Все госты и снипы онлайн

Более 10000 документов в открытом доступе, абсолютно бесплатно

ГОСТ Р… - ГОСТ Р 56045-2014 Информационная технология. Методы и средства обеспечения безопасности. Рекомендации для аудиторов в отношении мер и средств контроля и управления информационной безопасностью…

Этот документ был распознан автоматически. В блоке справа Вы можете найти скан-копию. Мы работаем над ручным распознаванием документов, однако это титанический труд и на него уходит очень много времени. Если Вы хотите помочь нам и ускорить обработку документов, Вы всегда можете сделать это, пожертвовав нам небольшую сумму денег.

Файлы для печати:

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИНАЦИОНАЛЬНЫЙГОСТ Р 56045 —СТАНДАРТ2014/ISO/IEC TRРОССИЙСКОЙФЕДЕРАЦИИ27008:2011Информационная технологияМЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯБЕЗОПАСНОСТИРекомендации для аудиторов в отношении мер исредств контроля и управления информационнойбезопасностью ISO/IECTR 27008:2011 Information technology -- Security techniques - Guidelines for auditors on information security controls (IDT) Издание оф ициальное Москва Стандартинформ 2015выполнение проектных работ
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011Предисловие 1 ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием «Всероссийский научно-исследовательский институт стандартизации и сертификации в машиностроении» (ФГУП «ВНИИНМАШ»), Обществом с ограниченной ответственностью «Информационно-аналитический вы­ числительный центр» (ООО «ИАВЦ») и Обществом с ограниченной ответственностью «Научнопроизводственная фирма «Кристалл» (ООО «НПФ «Кристалл») на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4 2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 «Информационные технологии» 3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому ре­ гулированию и метрологии от «11» июня 2014 г. № 569-ст 4 Настоящий стандарт идентичен международному документу ISO/IEC TR 27008:2011 «Ин­ формационная технология. Методы обеспечения безопасности. Рекомендации для аудиторов в от­ ношении мер и средств контроля и управления информационной безопасностью» (ISO/IEC TR 27008:2011 «Information technology - Security techniques - Guidelines for auditors on infor­ mation security controls») Наименование настоящего стандарта изменено относительно наименования указанного между­ народного стандарта для приведения в соответствие с ГОСТ Р 1.5 (пункт 3.5). При применении настоящего стандарта рекомендуется использовать вместо ссылочных между­ народных стандартов соответствующие им национальные стандарты Российской Федерации, сведе­ ния о которых приведены в дополнительном приложении ДА. 5 ВВЕДЕН ВПЕРВЫЕПравила применения настоящего стандарта установлены в ГОСТ Р 1.0—2012 (раздел 8).Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на1 января текущего года) информационном указателе «Национальные стандарты», а официаль­ный текст изменений и поправок - в ежемесячном информационном указателе «Национальныестандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответст­ вующее уведомление будет опубликовано в ближайшем выпуске информационного указателя «На­ циональные стандарты». Соответствующая информация, уведомление и тексты размещаютсятакже в информационной системе общего пользования - на официальном сайте Федеральногоагентства по техническому регулированию и метрологии в сети Интернет (gost.ru)© Стандартинформ. 2015 Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения национального органа Российской Федерации по стандартизации.
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011Содержание 1 Область применения......................................................................................................................... 1 2 Нормативные ссылки..................................................................... 1 3 Термины и определения...................................................................................................................1 4 Структура данного стандарта.......................................................................................................... 1 5 Предпосылки................................................. 2 6 Обзор проверок мер и средств контроля и управления информационной безопасностью....................................................................................................... 3 7 Методы проверок................................. 6 8 Деятельность................................................................................................................................... 11 Приложение А (справочное) Практическое руководство по проверке технического соответствия......................................... 20 Приложение В (справочное) Начало сбора информации (отличной от И Т )............................ 36 Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации......................................................................................................................39 Библиография..................................................................................................................................... 40 III
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011Введение ИСО/МЭК ТО 27008 был подготовлен совместным техническим комитетом ИСО/МЭК СТК 1«Информационная технология», подкомитетом ПК 27 «Методы и средства обеспечения безопасно­сти ИТ». Настоящий стандарт поддерживает определенный в ИСО/МЭК 27001 и ИСО/МЭК 27005 процесс менеджмента риска системы менеджмента информационной безопасности (СМИБ), а также меры и средства контроля и управления, включенные в ИСО/МЭК 27002. Настоящий стандарт предоставляет руководство по проверке мер и средств контроля и управ­ ления информационной безопасностью организации, например, в организации, процессах бизнеса и системном окружении, включая проверку технического соответствия. За рекомендациями по аудиту элементов систем менеджмента следует обращаться к ИСО/МЭК 27007, а по проверке соответствия СМИБ требованиям для целей сертификации - к ИСО/МЭК 27006. IV
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 Н А Ц И О Н А Л Ь Н Ы Й С Т А Н Д А Р Т Р О С С И Й С К О Й Ф Е Д Е Р А Ц И И Информационная технология МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ Рекомендации для аудиторов в отношении мер и средств контроля и управления инф ормационной безопасностью Information technology - Security techniques - Guidelines for auditors on information security controls Д а та в в е д е н и я — 2 0 15—0 6 — 011 Область применения Настоящий стандарт продоставляет руководство по проверке реализации и функционирования мер и средств контроля и управления, включая проверку технического соответствия мер и средств контроля и управления информационных систем, согласно установленным в организации стандартам по информационной безопасности. Настоящий стандарт применим для организаций всех видов и любой величины, включая акцио­ нерные общества открытого и закрытого типа, государственные учреждения и некоммерческие орга­ низации, проводящие проверки информационной безопасности и технического соответствия. На­ стоящий стандарт не предназначен для аудитов систем менеджмента.2 Нормативные ссылки В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты. Для датированных ссылок следует использовать только указанное издание, для недати­ рованных ссылок - последнее издание указанного документа (включая все его изменения). ИСО/МЭК 27000:20091) Информационная технология. Методы и средства обеспечения безо­пасности. Системы менеджмента информационной безопасности. Обзор и терминология (ISO/IEC 27000:2009. Information technology - Security techniques -Information security management sys-tems - Overview and vocabulary).3 Термины и определения В настоящем стандарте применены термины по ИСО/МЭК 27000. а также следующие термины с соответствующими определениями: 3.1 объект проверки (review object): Конкретный проверяемый элемент. 3.2 цель проверки (review objective): Формулировка, описывающая, что должно быть достигнуто в результате проверки. 3.3 стандарт реализации безопасности (security implementation standard): Документ, предпи­ сывающий санкционированные способы реализации безопасности.4 Структура настоящего стандарта Настоящий стандарт содержит описание процесса проверки мер и средств контроля и управле­ ния информационной безопасностью, включая проверку технического соответствия. В разделе 5 представлена вводная информация. В разделе 6 представлен общий обзор проверок мер и средств контроля и управления инфор­ мационной безопасностью. В разделе 7 представлены методы проверок . а в разделе 8 - деятельность по проверке-. В приложении А приведено практическое руководство по проверке технического соответствия, а в приложении В дается описание начала сбора информации - . " Отменен. Действует ИСО/МЭК 27000:2014. Для однозначного соблюдения требований настоящего стандарта, выраженных в датированных ссылках, рекомендуется использовать только указанный ссылочный стандарт. Издание оф ициальное 1
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:20115 Предпосылки Меры и средства контроля и управления информационной безопасностью организации должны выбираться организацией на основе результата оценки риска в рамках процесса менеджмента риска информационной безопасности, чтобы снижать свои риски до допустимого уровня. Однако организа­ ции, решившие не реализовывать СМИБ, могут отдать предпочтение другим способам выбора, реа­ лизации и поддержки мер и средств контроля и управления информационной безопасностью. Часть мер и средств контроля и управления информационной безопасностью организации обычно осуществляется путем реализации технических мер и средств контроля и управления инфор­ мационной безопасностью, например, когда информационные активы включают информационные системы. Технические меры и средства контроля и управления информационной безопасностью необхо­ димо определять, документально оформлять, реализовать и поддерживать в соответствии со стан­ дартами, относящимися к информационной безопасности. С течением времени на эффективность мер и средств контроля и управления информационной безопасностью и в конечном счете на приме­ нение в организации стандартов информационной безопасности могут оказывать негативное влияние внутренние факторы, такие как корректировки информационных систем, конфигурации функций безо­ пасности и изменения окружающей среды информационных систем, а также внешние факторы, такие как совершенствование навыков атаки. У организаций должна быть строгая программа контроля из­ менений, касающихся информационной безопасности. Организации должны регулярно проверять, осуществляется ли соответствующее применение стандартов, касающихся реализации безопасности, и их действие. Проверка технического соответствия включена в ИСО/МЭК 27002:2005 в качестве од­ ной из мер и средств контроля и управления, осуществляемой вручную и/или посредством специаль­ ных проверок с помощью автоматизированных инструментальных средств. Она может осуществлять­ ся лицами, выполняющими роль, не задействованную в осуществлении меры и средства контроля и управления (например, владельцем системы или персоналом, отвечающим за конкретные меры и средства контроля и управления), или внутренними или внешними специалистами по обеспечению информационной безопасности, включая аудиторов информационной технологии (ИТ). Результат проверки технического соответствия объясняет фактический уровень технического соответствия реализации информационной безопасности в организации требованиям стандартов. Это обеспечивает уверенность в том, что состояние технических мер и средств контроля и управле­ ния соответствует стандартам информационной безопасности или. в противном случае, служит осно­ вой для совершенствования. В начале проверки должна быть четко установлена последовательность отчетности по аудиту и должна обеспечиваться целостность процесса отчетности. Должны предпри­ ниматься шаги, чтобы обеспечить: получение соответствующими ответственными сторонами неизмененной копии отчета не­ посредственно от аудиторов, проводящих проверку мер и средств контроля и управления информа­ ционной безопасностью; невозможность получения несоответствующими или неуполномоченными сторонами копии отчета от аудиторов, проводящих проверку мер и средств контроля и управления информационной безопасностью; возможность беспрепятственного выполнения работы аудиторами, проводящими проверку мер и средств контроля и управления информационной безопасностью. Проверки мер и средств контроля и управления информационной безопасностью, в особенности проверки технического соответствия могут помочь организации: установить и понять степень серьезности потенциальных проблем или недостатков реали­ зации и действия мер и средств контроля и управления информационной безопасностью, стандартов информационной безопасности и. в результате, технических мер и средств контроля и управления информационной безопасностью организации; установить и понять потенциальное влияние на организацию воздействия недостаточно ослабленных угроз и уязвимостей информационной безопасности; установить приоритеты в действиях по уменьшению риска информационной безопасности; подтвердить, что вопрос, касающийся ранее установленных или возникающих слабых мест или недостатков информационной безопасности, был адекватным образом решен: поддерживать бюджетные решения в рамках инвестиционного процесса и другие решения руководства, связанные с совершенствованием менеджмента информационной безопасности органи­ зации. Настоящий стандарт предназначен для проверки мер и средств контроля и управления инфор­ мационной безопасностью, включая проверку технического соответствия относительно реализации организацией установленного стандарта по информационной безопасности. Настоящий стандарт не 2
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 предназначен для предоставления какого-либо конкретного руководства по проверке соответствия в отношении измерений, оценки риска или аудита СМИБ. как определено в ИСО/МЭК 27004, ИСО/МЭК 27005 или ИСО/МЭК 27007 соответственно. Использование настоящего стандарта в качестве отправной точки процесса определения про­ цедур для проверки мер и средств контроля и управления информационной безопасностью способст­ вует более стабильному уровню информационной безопасности в рамках организации. Он предлага­ ет необходимую гибкость в уточнении параметров процесса проверки на основе целевой задачи и целей бизнеса, политик и требований организации, известной информации об угрозах и уязвимостях, представлений об операционной деятельности, зависимостей информационных систем и платформ и готовности рисковать. П р и м е ч а н и е - ИСО Руководство 73 определяет готовность рисковать как величину и вид риска, кото­ рый организация готова рассматривать, сохранять или принимать.6 Обзор проверок мер и средств контроля и управления информационнойбезопасностью 6.1 Процесс проверки Приступая к конкретной проверке, относящейся к информационной безопасности, аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, обычно начинают со сбора предварительной информации, рассмотрения планируемого объема и содержания работ, установления связи с руководителями и другими контактными лицами в соответствующих час­ тях организации и расширенной оценки риска, связанного с проверкой, чтобы разработать докумен­ тацию по проверке, представляющую собой руководство по осуществляемой проверочной деятель­ ности. Для эффективного осуществления проверок назначенные аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны быть хорошо подготовле­ ны как в области мер и средств контроля и управления, так и в области тестирования (например, экс­ плуатация применимых инструментальных средств, техническая цель тестирования). На этом уровне могут быть установлены приоритетные этапы работы по проверке в соответствии с осознаваемыми рисками, также этапы работы могут быть спланированы согласно определенному процессу бизнеса или системы или могут быть разработаны просто для последовательного охвата всех сфер, входя­ щих в область проверки. Предварительная информация может поступать из различных источников: книги. Интернет, технические руководства, стандарты и другие общие сведения, содержа­ щиеся в исследовательских работах по распространенным рискам и мерам и средствам контроля и управления в данной сфере, материалах конференций, симпозиумов, семинаров или форумов; результаты предыдущих проверок, тестирований и оценок, частично или полностью отно­ сящихся к текущей области проверки и так или иначе выполненных аудиторами, проводящими про­ верку мер и средств контроля и управления информационной безопасностью (например, предвари­ тельные тесты безопасности, проведенные специалистами по обеспечению информационной безо­ пасности, могут дать обширные знания по безопасности основных прикладных систем); сведения о соответствующих инцидентах информационной безопасности, ситуациях, близких к инцидентам, вопросах поддержки и изменениях, полученные от службы технической под­ держки ИТ, из процессов менеджмента изменений ИТ. процессов менеджмента инцидентов ИТ и из аналогичных источников; общие перечни контрольных проверок и договоров, касающихся проверки мер и средств контроля и управления информационной безопасностью и проводимых аудиторами или специали­ стами по информационной безопасности с опытом работы в данной сфере. Может быть уместным проведение пересмотра планируемой области проверки в свете предва­ рительной информации, особенно если план проверки, первоначально определивший область про­ верки. подготавливался за много месяцев до этого. Например, дополнительные проверки могут рас­ крыть проблемы, заслуживающие более глубокого исследования, или. наоборот, могут обеспечить ббльшую уверенность в некоторых областях, позволяя сосредоточить назначенную работу на чем-то другом. На начальном этапе важно установить связи с руководителями и контактными лицами, связан­ ными с проверкой. По завершении процесса проверки от этих людей требуется понимание выводов проверки, чтобы адекватно реагировать на отчет о результатах проверки. Взаимопонимание, взаим­ ное уважение и способность объяснить процесс проверки существенно повышают качество и эффек­ тивность результата. 3
