ГОСТ Р 56045-2021/ISO/IEC TS 27008:2019. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Рекомендации по оценке мер обеспечения информационной безопасности

8.2 Планирование оценки

8.2.1 Обзор

При разработке планов оценки аудиторы ИБ должны определить вид оценки (например, полная или частичная оценка) и то, какие меры обеспечения ИБ и/или средства, расширяющие их возможности, должны быть включены в оценку на основе цели/области оценки. Аудиторы ИБ по возможности должны оценить и снизить риски и влияние оценки на обычное функционирование организации. Они должны выбрать соответствующие оценочные процедуры для проверки, основываясь на:

- элементах мер обеспечения ИБ и средствах, расширяющих их возможности, которые необходимо включить в оценку;

- атрибутах их глубины и покрытия.

Аудиторы ИБ должны приспособить выбранные процедуры оценки к уровню рисков информационной системы и к реальной рабочей среде организации. При необходимости они также должны разработать дополнительные процедуры оценки, не рассматриваемые в данном документе, в отношении мер обеспечения ИБ, а также средств, расширяющих их возможности, и обеспечить доверие к этим процедурам.

Результат планирования оценки должен быть документально оформлен в виде плана оценки. При планировании необходимо учитывать контекст, формирование базового уровня ожидаемого поведения в рамках определенного контекста, спецификации тестирования/оценивания и метод подтверждения достоверности выводов в контексте оценивания.

План должен включать разработку стратегии по применению расширенной процедуры оценки, если это необходимо, оптимизации процедур оценки для уменьшения дублирования работ и обеспечения относящихся к оценке экономически эффективных решений. После этого аудиторы ИБ должны оформить окончательный план оценки и получить необходимые санкции на его выполнение.

8.2.2 Определение охвата оценки

Охват определяет организационные и технические границы оценки. Охват оценки должен базироваться на выборе мер обеспечения ИБ в зависимости, например, от установленного графика непрерывного мониторинга, элементов плана действий и соответствующих этапов. Меры обеспечения ИБ с большей изменчивостью следует пересматривать чаще.

Охват оценки должен определяться аудитором ИБ совместно с руководством, используя документацию организации. Эта документация должна содержать перечень требований безопасности информационных активов и описывать элементы ИБ, установленные или планируемые для удовлетворения этих требований. Аудитор ИБ начинает с мер обеспечения ИБ, описанных в документации по ИБ, и определяет цель проверки. Оценка может охватывать все меры обеспечения ИБ организации либо часть из них, так, например, в процессе постоянного мониторинга осуществляется непрерывная оценка части мер обеспечения ИБ информационных активов. Для проведения частичных оценок владелец информационных активов определяет проверяемые меры обеспечения ИБ вместе с заинтересованными в проверке официальными лицами организации.

8.2.3 Процедуры оценки

Процедура оценки состоит из совокупности целей оценки с соответствующим набором потенциальных методов оценки и объектов оценки. Формулировки определений целей оценки тесно связаны с сущностью мер обеспечения ИБ (т.е. с функциональными возможностями мер обеспечения ИБ). Это обеспечивает уверенность в прослеживаемости результатов оценки вплоть до фундаментальных требований к мерам обеспечения ИБ. По результатам применения процедуры оценки к мере обеспечения ИБ формируются выводы оценки. Эти выводы оценки впоследствии используются для определения общей эффективности мер обеспечения ИБ. Объекты оценки определяют конкретные элементы, подлежащие оценке, а также спецификации, механизмы, процессы и физических лиц.

В приложении A представлены примеры процедур оценки, предназначенных для оценки технического соответствия и совершенствований мер обеспечения ИБ. Практическое руководство в приложении A предназначено для сбора свидетельств с целью определения, правильно ли реализованы меры обеспечения ИБ, функционируют ли они, как задумывалось, и создают ли желаемый результат в отношении выполнения требований информационных активов к ИБ. Для каждых средств, включенных в оценку меры обеспечения ИБ, и каждого средства, расширяющего их возможности, аудиторы, проводящие оценку мер обеспечения ИБ, разрабатывают соответствующую процедуру оценки, обращаясь к приложению A. Совокупность выбранных процедур оценки различна для разных проверок и зависит от назначения текущей оценки (например, ежегодная оценка мер обеспечения ИБ, непрерывный мониторинг). В приложении A представлено практическое руководство по выбору соответствующих процедур оценки в зависимости от цели оценки.

