическая защита и защита от воздействия окружающей среды;
8) производственная безопасность, включая услуги ИТ-сервисов;
9) безопасность коммуникаций, включая менеджмент безопасности информационных сетей и передачи информации;
10) процессы приобретения систем, их развития и технического обслуживания;
11) взаимоотношения с поставщиками, включая услуги сторонних организаций;
12) управление инцидентами информационной безопасности;
13) аспекты информационной безопасности менеджмента устойчивого развития бизнеса, включая резервирование систем;
14) соблюдение требований, включая проверку соблюдения информационной безопасности.
7.1.2.1.4 Практики менеджмента бизнеса
Аудиторы, участвующие в аудите СМИБ, должны знать:
a) передовые отраслевые методики и процедуры по обеспечению информационной безопасности;
b) политики и бизнес-требования к информационной безопасности;
c) общие концепции менеджмента бизнеса, практические методики и взаимоотношения между политикой, целями и результатами;
d) процессы менеджмента и соответствующую терминологию.
Примечание - К указанным процессам также относятся управление персоналом, внешний и внутренний обмен информацией и другие соответствующие вспомогательные процессы.
7.1.2.1.5 Сектор бизнеса организаций-заказчиков
Аудиторы, участвующие в аудите СМИБ, должны знать:
a) правовые и нормативные требования в конкретной области информационной безопасности, а также особенности географического расположения и юрисдикции.
Примечание - Знание правовых и нормативных требований не предполагает наличия углубленной правовой базы;
b) риски информационной безопасности, относящиеся к указанному бизнес-сектору;
c) общую терминологию, процессы и технологии, относящиеся к бизнес-сектору организации-заказчика;
d) соответствующие практические методики указанного бизнес-сектора.
Задачи в рамках перечисления a) аудиторы могут разделить между собой.
7.1.2.1.6 Продукция, процессы и структура организации-заказчика
В совокупности аудиторы, участвующие в аудите СМИБ, должны знать:
a) влияние типа, размера, системы управления, структуры, функций и их взаимоотношений на разработку и внедрение СМИБ, а также деятельность по сертификации, включая услуги сторонних лиц;
b) совокупность видов производственной деятельности в широкой перспективе;
c) правовые и нормативные требования, применимые к продукции или услугам.
7.1.2.2 Требования к компетентности руководителя аудиторской группы СМИБ
В дополнение к требованиям 7.1.2.1 руководители аудиторских групп должны отвечать следующим требованиям, которые должны быть продемонстрированы во время аудитов, проводимых под соответствующим руководством и контролем:
a) знания и навыки для управления процессом сертификационного аудита и аудиторской группой;
b) демонстрация способности к эффективной коммуникации как устной, так и письменной.
7.1.2.3 Требования к компетентности персонала, отвечающего за рассмотрение заявки
7.1.2.3.1 Стандарты и нормативные документы системы менеджмента информационной безопасности
Персонал, проводящий рассмотрение заявки для определения необходимой компетентной аудиторской группы, выбора участников аудиторской группы и определения общей продолжительности/трудоемкости аудита, должен знать:
a) соответствующие стандарты СМИБ и другие нормативные документы, используемые в процессе сертификации.
7.1.2.3.2 Бизнес-сектор организации-заказчика
Персонал, проводящий рассмотрение заявки для определения необходимой компетентности аудиторской группы, выбора участников аудиторской группы и определения общей продолжительности/трудоемкости аудита, должен знать:
a) общую терминологию, процессы, технологию и риски, относящиеся к бизнес-сектору организации-заказчика.
7.1.2.3.3 Продукция, процессы и структура организации-заказчика
Персонал, проводящий рассмотрение заявки для определения необходимой компетентной аудиторской группы, выбора участников аудиторской группы и определения общей продолжительности/трудоемкости аудита, должен знать:
a) продукцию организации-заказчика, ее процессы, типы ее организации, размер, систему управления, структуру, функции и взаимоотношения при разработке и внедрении СМИБ и деятельности по сертификации, включая функции привлечения сторонних организаций.
7.1.2.4 Требования к компетентности персонала, отвечающего за анализ аудиторских отчетов и принятие решений по сертификации
7.1.2.4.1 Общие требования
Персонал, выполняющий анализ аудиторских отчетов и принимающий решения о сертификации, должен обладать знаниями, позволяющими им осуществлять проверку соответствия области сертификации, а также изменений в этой области и влияния указанных изменений на эффективность аудита, в частности на непрерывность процесса выявления взаимосвязей и взаимозависимостей, а также соответствующих рисков.
Кроме того, персонал, выполняющий анализ аудиторских отчетов и принимающий решения о сертификации, должен знать:
a) общие основы систем менеджмента в целом;
b) процессы и процедуры аудита;
c) принципы, практики и технологии аудита.
7.1.2.4.2 Терминология, принципы, практики и технологии менеджмента информационной безопасности
Персонал, выполняющий анализ аудиторских отчетов и принимающий решения о сертификации, должен знать:
a) информацию, приведенную в 7.1.2.1.2, перечисления a), c) и d);
b) правовые и нормативные требования, относящиеся к информационной безопасности.
7.1.2.4.3 Стандарты и нормативные документы системы менеджмента информационной безопасности
Персонал, выполняющий анализ аудиторских отчетов и принимающий решения о сертификации, должен знать:
a) соответствующие стандарты СМИБ и другие нормативные документы, применяемые в процессе сертификации.
7.1.2.4.4 Бизнес-сектор организации-заказчика
Персонал, выполняющий анализ аудиторских отчетов и принимающий решения о сертификации, должен знать:
a) общую терминологию и риски, связанные с соответствующей практической деятельностью в бизнес-секторе.
7.1.2.4.5 Продукция, процессы и структура организации-заказчика
Персонал, выполняющий анализ аудиторских отчетов и принимающий решения о сертификации, должен знать:
a) продукцию организации-заказчика, процессы, тип и размер организации, систему управления, структуру, функции и их взаимоотношения.
Подписаться на обновления