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011 Поскольку способ документального оформления своей работы разными лицами различается, то для многих функций проверки используют стандартизированные процессы проверки, поддерживае­ мые документами-шаблонами для рабочих материалов, такими как контрольные перечни для провер­ ки. опросные листы по внутреннему контролю, графики тестирования, таблицы управления риском и т. д. Контрольный перечень для проверки (или аналогичный документ) является основным докумен­ том по нескольким причинам: в нем изложены планируемые сферы проверочной деятельности, возможно, и уровни де­ тального описания отдельных тестов по проверке и ожидаемые/идеальные выводы; он предоставляет состав работ, способствуя обеспечению уверенности в полном охвате планируемой области; необходимый для создания контрольного перечня анализ в первую очередь подготавли­ вает аудиторов, проводящих проверку мер и средств контроля и управления информационной безо­ пасностью. к последующей практической проверочной деятельности, в то время как заполнение кон­ трольного перечня в ходе проверки способствует развитию аналитического процесса, из которого бу­ дут выводиться данные для отчета о результатах проверки; он предоставляет рамки для фиксирования результатов предварительной обработки ин­ формации и практической проверочной деятельности, а также, например, место для ссылок и ком­ ментариев к собранным свидетельствам проверки; он может быть проверен руководителями аудита или другими аудиторами, проводящими проверку мер и средств контроля и управления информационной безопасностью, как часть процесса по обеспечению качества проверки; будучи полностью заполненным, он (наряду со свидетельствами проверки) представляет собой достаточно подробную запись о проведенной проверочной деятельности и полученных выво­ дах. которая может потребоваться для обоснования или подтверждения отчета о результатах про­ верки. информирования руководства и/или помощи при планировании будущих проверок. Аудиторы информационной безопасности должны проявлять осторожность, чтобы просто ис­ пользовать общие контрольные перечни для проверки, составленные другими, так как за исключени­ ем возможной экономии времени это. вероятно, сведет на нет некоторые из вышеперечисленных вы­ год. (Это. по-видимому, менее проблематично в случав прямых проверок соответствия или сертифи­ кационных проверок, потому что требования, которые должны выполняться обычно являются доста­ точно определенными.] Основной объем практической проверочной деятельности состоит из серии тестов, проводимых самими аудиторами или по их запросу, для сбора свидетельств проверки и их рассмотрения часто путем сравнения с ожидаемыми результатами, которые выводятся из соответствующих обязательств по обеспечению соответствия, стандартов или из более общей оценки хороших практических прие­ мов. Например, один из тестов в рамках проверки информационной безопасности, изучающий меры и средства контроля и управления для защиты от вредоносного программного средства, может прове­ рять. существуют ли на всех применяемых компьютерных платформах соответствующие антивирус­ ные программы. При применении для проверки тестов, подобных указанному, часто используют ме­ тод выборки, поскольку для всеохватывающей проверки обычно бывает недостаточно ресурсов. Практические приемы выборки различаются в зависимости от аудиторов, ситуаций и могут включать случайную выборку, стратифицированную выборку и другие более сложные статистические методы выборки (например, использование дополнительной выборки, если первоначальные результаты не­ удовлетворительны, чтобы подтвердить степень слабости мер и средств контроля и управления). Как правило, полное тестирование возможно в тех случаях, когда свидетельства могут быть собраны и протестированы электронным способом, например, используя запросы SQL’ 1 в базе данных свиде­ тельств проверки, подобранных из систем или баз данных менеджмента активов. Подход к выбороч­ ному аудиторскому обследованию должен, по крайней мере, частично определяться рисками, свя­ занными с подвергающейся аудиту сферой деятельности. Собранные в ходе проверки свидетельства должны отмечаться, упоминаться или вноситься в список рабочих документов проверки. Свидетельства проверки, наряду с анализом, выводами, реко­ мендациями по проверке и отчетами о результатах проверки, должны быть надлежащим образом за­ щищены аудиторами, проводящими проверку мер и средств контроля и управления информационной безопасностью, особенно в связи с тем. что некоторые свидетельства являются крайне чувствитель­ ными и/или ценными. Защита данных, извлеченных, например, из используемых в организации баз данных с целью проверки, должна обеспечиваться в той же степени, что и защита самих баз данных, путем использования мер и средств контроля и управления доступом, шифрования и т. д. Автомати­ зированные инструментальные средства проверки, запросы, утилиты/программы извлечения данных ' SQL (Structured Query Language) - Язык структурированных запросов. 4
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 и т. д. должны строго контролироваться. Защита распечаток, сделанных или полученных аудиторами, проводящими проверку мер и средств контроля и управления информационной безопасностью, должна обеспечиваться путем содержания их «под замком» для предотвращения несанкционирован­ ного раскрытия или модификации. В случае особенно чувствительных проверок риски, а, следова­ тельно. необходимые меры и средства контроля и управления информационной безопасностью должны быть идентифицированы и подготовлены на раннем этапе проверки. Заполнив контрольный перечень для проверки, проведя серию тестов и собрав достаточно сви­ детельств проверки, аудиторы, проводящие проверку мер и средств контроля и управления инфор­ мационной безопасностью, смогут изучить свидетельства, определить степень обработки рисков ин­ формационной безопасности и проверить потенциальное влияние любых остаточных рисков. На этом этапе обычно составляется проект отчета о результатах проверки в произвольной форме, его качест­ во рассматривается в рамках функции проверки и обсуждается с руководством, особенно с руково­ дством филиалов организации, отделов, функциональных подразделений или групп, непосредственно подпадающих под проверку, и. возможно, также других затрагиваемых подразделений организации. Руководители аудита должны беспристрастно рассматривать свидетельства аудита с целью проверки что: существует достаточное количество свидетельств проверки для обеспечения фактической основы, подтверждающей все выводы проверки: все выводы и рекомендации являются важными в отношении области проверки, а все не­ существенные вопросы исключаются. Если, исходя из выводов, планируется дальнейшая работа по проверке, это должно быть отме­ чено в отчете. Процесс анализа, как и планирование проверки, по существу, основан на риске, хотя и распола­ гает ббльшей информацией благодаря свидетельствам, собранным во время проверочной деятель­ ности. В то время как прямые проверки соответствия обычно могут давать ряд относительно простых результатов «пройдено/не пройдено» с достаточно очевидными рекомендациями, проверки инфор­ мационной безопасности часто формируют вопросы, требующие размышлений и обсуждений руково­ дства до принятия решения о том. какие действия (если таковые необходимы) будут соответствую­ щими. В некоторых случаях руководство может вынести решение о принятии некоторых рисков, иден­ тифицированных в результате проверки информационной безопасности, в других - не принимать ре­ комендации проверки в точности так, как они изложены - это право руководства, но оно также несет ответственность за свои решения. В этом отношении аудиторская проверка мер и средств контроля и управления информационной безопасностью имеет рекомендательное, а не практическое значение, хотя и обладает существенным влиянием и опирается на надежные практические приемы проверки и фактические свидетельства. Аудиторская проверка мер и средств контроля и управления информационной безопасностью должна предоставить организации, с учетом оценки, обоснованную уверенность в том. что деятель­ ность по обеспечению информационной безопасности (не все будут реализовывать систему менедж­ мента) достигает установленных целей. В результате проверки должно предоставляться изложение отличий между реальностью и эталоном. Если эталоном является внутренняя политика, то она долж­ на быть очень четкой. Для уверенности в этом во внимание могут приниматься критерии, приведен­ ные в приложении В. При аудиторской проверке мер и средств контроля и управления информацион­ ной безопасностью должны учитываться внутренние политики и процедуры в рамках области провер­ ки. Недостающие важные критерии неформально все же могут быть применены в организации. От­ сутствие критериев, идентифицированных как критические, может быть причиной потенциальных не­ соответствий. 6.2 Подбор персонала Проверка мер и средств контроля и управления информационной безопасностью требует от персонала объективного анализа и профессиональных навыков в сфере отчетности. В случаях, когда речь идет о проверке технического соответствия, требуется наличие дополнительных специальных навыков, включая детальные технические знания реализации политик безопасности в программных и аппаратных средствах, каналах связи и взаимосвязанных технических процессах. Аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны обладать: способностью различать риски информационных систем и архитектур безопасности, осно­ ванной на понимании концептуальных структур, поддерживающих информационные системы; знанием хороших практических приемов обеспечения информационной безопасности, та­ ких как методы и средства контроля и управления информационной безопасностью, представленные в ИСО/МЭК 27002 и других стандартах по безопасности; способностью к изучению сложной технической информации для идентификации любых существенных рисков и возможностей модернизации; 5
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011 прагматизмом в отношении практических ограничений проверок, как информационной безопасности, так и информационной технологии. Настоятельно рекомендуется, чтобы лица, перед которыми ставится задача проведения про­ верки мер и средств контроля и управления информационной безопасностью, но которые не имеют аудиторского опыта, были официально ознакомлены с основами профессии аудитора: этические нормы (независимость, объективность, конфиденциальность, ответственность, осмотрительность), получение полномочий для доступа к записям, функциям, имуществу, персоналу, информации с по­ следующими обязательствами относительно надлежащего обращения и защиты полученных данных, элементов выводов и рекомендаций, а также процессов контроля исполнения. Для достижения цели проверки может быть создана группа проверки, состоящая из аудиторов, осуществляющих проверку мер и средств контроля и управления информационной безопасностью, и различных специалистов с соответствующей компетентностью. В случаях, когда специалистов с та­ кими навыками или компетентностью в непосредственном распоряжении организации нет. должны быть рассмотрены риски и выгоды от привлечения специалистов к данной предметной области, вы­ бираемых либо из собственных, либо из внешних ресурсов, для выполнения проверки в необходимом объеме. Аудиторы, проводящие проверку мер и средств контроля и управления информационной безо­ пасностью. должны также подтвердить, что служба и персонал, отвечающие за обеспечение инфор­ мационной безопасности, присутствуют, являются достаточно квалифицированными в области ин­ формационной безопасности и своих конкретных целевых задач и имеют в своем распоряжении не­ обходимые ресурсы. В рамках программы организации по противодействию мошенничеству аудиторам, проводящим проверку мер и средств контроля и управления информационной безопасностью, необходимо рабо­ тать в тесном сотрудничестве с финансовыми аудиторами на каждом из этапов: планирование ауди­ та. проведение аудита и анализ результатов аудита.7 Методы проверок 7.1 Обзор Основу концепции проверки мер и средств контроля и управления обычно составляют процеду­ ры проверки, отчетность по проверке и контроль исполнения. Структура и содержание процедур про­ верки учитывают цели и методы проверки. Аудиторы, проводя проверку мер и средств контроля и управления информационной безопасно­ стью. могут использовать три метода проверки: изучение; опрос; - тестирование. В соответствующих разделах содержится набор атрибутов и значения атрибута для каждого ме­ тода проверки. Для атрибута «глубина» значение целевого атрибута основывается на строгости и уровне детальности проверки, определенных для значения общего атрибута. Значение детального атрибута основывается на строгости и уровне детальности проверки, определенных для значения целевого атрибута. Для атрибута «охват» значоние специального атрибута основывается на числе и виде объектов проверки, определенных для значения репрезентативного атрибута. Значение всесто­ роннего атрибута основывается на числе и виде объектов проверки, определенных для значения специального атрибута. Методы «Изучение» и «Тестирование» могут поддерживаться при помощи применения широко признанных автоматизированных инструментальных средств. Аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны рассматривать влияние действия этих инструментальных средств на обычное функционирование объекта проверки. Если часть проверки основана на таком инструментальном средстве, то аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны продемонстрировать или предоставить свидетельства того, что это инструментальное средство обеспечивает надежные результаты. 7.2 Метод проверки: изучение 7.2.1 Общая информация Изучение - процесс сверки, обследования, проверки, наблюдения, исследования или анализа одного или нескольких объектов проверки с целью облегчения понимания и достижения ясности или получения свидетельств, результаты которых используются для поддержки решения о существова­ нии, функциональных возможностях, правильности и полноте мер и средств контроля и управления, а также возможности их совершенствования с течением времени. 6