Процедуры оценки могут быть специально приспособленными в отношении:

- выбранных методов и объектов оценки, необходимых для наиболее эффективного принятия соответствующих решений и выполнения целей оценки;

- выбранных значений атрибутов "глубины" и "охвата" метода оценки, необходимых для осуществления ожиданий оценки, на основе характеристик проверяемых мер обеспечения ИБ и конкретных, требующих принятия решений;

- исключения из процедур оценки тех мер обеспечения ИБ, которые были уже проверены при проведении другого адекватного процесса оценки;

- развития информационной системы или конкретной платформы и адаптированных процедур оценки конкретной организации для успешного выполнения оценки;

- использования результатов предыдущих проверок, если эти результаты сочтены применимыми;

- осуществления соответствующих корректировок процедур оценки, чтобы иметь возможность получения требуемых свидетельств оценки от внешних поставщиков (если они имеются);

- выбранных методов оценки, уделяя должное внимание их влиянию на организацию, наряду с обеспечением уверенности в выполнении целей оценки.

8.2.4 Особенности, относящиеся к объектам

Организации могут специфицировать, документировать и конфигурировать свои информационные активы различными способами, следовательно, содержание и применение существующих свидетельств оценки будут различаться. Это может приводить к необходимости применения различных методов оценки к разным объектам оценки, чтобы сформировать свидетельства оценки, необходимые для определения, являются ли меры обеспечения ИБ эффективными при их применении. Вследствие этого перечень методов и объектов оценки, представляемый вместе с каждой процедурой оценки, называется потенциальным, чтобы отразить необходимость в возможности выбора наиболее подходящих для конкретной оценки методов и объектов. К выбранным методам и объектам оценки относятся те, которые сочтены необходимыми для создания необходимых свидетельств оценки. Потенциальные методы и объекты в процедуре оценки предоставляются как ресурс, обеспечивающий выбор надлежащих методов и объектов. По существу, аудиторы ИБ должны действовать по собственному усмотрению, осуществляя выбор из потенциальных методов оценки и общего списка объектов оценки, связанных с каждым выбранным методом.

Аудиторы ИБ должны выбирать только те методы и объекты, которые наиболее эффективно способствуют принятию решений, связанных с целью оценки. Мера качества результатов оценки основана на правильности представленного логического обоснования, а не на конкретной совокупности примененных методов и объектов. В большинстве случаев нет необходимости применять каждый метод оценки к каждому объекту оценки, чтобы получить желаемые результаты оценки. А для конкретных и всесторонних проверок, может быть, целесообразно использовать метод, не перечисленный в согласованном перечне потенциальных методов, или не использовать никакого из перечня известных методов.

8.2.5 Результаты предыдущих оценок

8.2.5.1 Обзор

Аудиторы ИБ должны использовать имеющуюся информацию о предыдущих оценках мер обеспечения ИБ, что будет способствовать большей эффективности оценок. Повторное использование результатов ранее признанных или утвержденных оценок информационных систем должно рассматриваться в рамках совокупности свидетельств для определения общей эффективности мер обеспечения ИБ.

При рассмотрении вопроса о повторном использовании результатов предыдущих проверок и ценности этих результатов для текущей оценки аудиторы ИБ должны определить:

- достоверность свидетельств;

- пригодность предыдущего анализа;

- применимость свидетельств при текущем состоянии информационных активов.

В определенных ситуациях бывает необходимо дополнить результаты предыдущей оценки, рассматриваемые на предмет их повторного использования, дополнительными мероприятиями оценки. Например, если при независимом проводимом третьей стороной оценивании продукта информационной технологии не проводилось тестирования применительно к конкретной настройке параметров конфигурации, которая применяется организацией в информационной системе, аудитору ИБ потребуется дополнить первоначальные результаты тестирования. Для этого необходимо дополнительное тестирование, которое охватит данную настройку параметров конфигурации для текущей среды информационной системы.

Информация, приведенная в 8.2.5.2 - 8.2.5.4, предназначена для оценки возможности использования результатов предыдущих проверок для текущей оценки.

