ГОСТ Р ИСО/МЭК 27006-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности
Приложение C
(справочное)
МЕТОДЫ РАСЧЕТА ОБЩЕЙ ПРОДОЛЖИТЕЛЬНОСТИ/ТРУДОЕМКОСТИ АУДИТА
C.1 Общая часть
В данном приложении приведены дополнительные руководящие указания по выведению формулы для расчета общей продолжительности/трудоемкости аудита. В C.2 приведен пример классификации факторов, которые могут быть использованы в качестве основы для расчета общей продолжительности/трудоемкости аудита, а в C.3 - пример расчета общей продолжительности/трудоемкости аудита.
C.2 Классификация факторов для расчета общей продолжительности/трудоемкости аудита
В таблице C.1 приведены примеры классификации основных факторов для расчета общей продолжительности/трудоемкости аудита, перечисленных в B.3.4, перечисления a) - h). Данная классификация может использоваться органами по сертификации для выработки схемы расчета общей продолжительности/трудоемкости аудита согласно условиям 9.1.4.1.
Таблица C.1
Классификация факторов для расчета общей
продолжительности/трудоемкости аудита
| Влияние | ||
Сокращение | Нормальный режим | Увеличение | |
Факторы (см. B.3.4) |
| ||
a) Сложность структуры СМИБ: - требования ИБ [конфиденциальность, целостность и доступность (КЦД)]; - количество критичных активов; - количество процессов и услуг | Незначительная секретная и конфиденциальная информация, низкие требования по доступности. Мало критичных объектов. Один ключевой бизнес-процесс с малым количеством связей и несколькими участвующими структурными единицами | Высокие требования по доступности или некоторая секретная или конфиденциальная информация. Несколько критичных активов. Два-три простых бизнес-процесса с малым количеством связей и несколькими участвующими структурными единицами | Большое количество секретной или конфиденциальной информации (медицинская, персональные данные, страховки, банковские данные) или высокие требования по доступности. Много критичных активов. Более двух сложных процессов с большим количеством связей и участвующих структур |
b) Виды деловой активности, осуществляемой в рамках СМИБ | Низкий риск бизнеса без нормативных требований | Высокие нормативные требования | Рискованный бизнес с незначительным количеством нормативных требований |
c) Ранее продемонстрированная результативность СМИБ | Недавно сертифицирован. Не сертифицирован, но СМИБ реализована посредством нескольких циклов аудита и доработки, включая документированные внутренние аудиты, анализы со стороны руководства и действующую систему постоянного улучшения | Недавний инспекционный контроль. Не сертифицирован, но СМИБ частично реализована: имеются некоторые реализованные инструменты системы менеджмента; действуют некоторые процессы постоянного улучшения, но они документированы частично | Не сертифицирован, аудиты не проводились. СМИБ новая и не полностью внедрена (например, отсутствуют контрольные механизмы системы менеджмента, "сырые" процессы улучшения, ситуативное исполнение процессов) |
d) Степень разнообразия технологий при реализации различных компонентов СМИБ (например, количество различных ИТ-платформ, количество раздельных сетей) | Высокостандартизированная среда с незначительным разнообразием (несколько ИТ-платформ, серверов, операционных систем, баз данных, сетей и др.) | Стандартизированные, но разнообразные ИТ-платформы, серверы, операционные системы, базы данных, сети | Разнообразие или сложность ИТ (например, множество сетевых сегментов, типов серверов или баз данных, несколько основных приложений) |
e) Степень привлечения сторонних услуг и персонала, а также договоров по аутсорсингу со сторонними организациями в рамках области действия СМИБ | Без аутсорсинга и с малой зависимостью от поставщиков. Четко определенные, управляемые и контролируемые договоренности по аутсорсингу. Аутсорсер имеет сертифицированную СМИБ. Доступны соответствующие отчеты | Несколько частично регулируемых договоренностей по аутсорсингу | Большая зависимость от аутсорсинга или поставщиков, существенно влияющих на бизнес. Неизвестный объем аутсорсинга. Несколько бесконтрольных договоренностей по аутсорсингу |
f) Степень развития информационной системы | Внутренние доработки системы отсутствуют. Использование стандартных приложений и платформ | Использование стандартных платформ с комплексной конфигурацией и параметрированием. (Узко) специальное ПО. Некоторая деятельность по доработкам ПО (самостоятельно или по аутсорсингу) | Обширная внутренняя деятельность по разработке программного обеспечения по нескольким текущим проектам для важных бизнес-целей |
g) Количество объектов и количество узлов аварийного восстановления (DR) | Низкие требования по доступности, сайт отсутствует или существует один альтернативный сайт DR (аварийного восстановления) | Требования по средней или высокой доступности, сайт отсутствует или существует альтернативный сайт DR (аварийного восстановления) | Требования по высокой доступности, например услуги в режиме 24/7. Несколько альтернативных сайтов DR (аварийного восстановления). Несколько центров данных |
h) Для инспекционного или ресертификационного аудита: объем и степень изменений СМИБ в соответствии с ИСО/ МЭК 17021-1, пункт 8.5.3 | Нет изменений после последнего аудита по повторной сертификации | Незначительные изменения в области СМИБ или ведомости применимости мер обеспечения информационной безопасности, например в некоторых политиках, документах и др. Незначительные изменения в названных выше факторах | Существенные изменения в области СМИБ или ведомости применимости мер обеспечения информационной безопасности, например новые технологии, новые структурные единицы, направления, методологии оценки менеджмента рисков, политики, документация, методы снижения рисков. Значительные изменения в названных выше факторах |
C.3 Пример расчета общей продолжительности/трудоемкости аудита
Следующий пример иллюстрирует, как орган по сертификации может использовать факторы, указанные в B.3, для расчета общей продолжительности/трудоемкости аудита. Расчет общей продолжительности/трудоемкости аудита в приведенном ниже примере действует следующим образом.