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 Объекты проверки обычно включают в себя: спецификации1' (например, политики, планы, процедуры, требования к системам, проекты); механизмы (например, функциональные возможности, реализуемые аппаратным, про­ граммным. программно-аппаратным способом); процессы (например, операции, администрирование, менеджмент, испытания систем). К типичным действиям аудитора, проводящего проверку мер и средств контроля и управления информационной безопасностью, можно отнести: проверку политик, планов и процедур обеспечения информационной безопасности; анализ проектной документации систем и спецификаций интерфейсов; наблюдение за операциями резервного копирования систем и проверка результатов уче­ ний. проводимых в соответствии с планом действий в чрезвычайных ситуациях; наблюдение за процессом реагирования на инциденты; изучение технических инструкций и руководств пользователя/администратора; проверка, изучение или наблюдение за функционированием механизма ИТ в аппаратных средствах/программном обеспечении информационной системы; проверка, изучение или наблюдение за деятельностью по менеджменту изменений и реги­ страции. связанной с информационной системой; проверка, изучение или наблюдение за мерами физической защиты, связанными с функ­ ционированием информационной системы. 7.2.2 А трибуты 7.2.2.1 Общее изучение Общее изучение обычно состоит из высокоуровневых проверок, рассмотрений, наблюдений или обследований объекта проверки. Этот вид изучения проводится с использованием ограниченной со­ вокупности свидетельств или документации (например, описания функционального уровня механиз­ мов; описания высокоуровневого процесса для процессов; фактическая документация для специфи­ каций). Общее изучение обеспечивает уровень понимания мер и средств контроля и управления, не­ обходимый для определения, реализованы ли мера и средство контроля и управления и нет ли в них очевидных ошибок.7.22.2 Целевое изучение Целевое изучение обычно состоит из высокоуровневых проверок, рассмотрений, наблюдений или обследований и более углубленного изученияУанализа объекта проверки. Этот вид изучения про­ водится с использованием значительной совокупности свидетельств или документации (например, описания функционального уровня и, где это необходимо и доступно, высокоуровневая проектная информация для механизмов; высокоуровневое описание процессов и процедуры реализации для процессов; фактическая документация и взаимосвязанные документы для спецификаций). Целевое изучение обеспечивает уровень понимания меры и средства контроля и управления безопасностью, необходимый для определения, реализованы ли мера и средство контроля и управления и нет ли в них очевидных ошибок. Оно также дает большее основание для уверенности в том. что мера и сред­ ство контроля и управления реализованы правильно и функционируют, как предназначалось. 7.2.2.3 Детальное изучение Детальное изучение обычно состоит из высокоуровневых проверок, рассмотрений, наблюдений или обследований и более углубленного, всестороннего и тщательного изучения/анализа объекта проверки. Этот вид изучения проводится с использованием обширной совокупности свидетельств или документации (например, описания функционального уровня и. где это необходимо и доступно, высо­ коуровневая проектная информация, низкоуровневая проектная информация и информация по реа­ лизации для механизмов, высокоуровневые описания процессов и детальные процедуры реализации для процессов; а также фактическая документация и взаимосвязанные документы для специфика­ ций). Детальное изучение обеспечивает уровень понимания меры и средства контроля и управления, необходимый для определения, реализованы ли мера и средство контроля и управления и нет ли в них очевидных ошибок, существует ли возросшее основание для уверенности в том. что мера и сред­ ство контроля и управления реализованы правильно и функционируют, как предназначалось, на по­ стоянной и непротиворечивой основе, и что обеспечивается поддержка постоянного совершенство­ вания эффективности меры и средства контроля и управления. 7.2.24 Репрезентативное изучение Репрезентативное (выборочное) изучение использует характерную выборку объектов проверки (по виду и числу в пределах вида) для обеспечения уровня охвата, необходимого для определения, реализованы ли мера и средство контроля и управления и нет ли в них очевидных ошибок. " Спецификация - дсжумвнт. устанавливающий требования (см. ГОСТ ИСО 9000-2011, пункт 3.7.3) 7
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011 7.2.2.5 Специальное изучение Специальное изучение использует характерную выборку объектов проверки (по виду и числу в пределах вида) и другие конкретные исследования объектов проверки, сочтенные особенно важными для достижения цели проверки. Оно также обеспечивает уровень охвата, необходимый для опреде­ ления, реализованы ли мера и средство контроля и управления, нет ли в них очевидных ошибок, и возросло ли основание для уверенности в том. что мера и средство контроля и управления реализо­ ваны правильно и функционируют, как предназначалось.7.2 2.6 Всестороннее изучение Всестороннее изучение, использует достаточно большую выборку объектов проверки (по виду и числу в пределах вида) и другие конкретные исследования объектов проверки, сочтенные особенно важными для достижения цели проверки, чтобы обеспечить уровень охвата, необходимый для опре­ деления. реализованы ли мера и средство контроля и управления, нет ли в них очевидных ошибок, возросло ли основание для уверенности в том. что мера и средство контроля и управления реализо­ ваны правильно и функционируют, как предназначалось, на постоянной и непротиворечивой основе, а также что обеспечивается поддержка постоянного совершенствования эффективности меры и средства контроля и управления. 7.3 Мотод проверки: опрос 7.3.1 Общая информация Опрос - процесс проведения бесед с лицами или группами лиц в рамках организации с целью содействия пониманию, достижению ясности или указанию местонахождения свидетельств. Резуль­ таты его должны использоваться для поддержки решения о существовании меры и средства контро­ ля и управления безопасностью, функциональных возможностях, правильности, полноте мер и средств контроля и управления и возможности их совершенствования с течением времени. К объектам проверки обычно относятся отдельные лица или группы лиц. Типичная деятельность аудитора, проводящего проверку меры и средства контроля и управле­ ния информационной безопасностью, может включать опрос: руководителей: владельцев информационных активов и лиц. ответственных за целевую задачу; служащих, отвечающих за информационную безопасность; руководителей в сфере информационной безопасности; сотрудников отдела кадров: руководителей отдела кадров; руководителей, отвечающих за оборудование; служащих, отвечающих за обучение; операторов информационных систем; сетевых и системных администраторов; * руководителей площадок; служащих, обеспечивающих физическую защиту; пользователей. 7.3.2 А трибуты 7.3.2.1 Общий опрос Общий опрос состоит из хорошо организованных бесед общего назначения с отдельными лица­ ми или группами лиц. Этот вид опроса проводится с использованием совокупности обобщенных во­ просов высокого уровня. Общие опросы обеспечивают уровень понимания меры и средства контроля и управления безопасностью, необходимый для определения, реализованы ли мера и средство кон­ троля и управления и нет ли в них очевидных ошибок. 7.3.2.2 Целевой опрос В дополнение к необходимым элементам общего опроса, целевой опрос включает углубленное обсуждение конкретных сфер с лицами или группами лиц. При этом виде опроса дополнительно ис­ пользуются конкретные вопросы, касающиеся конкретных сфер, ответы на которые указывают на не­ обходимость более глубокого исследования. Целевые опросы обеспечивают уровень понимания ме­ ры и средства контроля и управления, необходимый для определения, реализованы ли мера и сред­ ство контроля и управления, нет ли в них очевидных ошибок и возросло ли основание для уверенно­ сти в том. что мера и средство контроля и управления реализованы правильно и функционируют, как предназначалось. 7.3.2.3 Детальный опрос В дополнение к необходимым целевым опросам, детальный опрос включает более глубокие «зондирующие» вопросы в конкретных сферах, ответы на которые указывают на потребность в более глубоком исследовании или, где это требуется, процедурах проверки. Детальные опросы обеспечи­ вают уровень понимания меры и средства контроля и управления безопасностью, необходимый для 8
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 определения, реализованы ли мера и средство контроля и управления, нет ли в них очевидных оши­ бок. возросло ли основание для уверенности в том. что мера и средство контроля и управления реа­ лизованы правильно и на постоянной и непротиворечивой основе функционируют, как предназнача­ лось. а также что обеспечивается поддержка постоянного совершенствования эффективности меры и средства контроля и управления. 7.3.3 Атрибут «охвата» Атрибут «охвата» рассматривает объем или широту процесса опроса и затрагивает типы лиц, подлежащих опросу (по их роли и соответствующим обязанностям в организации), число лиц. подле­ жащих опросу (по типу), и конкретных лиц. подлежащих опросу. 7.3.3.1 Репрезентативный опрос Репрезентативный (выборочный) опрос - опрос выбранной группы лиц с ключевыми ролями в организации для обеспечения уровня охвата, необходимого для определения, реализованы ли мера и средство контроля и управления и нет ли в них очевидных ошибок. 7.3.3.2 Специальный опрос Специальный опрос - опрос выбранной группы лиц с ключевыми ролями в организации и других конкретных лиц. сочтенных особенно важными для достижения цели проверки, чтобы обеспечить уровень охвата, необходимый для определения, реализованы ли мера и средство контроля и управ­ ления, нет ли в них очевидных ошибок и возросло ли основание для уверенности в том, что мера и средство контроля и управления реализованы правильно и функционируют, как предназначалось. 7.3.3.3 Всесторонний опрос Всесторонний опрос - опрос достаточно большой выбранной группы лиц с ключевыми ролями в организации и других конкретных лиц. сочтенных особенно важными для достижения цели проверки, чтобы обеспечить уровень охвата, необходимый для определения, реализованы ли мера и средство контроля и управления, нет ли в них очевидных ошибок, возросло ли основание для уверенности в том, что мера и средство контроля и управления реализованы правильно и на постоянной и непроти­ воречивой основе функционируют, как предназначалось, а также что обеспечивается поддержка по­ стоянного совершенствования эффективности меры и средства контроля и управления. 7.4 Метод проверки: тестирование 7.4.1 Общая информация Тестирование - процесс испытания одного или нескольких объектов проверки при определен­ ных условиях, который проводится для сравнения реального поведения с ожидаемым. Результаты используются для поддержки решения о наличии, эффективности, функциональных возможностях, правильности, полноте мер и средств контроля и управления и возможности их совершенствования с течением времени. Тестирование должно выполняться с особой тщательностью компетентными спе­ циалистами. и до начала тестирования руководством должно быть рассмотрено и утверждено воз­ можное влияние тестирования на функционирование организации. При этом должны учитываться также варианты проведения тестирования в нерабочие периоды времени, в условиях низкой загру­ женности или даже в хорошо воспроизведенной тестовой среде. Сбои или недоступность систем изза тестирования могут оказывать существенное влияние на обычные операции бизнеса организации. Это может приводить к нежелательным финансовым последствиям и к влиянию на репутацию орга­ низации. поэтому при планировании тестирования и его надлежащем договорном оформлении (вклю­ чая рассмотрение правовых аспектов) следует соблюдать особую тщательность. Ошибочные результаты тестирования, как положительные, так и отрицательные, должны тща­ тельно изучаться аудитором, проводящим проверку мер и средств контроля и управления информа­ ционной безопасностью, прежде чем делать какие-либо умозаключения. К типичным объектам проверки относятся механизмы (например, аппаратные, программные, программно-аппаратные средства) и процессы (например, операции, администрирование, управле­ ние системами; испытания). Типичные действия аудитора, проводящего проверку мер и средств контроля и управления ин­ формационной безопасностью; тестирование механизмов управления доступом, идентификации, аутентификации и ана­ лиза этих механизмов; тестирование конфигурационных установочных параметров безопасности; тестирование устройства физического управления доступом; тестирование на проникновение для ключевых компонентов информационных систем; тестирование операций резервного копирования информационных систем; тестирование способности реагирования на инциденты; практическая проверка способности планирования действий в чрезвычайных ситуациях; тестирование реагирования систем безопасности, способных обнаруживать вторжения, подавать сигналы тревоги и осуществлять реагирование; 9
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011 тестирование криптографических алгоритмов и механизмов хэширования; тестирование механизмов менеджмента идентификаторов пользователей и привилегий; тестирование механизмов авторизации; проверка каскадной устойчивости мер безопасности. П р и м е ч а н и е - К тестированию атрибуты не применяются. 7.4.2 В иды тестирования 7.4.2.1 Тестирование слепым методом Аудитор, проводящий проверку мер и средств контроля и управления информационной безо­ пасностью, тестирует объект проверки без каких-либо предварительных знаний его дополнительных характеристик, помимо общедоступных. Объект проверки подготавливается к проверке лицом, забла­ говременно знающим все детали проверки. Слепая проверка в основном осуществляется на основе навыков аудитора, проводящего проверку мер и средств контроля и управления информационной безопасностью. Объем и глубина слепой проверки могут быть настолько обширными, насколько по­ зволяют знания и работоспособность аудитора, проводящего проверку мер и средств контроля и управления информационной безопасностью. Таким образом, это тестирование имеет ограниченное применение при проверках безопасности и его следует избегать. Его обычно называют «этичным ха­ керством». 7.4.2.2 Тестирование двойным слепым методом Аудитор, проводящий проверку мер и средств контроля и управления информационной безо­ пасностью. тестирует объект проверки без каких-либо предварительных знаний его дополнительных характеристик, помимо общедоступных. Аудитор заранее не сообщает об области проверки или ис­ пользуемых тестах. При двойной слепой проверке тестируется подготовленность объекта проверки к неизвестным параметрам рассмотрения. 7.4.2.3 Тестирование методом серого ящика Аудитор, проводящий проверку мер и средств контроля и управления информационной безо­ пасностью, тестирует объект проверки, располагая ограниченным знанием о его защите и активах, но полным знанием о доступных тестах. Объект проверки подготавливается к проверке лицом, заблаго­ временно знающим все детали проверки. Проверка методом серого ящика осуществляется на основе навыков аудитора, проводящего проверку мер и средств контроля и управления информационной безопасностью. Основным свойством этого тестирования является результативность. Объем и глу­ бина зависят от качества информации, предоставленной аудитору, проводящему проверку мер и средств контроля и управления информационной безопасностью, перед тестированием, а также от надлежащих знаний аудитора, проводящего проверку мер и средств контроля и управления инфор­ мационной безопасностью. Таким образом, это тестирование имеет ограниченное применение при проверках безопасности и его следует избегать. Этот вид тестирования часто называется «тестиро­ ванием уязвимостей», и оно чаще всего инициируется объектом в качестве действия по самооценке. 7.4.2.4 Тестирование методом двойного серого ящика Аудитор, проводящий проверку мер и средств контроля и управления информационной безо­ пасностью, тестирует объект проверки, располагая ограниченным знанием о его защите и активах, но полным знанием о доступных тестах. Аудитор заранее сообщает об области и сроках проверки, но не о тестах. Проверка методом двойного серого ящика тестирует подготовленность объекта к неизвест­ ным параметрам рассмотрения. Объем и глубина зависят от качества информации, предоставленной аудитору, проводящему проверку мер и средств контроля и управления информационной безопасно­ стью, и объекту проверки перед тестированием, а также от применяемых знаний аудитора, проводя­ щего проверку мер и средств контроля и управления информационной безопасностью. 7.4.2.5 Тестирование тандемным методом Аудитор, проводящий проверку мер и средств контроля и управления информационной безо­ пасностью. и объект проверки подготавливаются к проверке, для обоих заранее известны все детали проверки. При тандемном методе тестируется защита и меры и средства контроля и управления объ­ екта. Однако при его использовании не может осуществляться тестирование подготовленности объ­ екта к неизвестным параметрам рассмотрения. Основным свойством данного тестирования является доскональность, поскольку аудитор, проводящий проверку мер и средств контроля и управления ин­ формационной безопасностью, имеет полное представление обо всех тестах и ответных действиях. Объем и глубина зависят от качества информации, предоставленной аудитору, проводящему провер­ ку мер и средств контроля и управления информационной безопасностью, перед тестированием, а также от надлежащих знаний аудитора, проводящего проверку мер и средств контроля и управления информационной безопасностью. Это тестирование часто называют «внутренней проверкой», и ауди- 10
