ГОСТ Р 56045-2021/ISO/IEC TS 27008:2019. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Рекомендации по оценке мер обеспечения информационной безопасности

8 Процесс оценки мер обеспечения информационной безопасности

 

8.1 Подготовка

Определение и хранение соответствующей совокупности ожидаемых результатов до, во время и после оценки имеет первостепенное значение для достижения приемлемого результата. Это означает предоставление информации, позволяющей руководству принимать верные, основанные на рисках решения о том, каким образом лучше всего реализовывать и эксплуатировать информационные системы. Тщательная подготовка организации и аудиторов, осуществляющих оценку мер обеспечения ИБ, является важным аспектом проведения эффективных оценок. В ходе подготовительной деятельности следует рассматривать вопросы, связанные с расходами, графиком, наличием необходимой компетентности и проведением оценки.

С точки зрения организации подготовка к оценке включает следующие основные мероприятия:

- обеспечение уверенности в том, что соответствующие политики, охватываемые оценкой, существуют и осознаны всеми структурными элементами организации;

- обеспечение уверенности в том, что все запланированные шаги по реализации мер обеспечения ИБ были успешно выполнены до оценки и соответствующим образом проанализированы руководством (это применимо только в том случае, если меры обеспечения ИБ отмечены как "полностью функционирующие", а не находятся на этапе подготовки/реализации);

- обеспечение уверенности в том, что выбранные меры обеспечения ИБ поручены соответствующим организационным единицам для разработки и реализации;

- установление цели и области оценки (т.е. предназначения оценки и того, что будет проверяться);

- уведомление основных должностных лиц организации о предстоящей оценке и выделение необходимых ресурсов для проведения оценки;

- установление соответствующих каналов связи между должностными лицами организации, заинтересованными в оценке;

- установление временных рамок для проведения оценки и основных контрольных точек принятия решений, необходимых организации для осуществления эффективного менеджмента оценки;

- выбор компетентного аудитора для проведения оценки мер обеспечения ИБ или аудиторской группы, которые будут ответственными за проведение оценки, учитывая вопросы независимости аудиторов, осуществляющих оценку мер обеспечения ИБ;

- сбор артефактов для предоставления аудиторам, проводящим оценку мер обеспечения ИБ (например, документации по мерам обеспечения ИБ, включая организационные схемы, политики, процедуры, планы, спецификации, проекты, записи, руководства администратора/оператора, документацию информационной системы, соглашения о межсистемной связи, результаты предыдущих проверок);

- установление правил взаимодействия между организацией и аудиторами, проводящими оценку мер обеспечения ИБ, позволяющих свести к минимуму неопределенности или неправильные представления о реализации мер обеспечения ИБ или слабых местах/недостатках мер обеспечения ИБ, установленных во время оценки;

- минимизация неопределенностей во взаимоотношениях организации с аудиторами ИБ с помощью механизма, который может иметь форму документа отслеживания.

В документе отслеживания могут отражаться предоставляемые (организацией) и запрашиваемые (аудиторами) документы, а также их достоверность. В документе могут содержаться запросы дополнительной информации и отслеживаться неоправданные задержки ее предоставления.

В дополнение к мероприятиям по планированию, осуществляемым организацией для подготовки к оценке, аудиторы, проводящие оценку мер обеспечения ИБ, должны начинать подготовку к оценке посредством следующих мер:

- достижения понимания общего функционирования организации (включая целевую задачу, функции и процессы бизнеса), а также того, каким образом информационные активы, попадающие в область оценки, поддерживают функционирование организации;

- достижения понимания общей структуры информационных активов (например, архитектуры системы);

- достижения глубокого понимания всех мер обеспечения ИБ, подлежащих оценке;

- изучения важных публикаций, на которые в мерах обеспечения ИБ есть ссылки;

- определения организационных единиц, ответственных за разработку и реализацию подлежащих оценке мер обеспечения ИБ;

- установления в организации соответствующих контактных лиц, необходимых для проведения оценки;

- получения артефактов, необходимых для проверки (например, документации по мерам обеспечения ИБ, включая организационные схемы, политики, процедуры, планы, спецификации, проекты, записи, руководства администратора/оператора, документацию информационной системы, соглашения о межсистемной связи, инвентарные списки активов);

- получения результатов предыдущих проверок, которые могут быть надлежащим образом повторно использованы для оценки (например, отчетов, обзоров, исследований уязвимостей, проверок физической безопасности, тестирования и оценки развития);

- встречи с соответствующими должностными лицами организации для обеспечения уверенности в общем понимании целей оценки, предлагаемой формы и области оценки;

- разработки плана оценки.

При подготовке к оценке мер обеспечения ИБ следует собрать необходимую исходную информацию, которая должна быть предоставлена аудиторам, осуществляющим оценку мер обеспечения ИБ. В рамках необходимой поддержки каждой конкретной оценки организация должна определить и подготовить доступ к организационным элементам (лицам или группам лиц), отвечающим за разработку, документирование, распространение, оценку, эксплуатацию, поддержку и обновление всех мер обеспечения ИБ, политик безопасности и взаимосвязанных процедур, для реализации соответствующих политикам мер обеспечения ИБ.

Доступность необходимой документации, а также ведущего персонала организации и проверяемых информационных систем крайне важна для успешной оценки мер обеспечения ИБ.