ГОСТ Р 56045-2021/ISO/IEC TS 27008:2019. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Рекомендации по оценке мер обеспечения информационной безопасности

7 Методы проведения оценки мер обеспечения информационной безопасности

 

7.1 Обзор

Основу концепции оценки мер обеспечения ИБ составляют процедуры оценки, отчетность по оценке и контроль исполнения. Структура и содержание процедур проверки учитывают цели и методы проверки.

При проведении оценки мер обеспечения ИБ аудиторы могут использовать следующие четыре метода:

- анализ процессов;

- методы изучения;

- тестирование и валидация;

- методика выборочного исследования.

В 7.2 - 7.5 приводятся дополнительные сведения о каждом из методов оценки.

Для тестирования и валидации могут быть использованы ресурсоемкие автоматизированные инструменты. При планировании их использования следует учитывать возможное влияние таких инструментов на выполняемые операции, например, планирование выполнения оценок на непиковое время. Если часть оценки основана на таком инструментальном средстве, то аудиторы, проводящие оценку мер обеспечения ИБ, должны продемонстрировать или предоставить свидетельства того, что это инструментальное средство обеспечивает надежные результаты, которые подтверждают целостность инструмента.

Тестирование и валидация являются обязательными для следующих мер обеспечения ИБ, если они "частично работоспособны" или "полностью работоспособны":

- B.2.5: Требование бизнеса по управлению доступом - ИСО/МЭК 27002 (подраздел 9.1);

- B.2.5: Процесс управления доступом пользователей - ИСО/МЭК 27002 (подраздел 9.2);

- B.2.5: Ответственность пользователей - ИСО/МЭК 27002 (подраздел 9.3);

- B.2.5: Управление доступом к системам и приложениям - ИСО/МЭК 27002 (подраздел 9.4);

- B.2.6: Криптографическая защита информации - ИСО/МЭК 27002 (пункт 10.1.1) <1>;

--------------------------------

<1> Применение криптографических методов защиты информации осуществляется в соответствии с законодательством Российской Федерации.

 

- B.2.8: Защита информации регистрационных журналов - ИСО/МЭК 27002 (пункт 12.4.2);

- B.2.9: Менеджмент информационной безопасности сетей - ИСО/МЭК 27002 (подраздел 13.1);

- B.2.10: Обеспечение безопасности прикладных сервисов, предоставляемых с использованием сетей общего пользования - ИСО/МЭК 27002 (пункт 14.1.2);

- B.2.10: Защита транзакций прикладных сервисов - ИСО/МЭК 27002 (пункт 14.1.3).

Методы оценки могут быть соответствующим образом комбинированы в зависимости от характера оценки и требуемого уровня достоверности. Оценка исследования, определяемая этим подходом, может быть следующего вида:

ПОВЕРХНОСТНАЯ ОЦЕНКА

- анализ процессов;

СРЕДНЯЯ ОЦЕНКА

- анализ процессов;

- изучение или тестирование на репрезентативной выборке;

ГЛУБОКАЯ ОЦЕНКА

- анализ процессов;

- изучение и тестирование на расширенной или исчерпывающей выборке.