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 тор, проводящий проверку мер и средств контроля и управления информационной безопасностью, часто играет активную роль в общем процессе обеспечения безопасности. 7.4.2.6 Инверсионный метод Аудитор, проводящий проверку мер и средств контроля и управления информационной безо­ пасностью, тестирует объект проверки, располагая полным знанием о его процессах и операционной безопасности, однако объекту проверки ничего не сообщается о том. что. как или когда будет тести­ ровать аудитор, проводящий проверку мер и средств контроля и управления информационной безо­ пасностью. Основным свойством этого тестирования является проверка подготовленности объекта к неизвестным параметрам и направлениям рассмотрения. Объем и глубина зависят от качества ин­ формации. предоставленной аудитору, проводящему проверку мер и средств контроля и управления информационной безопасностью, а также от надлежащих знаний и творческого подхода аудитора, проводящего проверку мер и средств контроля и управления информационной безопасностью. Это тестирование часто называют «ходом красных». Сосбщомма д п я о6ъс<та прсюорди сбэдото Знание аудитора об объекта проверки Рисунок 1 - Виды тестирования 7.4.3 Расширенные процедуры проверки Дополнительно с процедурами проверки, применяемыми к отдельным мерам и средствам кон­ троля и управления, может применяться расширенная процедура проверки . Расширенная процедура проверки предназначена для совместного использования с другими процедурами проверки. Она до­ полняет их. что способствует обеспечению уверенности в эффективности мер и средств контроля и управления. Расширенная процедура проверки и соответствующие объекты проверки также тесно связаны с уровнем риска информационной системы.8 Деятельность 8.1 Подготовка Установление и сохранение соответствующей совокупности ожидаемых результатов до. во вре­ мя и после проверки имеет первостепенное значение для достижения приемлемого результата. Это означает предоставление информации, позволяющей руководству принимать верные основанные на риске решения о том, каким образом лучше всего реализовывать и эксплуатировать информацион­ ные системы. Тщательная подготовка организации и аудиторов, осуществляющих проверку мер и средств контроля и управления информационной безопасностью, является важным аспектом прове­ дения эффективных проверок. В ходе подготовительной деятельности следует рассматривать вопро­ сы. связанные с расходами, графиком, наличием необходимой компетентности и проведением про­ верки. С точки зрения организации подготовка к проверке включает следующие основные мероприятия: обеспечение уверенности в том, что соответствующие политики, охватывающие проверки, существуют и осознаны всеми структурными элементами организации: обеспечение уверенности в том. что все запланированные шаги по реализации мер и средств контроля и управления успешно выполнены до проверки и были соответствующим образом проанализированы руководством (это применимо только в том случае, если мера и средства контро- 11
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011 ля и управления отмечена как «полностью функционирующая», а не находится на этапе подготовки/реализации); обеспечение уверенности в том. что выбранные меры и средства контроля и управления поручены соответствующим организационным единицам для разработки и реализации; установление цели и области проверки (т. е. предназначения проверки и того, что будет проверяться); уведомление основных должностных лиц организации о предстоящей проверке и выделе­ ние необходимых ресурсов для проведения проверки; установление соответствующих каналов связи мехщу должностными лицами организации, заинтересованными в проверке; установление временных рамок для проведения проверки и основных контрольных точек при­ нятия решений, необходимых организации для осуществления эффективного менеджмента проверки; определение и выбор компетентного аудитора для проведения проверки мер и средств контроля и управления информационной безопасностью или аудиторской группы, которые будут от­ ветственными за проведение проверки, учитывая вопросы независимости аудитора, осуществляюще­ го проверку мер и средств контроля и управления информационной безопасностью; сбор артефактов для предоставления аудиторам, проводящим проверку мер и средств контроля и управления информационной безопасностью (например, документации по мерам и сред­ ствам контроля и управления информационной безопасностью, включая организационные схемы, политики, процедуры, планы, спецификации, проекты, записи, руководства администратора/оператора, документацию информационной системы, соглашения о межсистемной связи, резуль­ таты предыдущих проверок); установление правил взаимодействия между организацией и аудиторами, проводящими проверку мер и средств контроля и управления информационной безопасностью, позволяющих све­ сти к минимуму неопределенности или неправильные представления о реализации мер и средств контроля и управления или слабых местах/недостатках мер и средств контроля и управления, уста­ новленных во время проверки. В дополнение к мероприятиям по планированию, осуществляемым организацией для подготов­ ки к проверке, аудиторы, проводящие проверку мер и средств контроля и управления информацион­ ной безопасностью, должны начинать подготовку к проверке посредством: достижения общего понимания функционирования организации (включая целевую задачу, функции и процессы бизнеса), а также того, каким образом информационные активы, попадающие в область проверки, поддерживают функционирование организации; достижения понимания структуры информационных активов (например, архитектуры сис­ темы); достижения полного понимания всех мер и средств контроля и управления, подлежащих проверке; изучения важных публикаций, на которые ссылаются в мерах и средствах контроля и управления; определения организационных единиц, ответственных за разработку и реализацию под­ лежащих проверке мер и средств контроля и управления, которые поддерживают информационную безопасность; установления соответствующих контактных лиц в организации, необходимых для прове­ дения проверки. получения артефактов, необходимых для проверки (например, политик, процедур, планов, спецификаций, проектов, записей, руководств администратораФператора, документации информаци­ онной системы, соглашений о межсистемной связи); получения результатов предыдущих проверок, которые могут быть надлежащим образом повторно использованы для проверки (например, отчетов, обзоров, исследований уязвимостей, про­ верок физической безопасности, тестирования и оценки развития); встречи с соответствующими должностными лицами организации для обеспечения уве­ ренности в общем понимании целей проверки, предлагаемой строгости и области проверки; разработки плана проверки. При подготовке к проверке мер и средств контроля и управления информационной безопасно­ стью должна быть собрана необходимая исходная информация, которая должна быть предоставлена аудиторам, осуществляющим проверку мер и средств контроля и управления информационной безо­ пасностью. В рамках необходимой поддержки конкретной проверки организация должна определить и подготовить доступ к элементам организации (лицам или группам лиц), отвечающим за разработку, документирование, распространение, проверку, эксплуатацию, поддержку и обновление всех мер и средств контроля и управления безопасностью, политик безопасности и взаимосвязанных процедур 12
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 для реализации соответствующих политикам мер и средств контроля и управления. Аудитору, прово­ дящему проверку мер и средств контроля и управления информационной безопасностью, также не­ обходим доступ к политикам безопасности информационной системы и любым взаимосвязанным процедурам реализации, к любым материалам, связанным с реализацией и функционированием мер и средств контроля и управления (например, планам обеспечения безопасности, записям, графикам, отчетам о результатах проверки, отчетам о последующих действиях, соглашениям, комплекту аккре­ дитационных и лицензионных документов) и подлежащим проверке объектам. Доступность необходимой документации, а также ведущего персонала организации и проверяе­ мых информационных систем крайне важна для успешной проверки мер и средств контроля и управ­ ления информационной безопасностью. 8.2 Разработка плана 8.2.1 Обзор При разработке планов проверки аудиторы, осуществляющие проверку мер и средств контроля и управления информационной безопасностью, должны определить вид проверки (например, полная или частичная проверка) и то. какие меры и средства контроля и управления и/или средства, расши­ ряющие их возможности, должны быть включены в проверку на основе цвлиУобласти проверки. Ауди­ торы. проводящие проверку мер и средств контроля и управления информационной безопасностью, должны оценить и снизить риск и влияние (где это возможно) проверки на обычное функционирова­ ние организации и выбрать на основе мер и средств контроля и управления и средств, расширяющих их возможности, необходимые процедуры проверки, которые необходимо включить в проверку и в соответствующие атрибуты «глубины» и «охвата». Аудиторы, проводящие проверку мер и средств контроля и управления информационной безо­ пасностью, должны приспособить выбранные процедуры проверки к уровню риска информационной системы и к реальной рабочей среде организации. При необходимости они также должны разрабо­ тать дополнительные процедуры проверки, не рассматриваемые в данном документе, в отношении мер и средств контроля и управления безопасностью, а также средств, расширяющих их возможно­ сти. и обеспечить доверие к этим процедурам. Должен быть разработан план, включающий этапы определения контекста, формирования ба­ зового уровня ожидаемого поведения в рамках определенного контекста, спецификации тестироеания/оценивания и метод подтверждения достоверности выводов в контексте оценивания. План дол­ жен включать разработку стратегии по применению расширенной процедуры проверки, если это не­ обходимо. оптимизации процедур проверки для уменьшения дублирования работ и обеспечения эко­ номически эффективных решений, относящихся к проверке. После этого аудиторы, проводящие про­ верку мер и средств контроля и управления информационной безопасностью, должны окончательно оформить план проверки и получить необходимые санкции на его выполнение. 8.2.2 Область Документация должна содержать обзор требований безопасности информационных активов и описывать имеющиеся или планируемые меры и средства контроля и управления для выполнения этих требований. Аудитор, проводящий проверку мер и средств контроля и управления информаци­ онной безопасностью, вначале изучает меры и средства контроля и управления, описанные в доку­ ментации по обеспечению информационной безопасности, а затем - цель проверки. Проводиться может полная проверка всех мер и средств контроля и управления информационной безопасностью в организации или частичная проверка только тех мер и средств контроля и управления, которые обес­ печивают защиту информационных активов (например, во время непрерывного мониторинга, где подмножества мер и средств контроля и управления в информационных активах проверяются на по­ стоянной основе). Для проведения частичных проверок владелец информационных активов работает совместно с заинтересованными в проверке должностными лицами организации над определением того, какие меры и средства контроля и управления должны проверяться. Выбор мер и средств кон­ троля и управления зависит от установленного графика непрерывного мониторинга, пунктов плана действий и соответствующих контрольных точек. Меры и средства контроля и управления, отличаю­ щиеся большей изменчивостью, должны проверяться чаще. 8.2.3 Процедуры проверки Процедура проверки состоит из совокупности целей проверки, каждая с соответствующим набо­ ром потенциальных методов проверки и объектов проверки. Формулировки определений в целях проверки тесно связаны с сущностью меры и средства контроля и управления (т. е. с функциональ­ ными возможностями меры и средства контроля и управления). Это обеспечивает уверенность в про­ слеживаемости результатов проверки вплоть до фундаментальных требований меры и средства кон­ троля и управления. По результатам применения процедуры проверки к мере и средству контроля и управления формируются выводы проверки. Эти выводы проверки впоследствии используются для определения общей эффективности меры и средства контроля и управления. Объекты проверки оп- 13
