ГОСТ Р ИСО/МЭК 27006-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности

9 Технологические требования

 

9.1 Предсертификационная деятельность

 

9.1.1 Заявка

Применяют требования ИСО/МЭК 17021-1, пункт 9.1.1. Кроме того, применяют следующие требования и руководящие указания.

9.1.1.1 ИБ 9.1.1 Готовность заявки

Орган по сертификации должен затребовать у организации-заказчика документы, подтверждающие наличие внедренной СМИБ, соответствующей требованиям ИСО/МЭК 27001, и других документов, необходимых для сертификации.

9.1.2 Анализ заявки

Применяют требования ИСО/МЭК 17021-1, пункт 9.1.2.

9.1.3 Программа аудита

Применяют требования ИСО/МЭК 17021-1, пункт 9.1.3. Кроме того, применяют следующие требования и руководящие указания.

9.1.3.1 ИБ 9.1.3 Общие требования

Программа аудита СМИБ должна учитывать определенные меры обеспечения информационной безопасности.

9.1.3.2 ИБ 9.1.3 Методология аудита

Процедуры органа по сертификации не должны предусматривать конкретные методы внедрения СМИБ или конкретный формат ведения документации или записей. Процедуры сертификации должны быть направлены на установление факта соответствия СМИБ организации-заказчика требованиям, указанным в ИСО/МЭК 27001, а также политикам и целям организации-заказчика.

Примечание - Более подробные руководящие указания по проведению аудита приведены в [2].

 

9.1.3.3 ИБ 9.1.3 Общая подготовка к первоначальному аудиту

Орган по сертификации должен потребовать от организации-заказчика предоставления доступа к отчетам по результатам внутренних аудитов и отчетам о независимых проверках информационной безопасности.

На первом этапе сертификационного аудита организация-заказчик должна предоставить как минимум следующую информацию:

a) общую информация о СМИБ и перечень видов деятельности, которые она охватывает;

b) копии необходимой документации СМИБ, указанной в ИСО/МЭК 27001, и при необходимости сопутствующую документацию.

9.1.3.4 ИБ 9.1.3 Периодичность проверок

Орган по сертификации не должен сертифицировать СМИБ, если не был проведен по крайней мере один анализ со стороны руководства и один внутренний аудит СМИБ, охватывающий область сертификации.

9.1.3.5 ИБ 9.1.3 Область сертификации

Аудиторская группа должна провести аудит СМИБ организации-заказчика в объеме, охватываемом областью сертификации, в соответствии со всеми применимыми для сертификации требованиями. Орган по сертификации должен подтвердить, что СМИБ организации-заказчика распространяется на его деятельность и соответствует требованиям, изложенным в ИСО/МЭК 27001, подраздел 4.3.

Органы по сертификации должны установить, что оценка и управление рисками информационной безопасности организации-заказчика надлежащим образом применяются в рамках указанной деятельности согласно заявленной области сертификации. Органы по сертификации должны подтвердить, что это отражено в области действия СМИБ организаций-заказчиков и в ведомости применимости мер обеспечения информационной безопасности. Орган по сертификации должен удостовериться, что на каждую область сертификации имеется как минимум одна ведомость применимости мер обеспечения информационной безопасности.

Органы по сертификации должны убедиться, что область взаимодействия с услугами или видами деятельности, которые не полностью включены в область действия СМИБ, также находят свое отражение в СМИБ, на которую распространяется сертификация, и включены в систему оценки рисков информационной безопасности организации-заказчика. Примером такого положения может быть совместное использование технических средств (например, ИТ-системы, базы данных и телекоммуникационные системы или аутсорсинг бизнес-функций) с другими организациями.

9.1.3.6 ИБ 9.1.3 Критерии сертификационного аудита

Критерии, на основании которых проводится аудит СМИБ организации-заказчика, должны соответствовать ИСО/МЭК 27001. Для сертификации, в зависимости от видов деятельности, могут потребоваться и другие документы.

9.1.4 Определение общей продолжительности/трудоемкости аудита

Применяют требования ИСО/МЭК 17021-1, пункт 9.1.4. Кроме того, применяют следующие требования и руководящие указания.

9.1.4.1 ИБ 9.1.4 Общая продолжительность/трудоемкость аудита

Органы по сертификации должны предоставлять аудиторам достаточное время для проведения всех мероприятий, связанных с первоначальным аудитом, инспекционным контролем и ресертификационным аудитом. При расчете общей продолжительности/трудоемкости аудита в нее должно быть включено время на подготовку акта по результатам аудита.

