Please enable JavaScript.
Coggle requires JavaScript to display documents.
МІЖНАРОДНИЙ СТАНДАРТ ІЗ ЗАХИСТУ ІНФОРМАЦІЇ ISO/ІЕС 27006 Частина 3 -…
МІЖНАРОДНИЙ СТАНДАРТ ІЗ ЗАХИСТУ ІНФОРМАЦІЇ
ISO/ІЕС 27006
Частина 3
ДОДАТОК А
(Довідковий)
Аналіз складності організації-клієнта і аспектів, специфічних для секторів торгово-промислової діяльності
Потенціал ризику організації-клієнта
При визначенні часу аудиту та компетентності аудитора повинна враховуватися складність СМІБ
Категорія складності, встановлена для СМІБ. може використовуватися для визначення наступного:
a) вимоги до компетентності аудиторів для аудиту СМІБ
b) вимоги до часу аудиту СМІБ
Фактори, що розглядаються при визначенні складності СМІБ
.
Кількість працівників + штат підрядників
Кількість користувачів
Кількість об'єктів
Кількість серверів
Кількість робочих станцій + ПК + портативних комп'ютерів
Кількість персона-лу, що займається розробкою додатків і технічним обслуговуванням
Мережева і криптографічний технологія (ISO / IEC 27001: 2005. А-9)
Значимість юридичної відповідності
Застосування конкретного для сектора ризику
Специфічні для сектора категорії ризику інформаційної безпеки
Специфічні категорії, що застосовуються до всіх організацій-клієнтам:
• зарплати, пенсії, здоров'я і безпеку, документи організації-клієнта, внутрішня і міжвідомча інформація, і т.д .;
• будь-яка інша особисто ідентифікується інформація;
• будь-яка інша комерційно секретна / важлива інформація, така як науково-дослідних, дослідно-. подробиці про організацію-клієнта, фінансові результати і прогнози, бізнес-плани, права на інтелектуальну власність, виробничі процеси і т.д.
Урядова секретна / важлива інформація:
• для громадськості;
• для електронного уряду:
• про громадян
• якою оперують урядові постачальники і виробники, така як проекти ІКТ.
• обладнання, продукти, послуги і т.д.
Специфічні категорії, що застосовуються до класів організації:
• корпоративне управління - перераховані компанії (можливо, також інші великі економічні об'єкти).
Специфічні категорії, що застосовуються до секторів торгово-промислової діяльності:
• охорона здоров'я;
• освіта;
• авіакосмічна промисловість;
• телекомунікації;
• фінансові послуги;
• благодійні установи і некомерційні організації.
ДОДАТОК В
(Довідковий)
Зразкові області компетентності аудитора
Загальна оцінка компетентності
Необхідний рівень компетентності для аудиторської групи повинен бути встановлений, узгоджуючи з промислової / технологічної областю організації та фактором складності.
Специфічна оцінка компетентності
Знання заходів управління з програми А ISO / IEC 27001: 2005
Типові питання проведення аудиту СМІБ
• Знання і досвід в політиках і вимогах ділової діяльності до інформаційної безпеки
• Загальне знання і досвід а бізнес-процесах, практиках і організаційних структурах
• Знання оцінки активів, матеріально-виробничих запасів, класифікацій і прийнятного використання політик
• Загальне знання і досвід в процесах і процедурах, використовуваних департаментами трудових ресурсів
• Знання фізичної безпеки навколишнього середовища
• Знання новітніх стандартів, процесів, технік і методів, використаних для інформаційної безпеки, включаючи заходи менеджменту, а також наявність відповідного рівня і досвіду проведення технічної експертизи.
• Сучасні знання і досвід в процесах і процедурах менеджменту інцидентів
• Сучасні знання і досвід в стандартах, процесах. планах і методах випробувань безперервності бізнесу
• Сучасне знання питань контрактів бізнесу і загальних законів і положень, пов'язаних зі СМІБ
Аудитори повинні знати і розуміти такі процеси проведення аудиту та об'єкти СМІБ:
• програмування і планування аудиту СМІБ;
• тип і методологія аудиту СМІБ;
• аудиторський ризик;
• аналіз процесів інформаційної безпеки;
• цикл Демінга (РDСА) для постійного вдосконалення;
• проведення внутрішнього аудиту інформаційної безпеки.