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011 ределяют конкретные элементы, подлежащие проверке, а также спецификации, механизмы, процес­ сы и физических лиц. В приложении А представлены примеры процедур проверки, предназначенные для проверки технического соответствия и совершенствований мер и средств контроля и управления. Практическое руководство в приложении А предназначено для сбора свидетельств с целью определения, правиль­ но ли реализованы меры и средства контроля и управления, функционируют ли они, как предназна­ чалось. и создают ли желаемый результат в отношении выполнения требований информационной безопасности информационных активов. Для каждых включенных в проверку меры и средства кон­ троля и управления и каждого средства, расширяющего их возможности, аудиторы, проводящие про­ верку мер и средств контроля и управления информационной безопасностью, разрабатывают соот­ ветствующую процедуру проверки, обращаясь к приложению А. Совокупность выбранных процедур проверки различна для разных проверок и зависит от текущего назначения проверки (например, еже­ годная проверка мер и средств контроля и управления, непрерывный мониторинг). В приложении А представлено практическое руководство по выбору соответствующих процедур проверки в зависимо­ сти от цели проверки. Процедуры проверки могут быть специально приспособленными в отношении: выбранных методов и объектов проверки, необходимых для наиболее эффективного при­ нятия соответствующих решений и выполнения целей проверки; выбранных значений атрибутов «глубины» и «охвата» метода проверки, необходимых для осуществления ожиданий проверки, на основе характеристик проверяемых мер и средств контроля и управления и конкретных, требующих принятия решений; исключения из процедур проверки мер и средств контроля и управления, если они были проверены при проведении другого адекватного процесса проверки; развития информационной системы или конкретной платформы и адаптированных проце­ дур проверки конкретной организации для успешного выполнения проверки; использования результатов предыдущих проверок, если эти результаты сочтены применимыми; осуществления соответствующих корректировок процедур проверки, чтобы иметь возмож­ ность получения требуемых свидетельств проверки от внешних поставщиков (если они имеются); выбранных методов проверки, уделяя должное внимание их влиянию на организацию, на­ ряду с обеспечением уверенности в выполнении целей аудита. 8.2.4 Особенности, относящ иеся к объектам Организации могут специфицировать, документировать и конфигурировать свои информацион­ ные активы различными способами, следовательно, содержание и применение существующих свиде­ тельств проверки будут различаться. Это может приводить к необходимости применения различных методов проверки к разным объектам проверки, чтобы сформировать свидетельства проверки, необ­ ходимые для определения, являются ли меры и средства контроля и управления эффективными при их применении. Вследствие этого перечень методов и объектов проверки, представляемый вместе с каждой процедурой проверки, называется потенциальным, чтобы отразить эту необходимость в воз­ можности выбора наиболее уместных для конкретной проверки методов и объектов. К выбранным методам и объектам проверки относятся те. которые сочтены необходимыми для создания необхо­ димых свидетельств проверки. Потенциальные методы и объекты в процедуре проверки предостав­ ляются как ресурс, содействующий выбору надлежащих методов и объектов, а не как ограничитель выбора. По существу, аудиторы, проводящие проверку мер и средств контроля и управления инфор­ мационной безопасностью, должны действовать по собственному усмотрению, осуществляя выбор из потенциальных методов проверки и общего списка объектов проверки, связанных с каждым выбран­ ным методом. Аудиторы, проводящие проверку мер и средств контроля и управления информационной безо­ пасностью. должны выбирать только те методы и объекты, которые наиболее эффективно способст­ вуют принятию решений, связанных с целью проверки. Мера качества результатов проверки основа­ на на правильности представленного логического обоснования, а не на конкретной совокупности примененных методов и объектов. В большинстве случаев нет необходимости применять каждый ме­ тод проверки к каждому объекту проверки, чтобы получить желаемые результаты проверки. А для конкретных и всесторонних проверок может быть целесообразно использовать метод, не перечис­ ленный в согласованном перечне потенциальных методов, или не использовать никакой из перечня известных методов. 8.2.5 Предыдущие заключения 8.2.5.1 Обзор Аудиторы, проводящие проверку моры и средства контроля и управления информационной безопасностью, должны использовать имеющуюся информацию о предыдущих проверках меры и средства контроля и управления, что будет способствовать большей эффективности проверок. По- 14
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 вторное использование результатов ранее признанных или утвержденных проверок информационных систем должно рассматриваться в рамках совокупности свидетельств для определения общей эф­ фективности мер и средств контроля и управления. При рассмотрении вопроса о повторном использовании результатов предыдущих проверок и ценности этих результатов для текущей проверки аудиторы, проводящие проверку мер и средств кон­ троля и управления информационной безопасностью, должны определить: достоверность свидетельств: пригодность предыдущего анализа; применимость свидетельств при текущем состоянии информационных активов. В определенных ситуациях бывает необходимо дополнить результаты предыдущей проверки, рассматриваемые на предмет их повторного использования, дополнительными мероприятиями про­ верки. для полного удовлетворения целей проверки. Например, если при независимом проводимом третьей стороной оценивании продукта информационной технологии не проводилось тестирования применительно к конкретной настройке параметров конфигурации, которая применяется организаци­ ей в информационной системе, аудитору, проводящему проверку мер и средств контроля и управле­ ния информационной безопасностью, может потребоваться дополнить первоначальные результаты тестирования. Для этого необходимо дополнительное тестирование, которое охватит данную на­ стройку параметров конфигурации для текущей среды информационной системы. Информация последующих подразделов должна приниматься во внимание при рассмотрении результатов предыдущих проверок на предмет их повторного использования при текущей проверке. 8.2.5.2 Меняющиеся условия Меры и средства контроля и управления, сочтенные эффективными во время предыдущих про­ верок, могут стать неэффективными в результате изменившихся условий, связанных с информацион­ ными активами или окружающей средой. Соответственно результаты проверки, признанные ранее приемлемыми, могут больше не давать достоверных свидетельств для определения эффективности мер и средств контроля и управления, и потребуется новая проверка. Применение результатов пре­ дыдущей проверки в ходе текущей проверки требует определения любых изменений, произошедших со времени предыдущей проверки, и влияния этих изменений на результаты предыдущей проверки. Например, повторное использование результатов предыдущей проверки, включающей изучение по­ литик и процедур обеспечения безопасности организации, может быть приемлемым, если определе­ но, что никаких существенных изменений идентифицированных политик, процедур и среды риска не произошло. 8.2.5.3 Допустимость использования результатов предыдущих проверок Допустимость использования результатов предыдущих проверок при проверке мер и средств контроля и управления должна координироваться и утверждаться лицами, использующими результа­ ты проверки. Важно, чтобы владелец информационных активов сотрудничал с соответствующими должностными лицами организации (например, с директором по информационным технологиям, от­ ветственным за информационную безопасность, ответственными за целевую задачу или владельца­ ми информации) при определении допустимости использования результатов предыдущих проверок. Решение об использовании результатов предыдущих проверок должно документироваться в плане проверки и окончательном отчете. Проверки безопасности могут включать выводы предыдущих проверок безопасности, пока: это специально разрешено в плане аудита; у аудиторов, проводящих проверку мер и средств контроля и управления информационной безопасности, существуют достаточные основания считать, что выводы остаются адекватными; любые технологические или процедурные изменения в мерах и средствах контроля и управления или процессах, к которым они применяются, адекватным образом учитываются при теку­ щей проверке с точки зрения безопасности; использование и любые потенциальные последствия менеджмента риска вследствие при­ нятия предыдущих выводов аудита четко излагаются в отчете о результатах аудита. 8.2.5.4 Временные аспекты С увеличением периода времени между текущей и предыдущими проверками достовер- ность/полезность результатов предыдущих проверок уменьшается. Это связано в основном с тем. что информационные активы или среда, в которой функционируют информационные активы, с большой вероятностью изменяются с течением времени, возможно, делая недействительными исходные ус­ ловия или предположения, на которых была основана предыдущая проверка. 8.2.6 Рабочее задание Независимость аудитора, проводящего проверку мер и средств контроля и управления инфор­ мационной безопасностью, может быть критическим фактором при некоторых видах проверок, осо­ бенно для информационных активов со средним и высоким уровнями риска. Степень независимости 15
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011 аудитора, требуемая при проверке, должна быть постоянной. Например, неуместно повторно исполь­ зовать результаты предыдущих самооценок, в которых не требовалась независимость аудитора, про­ водящего проверку мер и средств контроля и управления информационной безопасностью, при теку­ щей проверке, требующей большей степени независимости. 8.2.7 Внешние системы Представленные в приложении А методы и процедуры проверки должны быть соответствующим образом скорректированы для выполнения проверки внешних информационных систем. Поскольку организация не всегда имеет возможность проведения непосредственного контроля мер и средств контроля и управления безопасностью, используемых во внешних информационных системах, или достаточного визуального контроля разработки, реализации и проверки этих мер и средств контроля и управления, то может потребоваться применение альтернативных подходов к проверке. Это может приводить к необходимости адаптации процедур проверки, описанных в приложении А. При необхо­ димости согласованные меры и средства контроля и управления информационной системы докумен­ тируются в договорах или соглашениях об уровне услуг. Аудитор, проводящий проверку мер и средств контроля и управления информационной безопасностью, должен проверять эти договоры или соглашения и в соответствующих случаях либо адаптировать процедуры для проверки мер и средств контроля и управления, представленных по этим соглашениям, либо результаты проверки мер и средств контроля и управления предоставлять через соглашения. Кроме того, аудиторы, про­ водящие проверку мер и средств контроля и управления информационной безопасностью, должны учитывать информацию, полученную при любых проверках, проведенных или находящихся в процес­ се проведения организациями, эксплуатирующими внешние информационные системы, которые имеют отношение к защищаемым информационным активам на основании проводимой проверки. Соответствующая информация, полученная в результате этих проверок, если она будет сочтена дос­ товерной. должна быть включена в отчет. 8.2.8 Инф ормационные активы и организация Процедуры проверки могут быть приспособлены для рассмотрения системы или конкретной платформы, или зависимостей конкретной организации. Такая ситуация часто возникает в процеду­ рах проверок, связанных с мерами и средствами контроля и управления безопасностью из числа тех­ нических мер и средств контроля и управления информационной безопасностью (т. е. управление доступом, аудит и подотчетность, идентификация и аутентификация, защита систем и средств связи). Результаты последнего тестирования могут быть также применимы для текущей проверки, если его методы обеспечивают высокую степень прозрачности (например, что тестировалось, когда и каким образом). Протоколы тестирования на основе стандартов могут представлять примеры, как организа­ ции могут способствовать достижению подобного уровня прозрачности. 8.2.9 Расширенная процедура проверки Организации обладают большой гибкостью при выполнении требований доверия к мерам и средствам контроля и управления информационной безопасностью. Например, в отношении такого требования, как доверие своевременному рассмотрению недостатков. Организация может удовле­ творять этому требованию по принципу «в зависимости от конкретной меры и средства контроля и управления», по принципу «в зависимости от вида меры и средства контроля и управления», по принципу «в зависимости от конкретной системы» или возможно даже по организационному уровню. Принимая во внимание эту гибкость, расширенная процедура проверки из 7.4.3 применяется по прин­ ципу «в зависимости от конкретной проверки» обычно в соответствии с тем, как организация решает достигать доверия к проверяемым информационным активам. Метод применения расширенной про­ цедуры проверки должен документироваться в плане проверки. Далее организация выбирает соот­ ветствующие цели проверки из расширенной процедуры проверки на основе уровня риска для ин­ формационных активов. Применение расширенной процедуры проверки предназначается для допол­ нения других процедур проверки, чтобы увеличивать основание для уверенности в том, что меры и средства контроля и управления реализованы правильно, функционируют, как предназначалось, и дают желаемый результат в отношении выполнения применяемых требований информационной безопасности. 8.2.10 Оптимизация Аудиторы, проводящие проверку мер и средств контроля и управления информационной безо­ пасностью. должны проявлять определенную степень гибкости в вопросе формирования плана про­ верки, отвечающего потребностям организации. Это дает возможность получения необходимых сви­ детельств при определении эффективности мер и средств контроля и управления безопасностью при одновременном снижении общих расходов на проверку. Комбинирование и объединение процедур проверки является одной из сфер, где может быть применена гибкость. Во время проверки методы проверки многократно применяются к различным 16
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 объектам проверки в рамках конкретной области применения мер и средств контроля и управления информационной безопасностью. Чтобы сэкономить время, уменьшить расходы на проверку и максимально увеличить полезность результатов проверки, аудиторы, проводящие проверку меры и средства контроля и управления ин­ формационной безопасностью, должны рассмотреть выбранные процедуры проверки для областей применения меры и средства контроля и управления и там. где это возможно и осуществимо, ском­ бинировать или объединить процедуры (или части процедур). Например, аудиторы, проводящие проверку мер и средств контроля и управления информаци­ онной безопасностью, могут захотеть объединить опросы ключевых должностных лиц организации по различным темам, имеющим отношение к информационной безопасности. Аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, могут воспользо­ ваться другой возможностью существенного объединения процедур и экономии расходов путем од­ новременного изучения всех применяемых политик и процедур, касающихся обеспечения безопасно­ сти. или формирования групп взаимосвязанных политик и процедур, которые можно изучать как еди­ ный элемент. Получение и изучение параметров конфигурации сходных аппаратных и программных компонентов в соответствующих информационных системах является еще одним примером того, что можно обеспечить существенную эффективность проверки. Дополнительной сферой, заслуживающей внимания при оптимизации процесса проверки, явля­ ется последовательность, в которой осуществляется проверка мер и средств контроля и управления. Проверка некоторых мер и средств контроля и управления раньше других может предоставить ин­ формацию. облегчающую понимание и проверку других мер и средств контроля и управления. На­ пример. сферы применения мер и средств контроля и управления могут создавать общие описания информационных активов. Проверка этих мер и средств контроля и управления безопасностью в на­ чале процесса проверки может обеспечить базовое понимание информационных активов, которое может помочь при проверке других мер и средств контроля и управления безопасностью. Дополни­ тельные рекомендации по многим мерам и средствам контроля и управления также определяют взаимосвязанные меры и средства контроля и управления, которые могут предоставить полезную информацию для организации процедур проверки. Другими словами, последовательность осуществ­ ления проверки может способствовать многократному использованию информации проверки одной меры и средства контроля и управления при проверке других взаимосвязанных мер и средств кон­ троля и управления. 8.2.11 Итоговое оформление После выбора процедур проверки (включая разработку необходимых процедур, не включенных в данный документ), адаптации процедур к конкретным информационным активам и к характерным условиям организации, оптимизации процедур для обеспечения эффективности, применения в необ­ ходимых случаях расширенной процедуры проверки и рассмотрения возможности влияния неожи­ данных событий на проверку, плану проверки придается окончательная форма и устанавливаются сроки выполнения с включением основных контрольных точек процесса проверки. После того как план проверки сформирован, он рассматривается и утверждается соответст­ вующими должностными лицами организации для обеспечения уверенности в полноте плана, согла­ совании с целями безопасности организации и проверке риска организации, а также экономической эффективности в отношении выделенных для проверки ресурсов. Если в течение проверки возможно прерывание обычного функционирования организации (например, в результате отвлечения ключево­ го персонала или возможных (временных) сбоев систем из-за тестирования на проникновение), в плане проверки должен подчеркиваться масштаб такого прерывания и его временные рамки. 8.3 Проведение проверок После утверждения организацией плана проверки аудитор, проводящий проверку мер и средств контроля и управления информационной безопасностью, работает по нему в соответствии с согласо­ ванными контрольными точками и сроками. Цели проверки достигаются путем применения назначенных методов проверки к выбранным объектам проверки и сбора/создания информации, необходимой для принятия решений, связанных с каждой целью проверки. Каждая формулировка решения относительно процедуры проверки, которую выполнил аудитор, проводящий проверку мер и средств контроля и управления информационной безопасностью, представляет собой один из следующих выводов: выполняется (В): частично выполняется (Ч); не выполняется (Н). Вывод «выполняется» означает, что для части меры и средства контроля и управления, к кото­ рой относится формулировка решения, полученная информация проверки (т. е. собранные свиде­ тельства) указывает на то. что цель проверки для меры и средства контроля и управления выполнена 17