8.2.5.2 Меняющиеся условия

Меры обеспечения ИБ, сочтенные эффективными во время предыдущих проверок, могут стать неэффективными в результате изменившихся условий, связанных с информационными активами или окружающей средой. Соответственно возможно, что результаты оценки, признанные ранее приемлемыми, могут больше не давать достоверных свидетельств для определения эффективности мер обеспечения ИБ и потребуется новая оценка. Применение результатов предыдущей оценки в ходе текущей оценки требует выявления всех изменений, произошедших со времени предыдущей оценки, и степени влияния этих изменений на результаты предыдущей оценки. Например, повторное использование результатов предыдущей оценки, включающей изучение политик и процедур обеспечения безопасности организации, может быть приемлемым, если определено, что никаких существенных изменений идентифицированных политик, процедур и среды риска не произошло.

8.2.5.3 Допустимость использования результатов предыдущих оценок

Допустимость использования результатов предыдущих проверок при оценке мер обеспечения ИБ должна координироваться и утверждаться лицами, использующими результаты оценки. Необходимо, чтобы владелец информационных активов сотрудничал с соответствующими должностными лицами организации (например, с директором по информационным технологиям, ответственным за информационную безопасность, ответственными за целевую задачу или владельцами информации) при определении допустимости использования результатов предыдущих проверок. Решение об использовании результатов предыдущих проверок должно документироваться в плане оценки и окончательном отчете.

В оценку безопасности допускается включать выводы предыдущих оценок безопасности, если:

- это специально разрешено в плане аудита;

- все ограничения и проблемы предыдущей оценки, связанные с проведением текущей оценки, отражены в документации, что включает в себя вопросы, частично решаемые в рамках текущих планов действий;

- у аудиторов ИБ есть все основания полагать, что на сегодняшний день результаты актуальны;

- любые текущие или процедурные изменения в мерах обеспечения ИБ или процессах, к которым они применяются, должным образом учитываются в текущей оценке;

- в отчете об оценке четко указаны возможные проблемы и риски, связанные с использованием результатов предыдущей оценки.

8.2.5.4 Временные аспекты

Как правило, с увеличением периода времени между текущей и предыдущими оценками достоверность/полезность результатов предыдущих оценок уменьшается. Это связано в основном с тем, что информационные активы или среда, в которой функционируют информационные активы, с большой вероятностью изменяются с течением времени, возможно, делая недействительными исходные условия или предположения, на которых была основана предыдущая оценка.

8.2.6 Рабочее задание

Независимость аудитора ИБ может быть критическим фактором при выполнении некоторых видов оценок, особенно для информационных активов со средним и высоким уровнями риска. Степень независимости аудитора, требуемая при оценке, должна быть постоянной. Например, неуместно повторно использовать результаты предыдущих оценок, в которых не требовалась независимость аудитора ИБ, в текущей оценке, требующей большей степени независимости.

8.2.7 Внешние системы

Представленные в приложении A методы и процедуры оценки должны быть соответствующим образом скорректированы для выполнения оценки внешних информационных систем. Поскольку организация не всегда имеет возможность проведения непосредственного контроля мер обеспечения ИБ, используемых во внешних информационных системах, или достаточного визуального контроля разработки, реализации и оценки этих мер обеспечения ИБ, то может потребоваться применение альтернативных подходов к оценке. Это может приводить к необходимости адаптации процедур оценки, описанных в приложении A. При необходимости согласованные меры обеспечения ИБ информационной системы документируются в договорах или соглашениях об уровне услуг. Аудитор ИБ должен проверять эти договоры или соглашения и в соответствующих случаях либо адаптировать процедуры для оценки мер обеспечения ИБ, представленных по этим соглашениям, либо результаты оценки мер обеспечения ИБ предоставлять через соглашения. Кроме того, аудиторы ИБ должны учитывать информацию, полученную при любых оценках, проведенных или находящихся в процессе проведения организациями, эксплуатирующими внешние информационные системы, которые имеют отношение к защищаемым информационным активам на основании проводимой оценки. Соответствующая информация, полученная в результате этих проверок, если она будет сочтена достоверной, должна быть включена в отчет.

8.2.8 Информационные активы и организация

Процедуры оценки могут быть приспособлены для анализа системы или конкретной платформы, или зависимостей конкретной организации. Такая ситуация часто возникает в процедурах проверок, связанных с мерами обеспечения ИБ из числа технических мер обеспечения ИБ (т.е. управление доступом, аудит и подотчетность, идентификация и аутентификация, защита систем и средств связи). Результаты последнего тестирования могут быть также применимы для текущей оценки, если его методы обеспечивают высокую степень прозрачности (например, что тестировалось, когда и каким образом). Протоколы тестирования на основе стандартов могут представлять примеры, как организации могут способствовать достижению подобного уровня прозрачности.