Аудитори повинні знати і розуміти такі регулятивні вимоги:
• інтелектуальна власність;
• зміст, захист і збереження документів організації-клієнта;
• захист даних і конфіденційність;
• регулювання криптографічних засобів контролю;
• попередження тероризму;
• електронна комерція;
• електронні та цифрові підписи;
• інспекція робочих місць;
• перехоплення в телекомунікаціях і моніторинг даних (наприклад, електронна пошта);
• зловживання комп'ютером;
• збір електронних даних;
• випробування на проникнення;
• міжнародні та національні, конкретні для сектора, вимоги (наприклад, банківська справа).
Аудитори повинні знати і розуміти такі вимоги менеджменту:
• обробка ризиків інформаційної безпеки;
• ризики безпеки аутсорсингу ICT;
• ризики інформаційної безпеки для ланцюжка поставок.
ДОДАТОК С
(Довідковий)
Тривалість аудиту
Введення
Органам сертифікації необхідно визначити тривалість аудиту, яка повинна витрачатися на первісну сертифікацію, нагляд і повторну сертифікацію для кожної організації-клієнта і сертифікованої СМІБ.
Процедура визначення тривалості аудиту
Фактори, які можуть вплинути на тривалість аудиту:
• чинники, що стосуються розміру області дії СМІБ;
• чинники, що стосуються складності СМІБ;
• вид (и) діяльності, здійснюваної а області дії СМІБ. вимоги безпеки, правові, регулюючі. договірні і вимоги, що стосуються цих видів діяльності;
• обсяг і різноманітність технологій, використаних в реалізації різних компонентів СМІБ;
• кількість об'єктів в межах області дії СМІБ. наскільки вони ідентичні або різні і чи буде перевірятися вся сукупність об'єктів або вибірка з них;
• раніше продемонстроване функціонування СМІБ;
• обсяг аутсорсингу і заходів третьої сторони, використаних в області дії СМІБ і залежність від цих послуг;
• стандарти, закони та нормативи, що застосовуються до сертифікації, і специфічні для сектора вимоги, які можуть застосовуватися.
Орган сертифікації повинен:
a) перевірити правильність і послідовність методу, за допомогою якого організація-клієнт визначає значимість ризиків інформаційної безпеки і впливів на неї;
b) підтвердити, що система, призначена для досягнення відповідності
c) підтвердити, що цілі управління і засоби контролю обрані і реалізовані правильно, їх результативність оцінюється і що процес досягнення «запобігання і відповідного реагування на порушення безпеки» є правильним і дотримується;
d) підтвердити виконання вимог документації СМІБ організації-клієнта;
e) реагувати на зрослі вимоги, що з'явилися в результаті першого етапу аудиту.
Таблиця часу аудитора
Загальні положення
У таблиці часу аудитора (таблиця С.1) встановлено середня кількість днів для початкового аудиту (тут і надалі воно включає в себе дні аудиту першого і другого етапів), яке, як показав досвід, цепесообразно для області дії СМІБ з заданим числом співробітників.
Зміна часу, витраченого на кожну сертифікацію, залежить від кількості факторів, включаючи
• розмір.
• область дії аудиту,
• матеріально-технічне забезпечення,
• складність організації
• її стан готовності до проведення аудиту
Пояснення термінів
Термін «співробітники» відноситься до всіх осіб, чия робоча діяльність має відношення до області дії СМІБ.
Фактична кількість співробітників включає непостійний {сезонний, тимчасовий і субпідрядних) штат, який буде представлений під час аудиту.
Орган сертифікації повинен узгодити з організаціями-клієнтами розрахунок тривалості аудиту, за яку найкращим чином буде продемонстрована вся область діяльності організації.
Термін «час аудитора» означає час, витрачений аудитором або аудиторською групою на перший і другий етапи аудиту та планування
Зразками факторів, які вимагають додаткового часу аудитора, можуть бути:
• складне матеріально-технічне забезпечення, що включає більше однієї будівлі або приміщення в області дії СМІБ;
• штат, що говорить на декількох мовах (знадобиться перекладач (і) або запобігання незалежної роботи окремих аудиторів);
• висока ступінь регулювання;
• СМІБ охоплює дуже складні процеси або відносно велика кількість видів діяльності, або унікальну в своєму роді діяльність;
• процедури, що передбачають використання комбінації апаратних засобів, програмного забезпечення процесів та послуг;
• дії, що вимагають інспекції тимчасових об'єктів для підтвердження правильності дії постійного об'єкта (ів). чия система менеджменту підлягає сертифікації
Прикладами факторів, що дозволяють скорочувати час аудитора, можуть бути:
• процесси / продукти з низьким ступенем ризику;
• апріорне знання організації-клієнта {наприклад, якщо організація-клієнт вже сертифікувалася по іншому стандарту тим же органом сертифікації);
• готовність організації-клієнта до сертифікації (наприклад, вже сертифікованої або визнаної за іншою схемою третьої сторони);
• процеси, що використовують один загальний вид діяльності (наприклад, тільки надання послуг).