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011 с вполне приемлемым результатом. Вывод «частично выполняется» означает, что часть меры и средства контроля и управления не направлена на свою цель или что во время проверки реализация меры и средства контроля и управления все еще продолжается, обоснованно обеспечивая уверен­ ность в том. что мера и средство контроля и управления достигнет результата «выполняется» (В). Вывод «не выполняется» означает, что для части меры и средства контроля и управления, к которой относится формулировка решения, полученная информация проверки указывает на потенциальную аномалию функционирования или реализации меры и средства контроля и управления, которая воз­ можно должна быть рассмотрена организацией. Вывод «не выполняется» также может означать, что по детально изложенным в отчете о результатах проверки причинам аудитор, проводящий проверку мер и средств контроля и управления информационной безопасностью, был не в состоянии получить достаточно информации, чтобы принять конкретное решение, требуемое в формулировке решения. Выводы аудитора, проводящего проверку мер и средств контроля и управления информацион­ ной безопасностью (т. е. вынесенные решения), должны быть беспристрастными, содержать факти­ ческую информацию о том. что было обнаружено в отношении проверяемой меры и средства контро­ ля и управления. Для каждого вывода «не выполняется» аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны указать, какие части меры и средства контроля и управления затронуты (т. е. те аспекты меры и средства контроля и управле­ ния. которые были сочтены несоответствующими или которые не было возможности проверить), и должны описать, насколько мера и средство контроля и управления отличается от планируемого или ожидаемого состояния. Аудитор, проводящий проверку мер и средств контроля и управления инфор­ мационной безопасностью, должен также отметить возможность компрометации конфиденциально­ сти. целостности и доступности, соответствующую выводам «не выполняется». Если проверка пока­ зывает существенные несоответствия (т. е. делаются выводы «не выполняется», которые указывают на существенное отклонение от запланированного состояния), аудитор, проводящий проверку мер и средств контроля и управления информационной безопасностью, должен немедленно информиро­ вать лицо, отвечающее за эту меру и средство контроля и управления, и руководство, чтобы неза­ медлительно могли быть инициированы процедуры для уменьшения последствий. 8.4 Анализ результатов и отчет о результатах План проверки предоставляет цели проверки и детальный график действий по проведению та­ кой проверки. Конечным результатом проверки является отчет о результатах проверки, в котором от­ ражается уровень информационной безопасности на основе реализованных мер и средств контроля и управления информационной безопасностью. Отчет включает информацию, поступающую от ауди­ тора. проводящего проверку мер и средств контроля и управления информационной безопас^стью (в форме выводов проверки), необходимую для определения эффективности используемых мер и средств контроля и управления и общей эффективности деятельности организации в реализации вы­ бранных и соответствующих мер и средств контроля и управления, на основе выводов аудитора. От­ чет является важным фактором при определении рисков информационной безопасности для опера­ ций (т. е. целевой задачи, функций), активов организации, кадров, других организаций и т. д. Результаты проверки должны быть документально оформлены с предназначенным для провер­ ки уровнем детальности в соответствии с форматом отчетности, предписываемым политикой органи­ зации. Формат отчетности должен также соответствовать виду проводимой проверки мер и средств контроля и управления (например, самооценка, проводимая владельцами информационной системы, независимая проверка и подтверждение достоверности, независимые проверки мер и средств кон­ троля и управления, проводимые аудиторами, и т. д.). Владелец информационной системы полагается на квалификацию в сфере информационной безопасности и технические решения аудитора, проводящего проверку мер и средств контроля и управления информационной безопасностью, в вопросах проведения проверки мер и средств кон­ троля и управления безопасностью, а также предоставляющего конкретные рекомендации по исправ­ лению слабых мест или недостатков мер и средств контроля и управления и снижению или устране­ нию выявленных уязвимостей. Информация по проверке, формируемая аудитором, проводящим проверку мер и средств кон­ троля и управления информационной безопасностью (т. е. выводы «выполняется» или «не выполня­ ется». идентификация тех частей мер и средств контроля и управления безопасностью, которые не дают удовлетворительного результата, и описание проистекающей отсюда возможности компромета­ ции информационных активов), предоставляется руководителям в форме первоначального отчета (проекта) о проверке безопасности. Владельцы активов могут решить действовать в соответствии с выбранными рекомендациями аудитора, проводящего проверку мер и средств контроля и управления информационной безопасностью, до придания отчету окончательной формы, осли существуют кон­ кретные возможности исправления слабых мест или недостатков мер и средств контроля и управле­ ния или исправления/прояснения неправильного понимания или толкования результатов проверки. 18
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 Аудитор, проводящий проверку мер и средств контроля и управления информационной безопасно­ стью. должен снова проверить модифицированные, улучшенные или добавленные во время этого процесса меры и средства контроля и управления, прежде чем формировать окончательный отчет. Передача окончательного отчета руководству означает официальное завершение проверки мор и средств контроля и управления информационной безопасностью. Поскольку результаты проверки в конечном счете влияют на содержание мер и средств контро­ ля и управления информационной безопасностью, а также на план действий и контрольные точки, владелец информационных активов рассматривает выводы аудитора, проводящего проверку мер и средств контроля и управления информационной безопасностью, и при содействии руководства ор­ ганизации определяет соответствующие шаги, которые необходимы для устранения слабых мест и недостатков, идентифицированных во время проверки. Форма отчетности по выводам проверки, в которой использованы выводы «выполняется» и «не выполняется», делает наглядными для руково­ дства организации конкретные слабые места и недостатки обеспечения информационной безопасно­ сти и способствует упорядоченному и структурированному подходу к уменьшению рисков в соответ­ ствии с процессом менеджмента риска информационной безопасности. Например, владелец инфор­ мационных активов после консультации с руководством организации может принять решение о том, что некоторые выводы проверки, отмеченные как «не выполняется», носят несущественный характер и не представляют особого риска для организации. Или, наоборот, владелец информационных акти­ вов и руководители могут решить, что определенные выводы, отмеченные как «не выполняется», яв­ ляются существенными и требуют принятия незамедлительных корректирующих мер. Во всех случа­ ях руководство организации проверяет каждый вывод «не выполняется» аудитора, проводящего про­ верку мер и средств контроля и управления информационной безопасностью, и составляет собствен­ ное мнение относительно серьезности вывода (т. е. потенциального неблагоприятного влияния на операции и активы организации, кадры, другие организации и т. д.), и является ли вывод достаточно серьезным, чтобы заслуживать дальнейшего исследования или корректирующих мер. Может потре­ боваться привлечение высшего руководства к процессу смягчения последствий, чтобы обеспечить эффективное распределение ресурсов организации в соответствии с приоритетами организации, предоставляя в первую очередь ресурсы информационным активам, которые поддерживают наибо­ лее критические процессы бизнеса организации, или исправляя недостатки, которые представляют наибольшую степень риска. В конечном счете выводы проверки и любые последующие действия по смягчению последствий, инициированные владельцем информационных активов в сотрудничестве с назначенным должностным лицом организации, приводят в действие модификации процесса ме­ неджмента риска информационной безопасности, а также мер и средств контроля и управления ин­ формационной безопасностью. Соответственно базовые документы, используемые руководителями для определения состояния информационной безопасности информационных активов, обновляются, чтобы отразить результаты проверки. В заранее определенные контрольные точки или фиксированные периоды времени после про­ верки. например, через три месяца после представления окончательного отчета, обычно проводится проверка контроля исполнения, сосредотачивающаяся на нерешенных или «открытых» проблемах. Она включает проверку правильности реализованных решений по предыдущим выводам. Организа­ ции могут также решить проводить мероприятия по контролю исполнения во время следующей про­ верки. особенно для тех вопросов, которые не являются критичными или неотложными. 19
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011 Приложение А (справочное)Практическое руководство по проверке технического соответствия В данном приложении представлена совокупность практических руководств по проверке техни­ ческого соответствия с использованием технических мер и средств контроля и управления, описан­ ных в ИСО/МЭК 27002. Каждая мера и средство контроля и управления в данном приложении описа­ на согласно нижеуказанной структуре, формулировкам и руководствам. «Техническая мера и средство контроля и управления» (с «дополнительной технической ин­ формацией») 1 Стандарт реализации безопасности (с «Техническим примечанием к стандарту реализации безопасности») 1.1 Практическое руководство. Предполагаемые свидетельства. Метод 1.2 Практическое руководство. Предполагаемые свидетельства. Метод 2 Стандарт реализации безопасности (с «Техническим примечанием к стандарту реализации безопасности») 2.1 Практическое руководство. Предполагаемые свидетельства. Метод 2.2 Практическое руководство. Предполагаемые свидетельства. Метод 2.3 Для каждой технической меры и средства контроля и управления существует дополнитель­ ная техническая информация, помогающая аудиторам, проводящим проверку мер и средств контроля и управления информационной безопасностью. Она в основном состоит из информации о серии «стандартов реализации безопасности», которые должны регулярно проверяться организацией для подтверждения, реализованы ли и эксплуатируются ли соответствующим образом применяемые стандарты или нет. В каждом «стандарте реализации безопасности» есть «Техническое примечание к стандарту реализации безопасности», предоставляющее дополнительную техническую информацию для про­ цесса проверки. В нем также представлены: «Практическое руководство». «Предполагаемые свиде­ тельства» и «Метод». «Практическое руководство» предоставляет применяемую процедуру проверки соответствия для «стандарта реализации безопасности». В «Предполагаемых свидетельствах» приводятся неко­ торые примеры систем, файлов, документов или других элементов, которые могут быть приняты в качестве «свидетельств» в процедуре проверки соответствия. Следует обратить внимание на то. что названия свидетельств могут различаться в разных организациях. Однако использованные в данном приложении названия могут считаться общепризнанными в сфере проверки технического соответст­ вия. «Метод» представляет соответствующий подход к технической проверке соответствия согласно приведенному выше «Практическому руководству». В данном приложении не представлены исчерпывающие практические руководства по проверке технического соответствия, которые могут значительно помочь организациям в проведении проверки, введены ли соответствующим образом стандарты реализации безопасности и действуют ли они. 20
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 Таблица А.1 А.1 Техническая проверка мер и средств контроля и управления, применяемых против вредоносной программы Мера и сред­ ИСО/МЭК 27002 10.4.1 Меры и средства контроля и управления против в р е ­ ство контроля доносной программы и управления Необходимо внедрить меры и средства контроля и управления, связанные с об­ наружением, предотвращением и восстановлением, с целью защиты от вредо­ носной программы, а также процедуры, обеспечивающие соответствующую осве­ домленность пользователей. Дополнитель­ Вредоносная программа (вредоносное программное средство) - это общий тер­ ная техниче­ мин. используемый для обозначения кода, программного средства, программы, ская инфор­ сценария, предназначенных для нанесения ущерба компьютерной системе путем мация хищения информации, мошенничества, шпионажа, саботажа и вандализма. При внесении вредоносного программного средства в компьютерную систему мо­ жет быть причинен ущерб системе или может быть похищена информация из сис­ темы. Также возможно, что оно причинит ущерб другим системам. Вредоносное программное средство включает вирусы, червей, троянских коней, боты, шпионское программное средство, программы, запускающие рекламу, и другие нежелательные программные средства. В условиях соединения сети организации с Интернетом аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны проверить, что функции обнаружения/предупреждения вредоносного про­ граммного средства комплексно и эффективно размещены на границе с Интерне­ том и эти функции действуют соответствующим образом. Чтобы проверить, действуют ли функции обнаружения/предупреждения соответ­ ственно, аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны получить подтверждение, обновляются ли файлы-шаблоны или сигнатуры, используемые для обнаружения вредоносного программного средства. Некоторые системы обнаружения/предупреждения разрабатываются для обнару­ жения вредоносного программного средства посредством использования файловшаблонов или сигнатур, а некоторые создаются для обнаружения аномального поведения компьютерной системы без использования файлов-шаблонов или сиг­ натур. Поскольку существует несколько моделей соединения с Интернетом, таких как соединение сети организации с Интернетом через шлюз или подключение каждо­ го персонального компьютера (ПК) к Интернету напрямую, аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны убедиться, что система обнаружения/предупреждения соответствующим образом работает при любой модели соединения. П р и м е ч а н и е - Аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны сознавать, что возможности системы обнаружения/предупреждения в отношении неизвестного вредоносного программного средства (та­ кого как «Zero day«) ограничены 1 Стандарт Установка и регулярное обновление программных средств по обнаружению вре­ реализа­ доносных программ и исправлению ситуации для осуществления сканирования ции безо­ компьютеров и носителей данных в качестве предупредительной меры и средст­ пасности ва контроля и управления или на стандартной основе. Проводимые проверки должны включать: 1) проверку любых файлов перед их использованием на электронных или оп­ тических носителях данных или файлов, полученных по сети, на предмет наличия вредоносной программы; 2) проверку вложений электронной почты и загрузок на предмет наличия вре­ доносной программы перед их использованием: эта проверка должна осуществ­ ляться в разных точках, например, на почтовых серверах, в настольных компью­ терах. при вхождении в сеть организации; 3) проверку веб-страниц на предмет наличия вредоносной программы 21