Для определения общей продолжительности/трудоемкости аудита органы по сертификации должны применять положения приложения B.

Примечание - Более подробные практические указания и примеры расчета общей продолжительности/трудоемкости аудита приведены в приложении C.

 

9.1.5 Выборочные проверки объектов (площадок)

Применяют требования ИСО/МЭК 17021-1, пункт 9.1.5. Кроме того, применяют следующие требования и руководящие указания.

9.1.5.1 ИБ 9.1.5 Несколько объектов (площадок)

9.1.5.1.1 Если организация-заказчик имеет несколько объектов, отвечающих критериям перечислений a) - c), органы по сертификации могут использовать подход к сертификационному аудиту нескольких объектов, основанный на их выборочной проверке:

a) все объекты (площадки) работают в рамках одной и той же СМИБ, которая администрируется и управляется централизованно и подлежит анализу со стороны центрального руководства;

b) все объекты (площадки) включены в программу внутреннего аудита СМИБ организации-заказчика;

c) все объекты (площадки) включены в программу анализа со стороны руководства СМИБ организации-заказчика.

9.1.5.1.2 Орган по сертификации, предполагающий использовать подход, основанный на выборочной проверке, должен иметь действующие процедуры, обеспечивающие следующее:

a) при заключении договора на сертификацию с организацией-заказчиком выявляется, насколько это возможно, разница между объектами (площадками), чтобы можно было определить адекватный уровень выборки;

b) репрезентативное количество объектов (площадок) отобрано органом по сертификации с учетом:

1) результатов внутренних аудитов центрального офиса и на объектах (площадках);

2) результатов анализа со стороны руководства центрального офиса и на объектах (площадках);

3) различий в размерах объектов (площадок);

4) различий бизнес-целей объектов;

5) сложности информационных систем на различных объектах;

6) различий в методах работы;

7) различий в видах деятельности;

8) различий в конструкции и работе мер обеспечения;

9) потенциального взаимодействия с критическими информационными системами или информационными системами, обрабатывающими конфиденциальную информацию;

10) любых отличающихся правовых требований;

11) географических и культурных аспектов;

12) рисковых ситуаций на объектах;

13) инцидентов информационной безопасности на конкретных объектах;

c) репрезентативная выборка осуществляется из всех объектов в рамках СМИБ организации-заказчика; этот выбор должен основываться на экспертном мнении с целью отражения факторов, представленных в перечислении b), а также учета элемента случайности;

d) каждый включенный в СМИБ объект, который подвержен значительным рискам, проверяется органом по сертификации до проведения сертификации;

e) программа аудита должна быть разработана с учетом вышеуказанных требований и охватывать проверку всех объектов (площадок), входящих в область распространения СМИБ, и репрезентативных объектов (площадок) в течение трехлетнего периода;

f) в случае обнаружения несоответствия либо в центральном офисе, либо на одном объекте (площадке), процедура корректирующих действий применяется к центральному офису и всем объектам, на которые распространяется действие сертификата.

Аудит должен охватывать деятельность центрального офиса организации-заказчика, чтобы гарантировать, что единая СМИБ применяется ко всем объектам (площадкам) и обеспечивает централизованное управление на оперативном уровне. Аудит должен учитывать все указанные выше вопросы.

9.1.6 Множественные системы управления

Применяют требования ИСО/МЭК 17021-1, пункт 9.1.6. Кроме того, применяют следующие требования и руководящие указания.

9.1.6.1 ИБ 9.1.6 Интеграция документации СМИБ с документацией других систем менеджмента

Орган по сертификации может принять документацию, которая объединена с другими системами менеджмента (например, для обеспечения информационной безопасности, качества, здоровья и безопасности окружающей среды), при условии, что СМИБ четко идентифицирована и надлежащим образом показаны ее связи и взаимодействие с другими системами.

9.1.6.2 ИБ 9.1.6 Комплексные аудиты систем менеджмента

Аудит СМИБ может быть совмещен с аудитами других систем менеджмента при условии, что есть возможность продемонстрировать, что такой аудит отвечает всем требованиям сертификации СМИБ. Все элементы, имеющие значение для СМИБ, должны быть четко обозначены и легко идентифицироваться в отчетах по проведенным аудитам. На качество аудита не должно отрицательно влиять совмещение аудитов различных систем менеджмента.