Шаг 1. Определение факторов, связанных с бизнесом и организацией (кроме ИТ): определить подходящую степень для каждой из категорий, приведенных в таблице C.2, и суммировать результаты.
Шаг 2. Определение факторов, связанных со средой ИТ: определить подходящую степень для каждой из категорий, приведенных в таблице C.3, и суммировать результаты.
Шаг 3. На основании шагов 1 и 2 определить влияние факторов на общую продолжительность/трудоемкость аудита, выбрав соответствующую строку в таблице C.4.
Шаг 4. Итоговый подсчет: количество дней, определенное путем использования таблицы общей продолжительности/трудоемкости аудита (таблица B.1), умножают на коэффициент, получаемый в результате выполнения шага 3. При использовании выборочной многообъектной проверки рассчитанное количество дней увеличивают на время, необходимое для выполнения плана выборочных многообъектных проверок.
В результате получают итоговое количество дней аудита.
Таблица C.2
Факторы, связанные с бизнесом и организацией (кроме ИТ)
Категория | Степень |
Типы бизнес- и нормативных требований | 1 Организация работает в некритичных секторах бизнеса и в секторах без нормативного регулирования <a>. 2 Организация имеет заказчиков в критичных секторах бизнеса <a>. 3 Организация работает в критичных секторах бизнеса <a> |
Процесс и задачи | 1 Стандартные процессы со стандартными и повторяющимися задачами; большое количество людей выполняют работу под контролем организации, решая одни и те же задачи; небольшое количество видов продукции или услуг. 2 Стандартные, но неповторяющиеся процессы, с большим количеством продукции или услуг. 3 Комплексные процессы, большое количество видов продукции или услуг, большое количество структурных единиц, участвующих в программе сертификации (СМИБ охватывает комплексные процессы или относительно большое количество уникальных видов деятельности) |
Уровень реализации СМ | 1 СМИБ уже внедрена и функционирует, и (или) действуют другие системы менеджмента. 2 Некоторые элементы других систем менеджмента реализованы, некоторые - нет. 3 Никакие другие системы менеджмента на реализованы вообще, СМИБ новая и не отработана |
<a> Критичные сектора бизнеса - это те сектора, которые могут повлиять на услуги общественного или государственного характера и вызвать риск здоровья людей, безопасности, экономики, имиджа государства и способности правительства продолжать функционировать, что в свою очередь может оказать значительное неблагоприятное воздействие на государство. | |
Таблица C.3
Факторы, связанные с ИТ-средой
Категория | Степень |
Сложность структуры ИТ | 1 Несколько высокостандартизированных ИТ-платформ, серверов, операционных систем, баз данных, сетей и др. 2 Несколько различных ИТ-платформ, серверов, операционных систем, баз данных, сетей. 3 Много разных ИТ-платформ, серверов, операционных систем, баз данных, сетей |
Зависимость от аутсорсинга и поставщиков, включая облачные сервисы | 1 Незначительное или полное отсутствие зависимости от аутсорсинга и поставщиков. 2 Некоторая зависимость от аутсорсинга и поставщиков, связанная с некоторыми, но не всеми важнейшими направлениями бизнеса. 3 Высокая зависимость от аутсорсинга и поставщиков, большое влияние на важнейшие направления бизнеса |
Разработка информационных систем | 1 Отсутствие или очень ограниченный объем внутренних разработок систем и ПО. 2 Некоторый объем внутренних или привлеченных разработок систем и ПО для некоторых важнейших целей бизнеса. 3 Обширные внутренние разработки и привлечение систем и ПО для важнейших целей бизнеса |
Таблица C.4
Влияние факторов на общую
продолжительность/трудоемкость аудита
| Сложность системы ИТ | |||
Низкая (от 3 до 4) | Средняя (от 5 до 6) | Высокая (от 7 до 9) | ||
Сложность структуры бизнеса | Высокая (от 7 до 9) | От +5% до +20% | От +10% до +50% | От +20% до +100% |
Сложность структуры бизнеса | Средняя (от 5 до 6) | От -5% до -10% | 0% | От +10% до +50% |
Низкая (от 3 до 4) | От -10% до -30% | От -5% до -10% | От +5% до +20% | |
Примеры
1 Проверяемая организация имеет 700 сотрудников, следовательно, в соответствии с таблицей B.1, требуется 17,5 дней на проведение первоначального аудита. Организация не работает в критичном секторе бизнеса, имеет высокостандартизированные и повторяющиеся задачи и недавно внедрила СМИБ. В соответствии с таблицей C.2 в результате получаем коэффициент, связанный с бизнесом и организацией: 1 + 1 + 3 = 5. Организация имеет всего несколько ИТ-платформ и баз данных, но активно пользуется привлеченными услугами. В организации не осуществляются разработки систем или ПО и не привлекаются со стороны. В соответствии с таблицей C.3 это дает коэффициент, связанный с ИТ-средой: 1 + 3 + 1 = 5. При помощи таблицы C.4 можно сделать вывод, что корректировки общей продолжительности/трудоемкости аудита не требуется.
2 Та же самая организация, что и в первом примере, за исключением того, что в ней уже действуют несколько систем менеджмента, а СМИБ уже хорошо отработана. Это вносит изменение в расчет по таблице C.2 на следующий: 1 + 1 + 1 = 3. В соответствии с таблицей C.4 это дает снижение от 5% до 10% общей продолжительности/трудоемкости аудита, т.е. общая продолжительность/трудоемкость аудита будет сокращена от одного до полутора дней, что в итоге составит от 16 до 16,5 дней.
Подписаться на обновления