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011 П р о д о л ж е н и е та б л и ц ы А.1 1 Т е х н и ч е ­ С и сте м а о б и а р у ж е н и я /п р е д у п р е ж д е н и я в р е д о н о с н о го п р о гр а м м н о го ср е д с тв а на ско е пр и­ м е ж с е те во м ш л ю зе , на вход е в с е ть о р га н и за ц и и д о л ж н а со о тв е тс тв у ю щ и м о б р а ­ м е ч а н и е к зо м вза и м о д е й с тв о в а ть с р а зл и ч ны м и се те в ы м и се р в и с а м и ил и пр о то ко л а м и , т а ­ ста н д а р ту ким и ка к W W W . эл е ктр о н н а я п очта и F T P 11 р е а л и за ­ ци и б е зо ­ па сно сти 1.1 П р а ктиче ско е Практические руководства 1). 2) и 3) применяются для «стандарта реа­ р у ко во д с тво лизации безопасности:»: 1) проверить комплексное и эффективное размещение системы/устройства обнаружения вредоносной программы и исправления ситуации для любых файлов на электронных или оптических носителях данных или файлов, полученных по сети, путем проверки специфика­ ции системы или сетевых диаграмм. Аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, проверяют комплексное и эффек­ тивное размещение системы обнаружения/предупреждения путем про­ верки спецификации системы или сетевых диаграмм; 2) проверить комплексное и эффективное размещение систвмы/устройства обнаружения вредоносной программы и исправления ситуации для любых вложений электронной почты и загрузок путем проверки спецификации системы или сетевых диаграмм, которые включают почтовые серверы, настольные компьютеры и межсетевой шлюз. Система/устройство обнаружения вредоносной программы и исправ­ ления ситуации иногда четко описывается в спецификации системы как особое устройство, однако аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, от­ мечают, что она также размещается на серверах, предназначенных для предоставления некоторых других функций/сервисов (WWW. элек­ тронная почта и FTP), и таким образом в действительности она раз­ мещается в спецификации системы без четкого описания. Для настольных ПК аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, отмечают, что система/устройство обнаружения вредоносной программы и ис­ правления ситуации размещается наследственно в спецификации сис­ темы без четкого описания: 3) проверить комплексное и эффективное размещение системы/устройства обнаружения вредоносной программы и исправления ситуации для веб-страниц путем проверки спецификации системы или сетевых диаграмм, которые включают веб-сервер. Для настольных ПК. использующихся для просматривания веб­ страниц. аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, отмечают, что систе­ ма/устройство обнаружения вредоносной программы и исправления ситуации располагается наследственно в спецификации системы без четкого описания. В этом случав система/устройство обнаружения вредоносной программы и исправления ситуации может располагаться наследственно в браузере. Для веб-сервера система/устройство обнаружения вредоносной про­ граммы и исправления ситуации иногда четко описывается в специфи­ кации системы как особое устройство, однако аудиторы, проводящие проверку мер и средств контроля и управления информационной безо­ пасностью, отмечают, что она также располагается наследственно в спецификации системы без четкого описания. П р е д п о л а га е ­ Спецификация системы, сетевые диаграммы м ы е с в и д е те л ь ­ ства М е то д Изучение/Проверка FTP (File Transfer Pro toed) - протокол передачи файлов 22
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 Продолжение таблицы А.1 1.2 Практическое Практические руководства 1), 2) и 3) применяются для «Стан­ руководство дарта реализации безопасности»: 1) проверить размещение и соответствующее функциониро­ вание системы/устройства обнаружения вредоносной програм­ мы и исправления ситуации в отношении любых файлов на электронных или оптических носителях данных или файлов, полученных по сети, путем наблюдения за средствами обработ­ ки информации. Проверить, работают ли соответствующим образом программ­ ные средства менеджмента в интегрированной системе в усло­ виях. когда системаУустройство обнаружения вредоносной про­ граммы и исправления ситуации регулируется в интегрирован­ ной системе: 2) проверить размещение и соответствующее функциониро­ вание системы/устройства обнаружения вредоносной програм­ мы и исправления ситуации для любых вложений электронной почты и загрузок на почтовых серверах, в выборочных настоль­ ных компьютерах и шлюзе путем наблюдения за средствами обработки информации. Для электронной почты проверить, работает ли система/устройство обнаружения не только в отношении вложенных файлов, но и в отношении вредоносной программы на html- странице электронной почты; 3) проверить размещение и соответствующее функциониро­ вание системы/устройства обнаружения вредоносной програм­ мы и исправления ситуации в отношении любых веб-страниц путем наблюдения за средствами обработки информации. Для настольных ПК. использующихся для просматривания веб­ страниц. проверить, работает ли система/устройство обнаруже­ ния в отношении несанкционированных «Active X control», скриптов’ 1 и т. д. Для веб-сервера проверить, работает ли система/устройство обнаружения не только в отношении html-файлов. но и в отно­ шении вредоносной программы в веб-сервисах, таких как и Apache. МЗЙ> и т. д. Предполагае­ Средства системы/устройства обнаружения вредоносной про­ мые свидетель­ граммы и исправления ситуации размещаются, например, на/в: ства - файловом сервере: - почтовом сервере: - выборочных настольных ПК: - мобильных компьютерах: - единой системе обнаружения вредоносной программы и ис­ правления ситуации, размещенной на межсетевом шлюзе (гра­ нице между сетью организации и Интернетом): - веб-сервере; - прокси-сервере; - веб-браузере; - иных устройствах (например, на устройстве для блокирования USB. вставляемом физически). Метод Изучение/Наблюдение " Скрипт -небольшая программа или макрос, исполняемые приложением или операционной системой при конкретных обстоятельствах, например, при регистрации пользователя в системе. Скрипты часто хранятся в ви­ де текстовых файлов, которые интерпретируются во время исполнения. *' IIS (Internet Information Server) - Информационный сервер Internet. 23
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011 Окончание таблицы А.1 1.3 Практическое ру­ Собрать журналы регистрации системы обнаружения и исправления ководство ситуации и проверить, показывают ли записи журналов регистрации, что система работает и что при обнаружении вредоносного программ­ ного средства принимаются необходимые меры. П р и м е ч а н и я 1 Для настольных ПК стандартные журналы регистрации системы об­ наружения и исправления ситуации хранятся в ПК. Для серверов и внешних устройств эти журналы регистрации иногда передаются в дру­ гие системы через протокол передачи, такой как systog. и хранятся в них. 2 Для настольных ПК. использующихся для просмотра веб-страниц, функция обнаружения в веб-браузере может не создавать записи в журнале регистрации, показывающие, что функция работает. Чаще большинство браузеров показывает сообщение, когда обнаруживаются несанкционированные скрипты. Предполагаемые - Система обнаружения в процессе эксплуатации свидетельства - Журналы регистрации системы обнаружения - Записи сигналов тревоги системы обнаружения - Сообщения системы обнаружения в веб-браузере Метод Изучение,'Наблюдение 2 Стандарт Программные средства по обнаружению вредоносной программы и исправлению ситуации реализации для осуществления сканирования компьютеров и носителей данных в качестве предупре­ безопасно­ дительной меры должны обновляться регулярно или на стандартной основе сти Техническое Для большинства случаев существуют функции автоматического обновления файловпримечание шаблонов или сигнатур к стандарту реализации безопасно­ сти 2.1 Практическое ру­ Проверить проектирование программных средств по обнаружению ководство вредоносной программы и исправлению ситуации на предмет обнов­ ления файлов-шаблонов или сигнатур автоматически или на стан­ дартной основе Предполагаемые Проект или спецификация системы обнаружения свидетельства Метод Изучение,'Проверка 2.2 Практическое ру­ Проверить установки программных средств по обнаружению вредо­ ководство носной программы и исправлению ситуации на предмет обновления файлов-шаблонов или сигнатур автоматически или на стандартной основе Предполагаемые Установки системы обнаружения свидетельства Метод Изучение'Наблюдение 2.3 П р а ктиче ско е П ро в е ри ть о с у щ е с тв л е н и е о б н о в л е н и я ф а й л о в -ш а б л о н о в или р у ко во д с тво си гн а тур , п р о ве д я на б л ю д е н и е за на и м е н о ва н и е м пр о дукта, в е р с и е й и ж у р н а л о м р е ги с тр а ц и и о б н о в л е н и й ф а й л о вш а б л о н о в или си гн а тур . П р и м е ч а н и е - Информацию о наименовании продукта и версии системы обнаружения и исправления ситуации можно найти в спра­ вочном файле продукта Предполагаемые Информация о системе обнаружения,'предупреждения, т. е: свидетельства - наименование продукта; - версия продукта; - версия файлов-шаблонов или сигнатур Метод Изучение/Наблюдение 24
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 Т а б л и ц а А .2 А.2 Техническая проверка мер и средств контроля и управления для контрольной регистрации Мера и средст­ ИСО/МЭК 27002 10.10.1. Контрольная регистрация во контроля и Необходимо вести и хранить в течение согласованного периода времени кон­ управления трольные журналы, регистрирующие действия пользователей, нештатные си­ туации и события информационной безопасности, чтобы помочь в будущих рас­ следованиях и проведении контроля управления доступом Дополнитель­ Для обнаружения несанкционированных действий по обработке информации ная техниче­ важно создание записей в контрольных журналах, которые используются для ская информа­ отслеживания действий пользователей, операторов систем, связанных с безо­ ция пасностью событий и систем. Чтобы можно было проанализировать, происходит ли несанкционированная деятельность и связанные с безопасностью события, контрольные журналы должны содержать следующую информацию: - идентификатор пользователя: -д ату и время; - основные события, такие как вход в систему и выход из системы; - идентификатор терминала; - сетевой адрес и протоколы. Для создания необходимых записей, включая вышеприведенную информацию, оборудование, создающее контрольные журналы, должно быть соответствую­ щим образом настроено или к нему должны применяться некоторые правила. Метод протоколирования зависит от структуры и архитектуры системы и реали­ зованных приложений. Аудиторы, проводящие проверку мер и средств контроля и управления инфор­ мационной безопасностью, должны учитывать различие методов протоколиро­ вания для различной архитектуры систем, например, серверов и ПК. П р и м е ч а н и е - Примеры структур системы, которые затрагиваются: - система клиент-сервер; - система на базе Интернет-технологий; - система «тонкий клиент»: - виртуализация; -использование ASP (поставщиков услуг по аренде приложений). SaaS (программного обеспечения как услуги) или облачных вычислений. Примеры архитектур систем, которые затрагиваются: - UNIX. Linux; - Windows; - мэйнфрейм. Примеры видов контрольных журналов, которые затрагиваются: - системный журнал; - контрольный журнал прикладных программ. Стандарт Должны создаваться контрольные журналы, фиксирующие действия пользова­ реализации телей. отклонения от нормы и события, связанные с информационной безопас­ безопасности ностью. Контрольные журналы должны включать, где это необходимо: a) идентификаторы пользователей; b) дату, время и подробности основных событий, например, входа в систему и выхода из системы; c) идентификатор терминала или местонахождение, если это возможно; d) записи успешных и неудачных попыток доступа к системе. e) записи успешных и неудачных попыток доступа к данным и другим ресурсам; 0 описания изменений в конфигурации системы; h) описание использования утилит и приложений; i) файлы, к которым получен доступ, и вид доступа; j) сетевые адреса и протоколы; k) сигналы тревоги, производимые системой управления доступом; l) описание активации и деактивации систем защиты, таких как антивирусные системы и системы обнаружения вторжений 25
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011 Продолжение таблицы А.2 Техническое Чтобы обнаружить связанные с безопасностью события и выяснить их причины, примечание аудиторы, проводящие проверку мер и средств контроля и управления инфор­ к стандарту мационной безопасностью, проверяют и анализируют состояние функциониро­ реализации вания. использования и изменения систем по записям контрольного журнала. безопасно­ Чтобы расследовать события и причинную связь инцидентов нужно сочетать сти контрольные журналы многих систем. По этой причине важно понимание место­ нахождения и вида контрольных журналов с точки зрения структу- ры/архитектуры/конфигурации систем 1.1 Практическое Проверить, основано ли проектирование протоколирования руководство данных аудита системы на стандарте реализации безопасно­ сти Предполагае­ - Документация спецификации мые свидетель­ - Документация определения требований ства - Документация проектирования программного обеспечения Метод Изучение/Провсрка 1.2 Практическое Проверить, таковы ли установки конфигурационных файлов руководство протоколирования данных аудита системы, как описано в до­ кументации по проектированию системы Предполагае­ - Документация проектирования программного обеспечения мые свидетель­ - Конфигурационный файл системы ства Метод Изучение/Наблюдение 1.3 Практическое Проверить, таковы ли записи существующих контрольных руководство журналов, как описано в документации по проектированию системы. П р и м е ч а н и е - В контрольных журналах есть записи, появляю­ щиеся постоянно, и записи, такие как записи об ошибках, появляю­ щиеся в определенных случаях. Чтобы проверить, фиксирует ли сис­ тема записи, появляющиеся только в определенных случаях, аудито­ рам. проводящим проверку мер и средств контроля и управления ин­ формационной безопасностью, гложет потребоваться применение различных мер. включая создание совокупности тестовых данных, проверку документации по проектированию системы Предполагае­ - Контрольный журнал мые свидетель­ ства Метод Изучение/Наблюдение 1.4 Практическое Проверить целостность записей в контрольных журналах, что­ руководство бы определить, является ли протоколирование данных аудита соответствующим. П р и м е ч а н и е - Некоторые записи, которые должны фиксиро­ ваться в контрольных журналах, могут отсутствовать из-за недостат­ ков в функционировании, возможностях системы или по каким-то дру­ гим причинам, даже если установка протоколирования данных аудита является соответствующей Предполагае­ - Контрольный журнал мые свидетель­ ства Метод Изучение/Наблюдение 26