• зрілість системи менеджменту;
• високий відсоток співробітників, що виконують аналогічні прості завдання.
Тимчасовий об'єкт - це місце, відмінне від об'єкта / місця. ідентифікованого в документі по сертифікації. де діяльність в рамках області дії сертифікації реалізується за певний період часу.
ДОДАТОК D
(Довідковий)
Вказівки щодо аналізу реалізованих заходів управління з додатку А ISO / IEC 27001: 2005
Мета
У цьому додатку представлено керівництво з аналізу впровадження заходів управління, збору доказів аудиту щодо ефективності цих заходів під час початкового аудиту та наступних інспекцій з метою нагляду.
Свідоцтво аудиту, яке збирає орган сертифікації, повинно бути достатнім, щоб зробити висновок про ефективність заходів управління.
Свідоцтво аудиту
Найкраще свідчення аудиту може бути отримано в процесі візуального спостереження аудитора
Свідоцтво може бути отримано на основі перегляду результатів здійснення контролю
Свідоцтва можуть збиратися за допомогою проведення опитування співробітників / підрядників про процеси і засоби контролю та визначення, чи є вони дійсно коректними.
Як працювати з таблицею 0.1
Колонки «Організаційний контроль» і «Технічний контроль»
«X» у відповідній колонці показує, чи є контроль організаційним або технічним.
Свідоцтва функціонування організаційних засобів контролю можуть збиратися за допомогою
• аналізу записів про функціонування засобів контролю,
• опитувань,
• спостереження
• фізичного огляду.
Колонка «Випробування системи»
«Випробування системи» означає пряму перевірку систем
Існують дві категорії перевірки технічних засобів контролю:
«Можливо»: тестування системи можливо для оцінки введення в дію засоби контролю, але зазвичай це не є необхідним;
«Рекомендується»: тестування системи зазвичай необхідно.
Колонка «Візуальна перевірка»
«Візуальна перевірка» означає, що зазвичай засоби контролю для оцінки їх ефективності вимагають візуального огляду на місці.
Це означає, що недостатньо перевірити відповідну документацію на папері або за допомогою опитувань - аудитор повинен перевірити цей засіб контролю на місці його експлуатації.
Класифікація заходів управління
А.5 Політика безпеки
А.5.1 Політика інформаційної безпеки (ІБ)
А.5.1.1 Документація політики ІБ
А.5.1.2 Аналіз політики ІБ
А.6 Організація ІБ
А.6.1 Внутрішня організація
А.6.1.1 Зобов'язання менеджменту по ІБ
А.6.1.2 Координація ІБ
А.6.1.3 Розподіл обов'язків по ІБ
А.6.1.4 Процес санкціонування засобів обробки інформації
А.6.1.5 Угоди про конфіденційність
А.6.1.6 Контакт з владою
А.6.1.7 Контакт зі спеціальними групами людей, які об'єднані спільними інтересами
А.6.1.8 Незалежна перевірка ІБ
А.6.2 Зовнішні сторони
А.6.2.1 Визначення ризиків. пов'язаних із зовнішніми сторонами
А.6.2.2 Визначення безпеки при поводженні з клієнтами
А.6.2.3 Визначення безпеки в угодах з третьою стороною
А.7 Менеджмент активами
А.7.1 Відповідальність за активи
А.7.1.1 Опис активів
А.7.1.2 Володіння активами
А.7.1.3 Прийнятне використання активів
ДОДАТОК E
(довідковий)
ПЕРЕЛІК НАЦІОНАЛЬНИХ СТАНДАРТІВ УКРАЇНИ, ІДЕНТИЧНИХ З МІЖНАРОДНИМИ СТАНДАРТАМИ, ПОСИЛАННЯ НА ЯКІ Є В ЦЬОМУ СТАНДАРТІ
.
• ДСТУ ISO/ІЕС 27000:2015 Інформаційні технології. Методи захисту. Система управління інформаційною безпекою. Огляд і словник (ІSО/ІЕС 27000:2014, ЮТ)
• ДСТУ ISO/ІЕС 27002:2015 Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки (ІSО/ІЕС 27002:2013; Соr 1:2014; IDТ)
• ДСТУ ISO/ІЕС 27005:2015 Інформаційні технології. Методи захисту. Управління ризиками інформаційної безпеки (ISO/ІЕС 27005:2011, IDТ).