8.2.9 Расширенная процедура оценки

Организации обладают большой гибкостью при выполнении требований доверия к мерам обеспечения ИБ. Например, в отношении такого требования, как доверие своевременному рассмотрению недостатков. Организация может удовлетворять этому требованию по принципу "в зависимости от конкретной меры обеспечения ИБ", по принципу "в зависимости от вида меры обеспечения ИБ", по принципу "в зависимости от конкретной системы" или возможно даже по организационному уровню. Принимая во внимание такую гибкость, расширенная процедура оценки применяется по принципу "в зависимости от конкретной оценки" обычно в соответствии с тем, как организация решает достигать доверия к проверяемым информационным активам. Метод применения расширенной процедуры оценки должен документироваться в плане оценки. Далее организация выбирает соответствующие цели оценки из расширенной процедуры оценки на основе уровня рисков для информационных активов. Применение расширенной процедуры оценки предназначается для дополнения других процедур оценки с целью обеспечения уверенности в том, что меры обеспечения ИБ реализованы правильно, функционируют, как предназначалось, и дают желаемый результат в отношении выполнения применяемых требований ИБ.

8.2.10 Оптимизация

Аудиторы ИБ должны проявлять определенную степень гибкости в вопросе формирования плана оценки, отвечающего потребностям организации. Это дает возможность получения необходимых свидетельств при определении эффективности мер обеспечения ИБ при одновременном снижении общих расходов на оценку.

Комбинирование и объединение процедур оценки является одной из сфер, где может быть применена гибкость. Во время оценки методы оценки многократно применяются к различным объектам оценки в рамках конкретной области применения мер обеспечения ИБ.

Чтобы сэкономить время, уменьшить расходы на оценку и максимально увеличить полезность результатов оценки, аудиторы ИБ должны рассмотреть выбранные процедуры оценки для областей применения мер обеспечения ИБ и там, где это возможно и осуществимо, скомбинировать или объединить процедуры (или части процедур).

Например, аудиторы ИБ могут объединить опросы ключевых должностных лиц организации по различным темам, имеющим отношение к ИБ. Аудиторы ИБ могут воспользоваться другой возможностью существенного объединения процедур и экономии расходов путем одновременного изучения всех применяемых политик и процедур, касающихся обеспечения безопасности, или формирования групп взаимосвязанных политик и процедур, которые можно изучать как единый элемент. Получение и изучение параметров конфигурации сходных аппаратных и программных компонентов в соответствующих информационных системах является еще одним примером того, как можно обеспечить существенную эффективность оценки.

Дополнительной сферой, заслуживающей внимания при оптимизации процесса оценки, является последовательность, в которой осуществляется оценка мер обеспечения ИБ. Оценка некоторых мер обеспечения ИБ раньше других может предоставить информацию, облегчающую понимание и оценку других мер обеспечения ИБ. Например, сферы применения мер обеспечения ИБ могут создавать общие описания информационных активов. Оценка этих мер обеспечения ИБ в начале процесса оценки может обеспечить базовое понимание информационных активов, которое может помочь при оценке других мер обеспечения ИБ. Дополнительные рекомендации по многим мерам обеспечения ИБ также определяют взаимосвязанные меры обеспечения ИБ, которые могут предоставить полезную информацию для организации процедур оценки. Другими словами, последовательность осуществления оценки может способствовать многократному использованию информации оценки одной меры обеспечения ИБ при оценке других взаимосвязанных мер обеспечения ИБ.

8.2.11 Завершающий этап

После выбора процедур оценки (включая разработку необходимых процедур, не включенных в данный документ), их адаптации к конкретным информационным активам и к характерным условиям организации, оптимизации процедур для обеспечения эффективности, применения в необходимых случаях расширенной процедуры оценки и рассмотрения возможности влияния неожиданных событий на оценку плану оценки придается окончательная форма и устанавливаются сроки выполнения с включением основных контрольных точек процесса оценки.

По завершении разработки плана оценки он рассматривается и утверждается соответствующими должностными лицами организации. При этом данный план должен:

- практически быть законченным;

- соответствовать целям безопасности организации и анализу рисков организации;

- экономически быть эффективным в отношении ресурсов, выделенных для оценки.

Если в ходе оценки возможно прерывание обычного функционирования организации (например, в результате отвлечения ключевого персонала или возможных (временных) сбоев систем из-за тестирования на проникновение), в плане оценки должен быть указан масштаб такого прерывания и его временные рамки.