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 Окончание таблицы А.2 Стандарт Контрольные журналы должны храниться в течение согласованного периода реализации времени для содействия будущим расследованиям и мониторингу управления безопасно­ доступом сти Техническое В некоторых случаях периоды хранения контрольных журналов определяются примечание целями бизнеса, договором и законами/предписаниями. Например, контрольные к стандарту журналы, которые содержат сигналы тревоги, поднятые системой управления реализации доступом, должны храниться до завершения расследования событий и причин­ безопасно­ ной связи инцидентов. сти П р и м е ч а н и е - Хранение контрольных журналов относительно «молодой» системы, деятельность которой только что началась, не осуществляется е течение согласованного периода времени. В этом случав для выполнения практического руководства 2.3 нужно провести проверку по практическим руководствам 2.1 и 2.2 2.1 Практическое Проверить, таков ли период хранения контрольных журналов, руководство как описано в документации по проектированию системы Предполагае­ - Контрольный журнал мые свидетель­ - Документация по проектированию системы ства Метод Изучение/Наблюдение 2.2 Практическое Проверить, установлен ли период хранения контрольных жур­ руководство налов системы, как описано в документации по проектирова­ нию системы, или. не применяются ли установки перезаписи или стирания контрольных журналов до завершения периода хранения Предполагае­ - Контрольный журнал мые свидетель­ - Документация по проектированию системы ства Метод Изучение/Наблюдение 2.3 Практическое Проверить, превышает ли период хранения контрольных жур­ руководство налов период, установленный путем наблюдения отметок времени в контрольных журналах, или фиксирование времени в контрольном журнале Предполагае­ - Контрольный журнал мые свидетель­ - Документация по проектированию системы ства Метод Изучение/Наблюдение 27
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011 Таблица А.З А.З Техническая проверка мер и средств контроля и управления для управления привилегиями Мера и сред­ ИСО/МЭК 27002 11.2.2. Управление привилегиями ство контроля Предоставление и использование привилегий необходимо ограничивать и кон­ и управления тролировать Дополнитель­ Управление привилегиями является важной задачей, потому что несоответст­ ная техниче­ вующее использование привилегий оказывает существенное влияние на системы. ская инфор­ Состояние распределения привилегий должно быть описано в документах, опре­ мация деляющих привилегии (документация определения привилегий). Поскольку при­ вилегии доступа связаны с каждым системным продуктом (операционная система, система управления базой данных и каждое приложение), то они отличаются. Примерыи видов привилегий: - суперпользователь (UNIX, Linux); - администратор (Windows); - оператор резервного копирования (Windows): - опытный пользователь (Windows); - администратор системы (DBMS1*); - администратор базы данных (DBMS). Распределение привилегий должно быть минимальным, на основе принципа не­ обходимого использования. К тому же они не обязательно должны распределять­ ся постоянно. Метод управления привилегиями различается в системах. Примеры управления привилегиями на основе систем; - в операционной системе (ОС) привилегии определяет ACL2*; - в DBMS различные привилегии определяются по умолчанию; - в приложении могут определяться различные привилегии по умолчанию для функции менеджмента приложения, поэтому аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны зара­ нее определить уровень проверки; - в защищенных ОС есть функция обязательного управления доступом Стандарт Должны быть определены привилегии доступа, связанные с каждым системным реализации продуктом, например. ОС, системой управления базой данных и каждым прило­ безопасно­ жением, а также пользователи, среди которых нужно распределить привилегии сти Техническое Деятельность наделенных привилегиями пользователей должна подвергаться примечание мониторингу, поскольку несоответствующее использование привилегий оказыва­ к стандарту ет существенное влияние на системы. Методы обнаружения несоответствующего реализации использования привилегий различаются, если архитектура систем различна. безопасно­ сти П р и м е ч а н и е - Типичными архитектурами систем являются: - мэйнфрейм; - Windows; - UNIX. Linux: - защищенные операционные системы 1.1 Практическое ру­ Проверить, описано ли распределение привилегий в докумен­ ководство тации определения привилегий Предполагаемые Документация определения привилегий свидетельства Метод Изучение/Наблюдение DBMS (Database Management System) - Система управления базами данных. СУБД. ‘ ACL (Access Control List) - Список управления доступом.28
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 Продолжение таблицы А.З 1.2 Практическое ру­ Проверить, таковы ли установки конфигурации системы, как ководство описано в документах, определяющих привилегии. Метод про­ верки действия привилегий различается в зависимости от ар­ хитектуры систем. Примеры метода проверки действия привилегий: 1) (в случае мэйнфрейма) проверить, является ли состоя­ ние использования привилегий соответствующим, посредст­ вом проверки отчета RACF11; 2) (в случае UNIX. Linux или Windows) проверить, является ли состояние использования привилегий соответствующим, путем изучения журналов регистрации, показывающих исполь­ зование привилегий. П р и м е ч а н и я 1 RACF - это связующее программное обеспечение менеджмента безопасности в мэйнфрейме. 2 В UNIX или Unux рискованно проверять только вход в систему с полномочиями суперпользователя для исследования несоответст­ вующего использования привилегий суперпользователя. Причина этого заключается в том. что обычный пользователь может стать су­ перпользователем. использовав команду «su» после входа в систему UNIX или Unux. Предполагаемые - Документация определения привилегий свидетельства - Список управления доступом - Отчет RACF Метод Изучение/Наблюдение 2 Стандарт Привилегии должны быть назначены другому идентификатору пользователя, от­ реализа­ личному от того, который применяется для обычного использования в бизнесе ции безо­ пасности Техниче­ В случае доступа по привилегиям существует возможность несанкционированной ское при­ деятельности по случайности, и ситуация использования привилегий регулярно мечание к становится очагом несанкционированного доступа. стандарту Если деятельность не требует привилегий, пользователи должны использовать реализа­ стандартный идентификатор. Если разрешен вход в систему по привилегии «су­ ции безо­ перпользователь». то из журнала регистрации невозможно идентифицировать, пасности кто входит в систему 2.1 Практическое ру­ Проверить, имеют ли привилегированные пользователи обыч­ ководство ный идентификатор пользователя помимо привилегированно­ го идентификатора, путем наблюдения за ACLs систем Предполагаемые - Список управления доступом свидетельства Метод Изучение/Наблюдение " RACF (Resource access control facility) - средство управления доступом к ресурсу. 29
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011 Окончание таблицы А.З 2.2 Практическое ру­ Проверить, используют ли для привилегии иной идентифика­ ководство тор пользователя, отличный от того, который применяется для обычного бизнеса, посредством наблюдения за системным журналом регистрации. В случае UNIX или Linux проверить, что системная конфигура­ ция способствует тому, что система не допускает вход с пол­ номочиями «суперпользователя». П р и м е ч а н и е - Аудиторы, проводящие проверку мер и средств контроля и управления информационной безопасностью, должны прибегнуть к опросам для проверки, применяется ли в случае приви­ легии иной идентификатор пользователя, отличный от того, который применяется для обычного использования в бизнесе, когда журнал регистрации показывает, что в случав привилегии используется толь­ ко привилегированный идентификатор Предполагаемые - Системный журнал регистрации свидетельства - Системная конфигурация входа с полномочиями «суперполь­ зователя» Метод Изучение/Наблюдение 30
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 Таблица А.4 А.4 Техническая проверка мер и средств контроля и управления для резервирования информации Мера и средст­ ИСО/МЭК 27002 10.5.1. Резервирование информации во контроля и Резервное копирование информации и программного средства должно выпол­ управления няться и тестироваться на регулярной основе в соответствии с установленной политикой резервирования Дополнитель­ Чтобы соответствующим образом проводить резервное копирование, должен ная техниче­ быть определен стандарт организации в соответствии с политикой резервного ская информа­ копирования, и он должен отражаться в проектной документации по резервному ция копированию. Резервные копии используются для восстановления важной информации или программ в случаях, сопровождающихся потерей данных, таких как бедствие или сбой носителя данных. При проектировании резервного копирования организации следует выбрать аде­ кватную площадку для резервного копирования, канал резервного копирования и метод резервного копирования в соответствии с политикой резервного копиро­ вания. Организация должна выбрать, какой будет площадка для резервного копирова­ ния - внутренней или внешней. Создание резервной копии и восстановление при резервном копировании на месте считаются значительно более быстрыми по сравнению с их осуществлением при внешнем резервном копировании. Внешнее резервное копирование часто выбирается с целью предотвращения влияния локальных бедствий, таких как пожар, затопление или землетрясение. Организация должна определить, каким будет канал резервного копирования - онлайновый или офлайновый. Онлайновое резервное копирование означает, что данные колируются через сеть или линию связи. Офлайновое резервное ко­ пирование означает, что резервные копии данных физически транспортируются на переносных носителях, таких как цифровая лента с линейной записью или компакт-диск/цифровой многофункциональный диск. Метод резервного копирования подразделяется на полное резервное копирова­ ние. инкрементное резервное копирование и дифференциальное резервное ко­ пирование. Полное резервное копирование означает, что делается резервная копия всех данных, выбранных для резервного копирования. Оно требует больше времени и информационной емкости по сравнению с другими методами, но является наиболее простым и легким методом с точки зрения восстановления. Инкрементное резервное копирование означает, что делается резервная копия данных, изменившихся со времени последнего резервного копирования. Оно требует меньше времени и информационной емкости по сравнению с другими методами, но является наиболее сложным методом с точки зрения восстанов­ ления. Дифференциальное резервное копирование означает, что делается резервная копия данных, изменившихся со времени последнего полного резервного копи­ рования. Оно требует меньше времени и информационной емкости, чем полное резервное копирование, и является более простым и легким методом с точки зрения восстановления, по сравнению с инкрементным резервным копировани­ ем 1 Стандарт Степень (например, полное или дифференциальное резервное копирование) и реализации частота резервного копирования должны определяться требованиями бизнеса безопасно­ организации, требованиями безопасности задействованной информации и кри­ сти тичностью информации для непрерывной деятельности организации 31
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011 Продолжение таблицы А.4 Техническое В соответствии с требованиями своего бизнеса организация должна выбрать примечание адекватное время резервного копирования/восстановления и информационную к стандарту емкость для резервного копирования. Специалисты по оценке должны оценить, реализации адекватный ли метод резервного копирования выбран для выполнения требова­ безопасно­ ний бизнеса. сти Примерами повторяемости, которая используется, являются: - зеркальное копирование или тиражирование в режиме реального времени (ко­ гда критичность информации максимальна); - ежедневное копирование (когда требуется восстановление данных с резервной копии с давностью, по крайней мере, в пределах дня); - еженедельное копирование; • ежемесячное копирование. 1.1 Практическое Проверить, основано ли проектирование резервного копирова­ руководство ния на стандарте реализации безопасности Предполагае­ - Документально оформленная спецификация резервного ко­ мые свидетель­ пирования ства - Документально оформленные определения требований биз­ неса и требований безопасности - Проектная документация по резервному копированию Метод Изучение/Проверка 1.2 Практическое Проверить, таковы ли установки конфигурационных файлов руководство системы для резервного копирования, как описано в проектной документации по резервному копированию Предполагае­ - Проектная документация по резервному копированию мые свидетель­ - Конфигурационные файлы системы для резервного копиро­ ства вания Метод Изучение/Проверка 1.3 Практическое Проверить, осуществляется ли резервное копирование, как руководство описано в проектной документации по резервному копирова­ нию Предполагае­ - Проектная документация по резервному копированию мые свидетель­ - Журналы регистрации ства - Резервные носители данных Метод Изучение/Наблюдение 2 Стандарт Процедуры восстановления должны регулярно проверяться и тестироваться, реализации чтобы обеспечить уверенность в их эффективности и возможности их выполне­ безопасно­ ния в течение времени, выделенного в операционных процедурах для восста­ сти новления Техническое Сложность и требуемое время восстановления различаются в зависимости от примечание используемого метода, такого как полное или дифференциальное резервное к стандарту копирование. реализации Должен подготавливаться и документироваться план тестирования и проверки безопасно­ процедур восстановления сти 2.1 Практическое Проверить, регулярно ли проверяется план тестирования и руководство проверки Предполагае­ - Записи о проверке плана тестирования и проверки мые свидетель­ ства Метод Изучение/Про верка 32
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 Окончание таблицы А.4 2.2 Практическое Проверить, регулярно ли тестируется план тестирования и руководство проверки, чтобы обеспечить уверенность в эффективности процедур восстановления и возможности их выполнения в те­ чение времени, выделенного в операционных процедурах для восстановления Предполагае­ - Записи тестирования восстановления мые свидетель­ - План тестирования и проверки ства Метод ИзучениеУПроверка Таблица А.5 А.5 Техническая проверка мер и средств контроля и управления для обеспечения безопас- ности сетевы х услуг Мера и средст­ ИСО/МЭК 27002 10.6.2. Безопасность сетевых услуг во контроля и Средства обеспечения безопасности, уровни услуг и требования в отношении управления менеджмента всех сетевых услуг должны быть определены и включены в любой договор по сетевым услугам, вне зависимости от того, будут ли они обеспечи­ ваться силами организации или в рамках договоров аутсорсинга Дополнитель­ Сетевая услуга - это услуга, предоставляемая в сетевой вычислительной среде ная техниче­ либо внутри организации, либо с использованием аутсорсинга. Когда организа­ ская информа­ ция использует сетевые услуги, конфиденциальная информация организации ция может передаваться способом, присущем аутсорсинговой сетевой услуге. Таким образом, специалисты по оценке должны учитывать, что необходимые функции безопасности, такие как шифрование и/или аутентификация, обеспечиваются привлеченным поставщиком сетевых услуг. Примерами систем, используемых для сетевых услуг, являются: - DNS1': - DHCP2’; - межсетевой экран/виртуальная частная соть; - антивирусный детектор; - IDS31/ IPS41 1 Стандарт Должны быть идентифицированы необходимые для конкретных услуг меры реализации безопасности, такие как функции безопасности, уровни услуг и требования ме­ безопасно­ неджмента. Организация должна обеспечить уверенность в том. что поставщики сти сетевых услуг реализуют эти меры Техническое При использовании сетевых услуг важны меры безопасности, обеспечивающие примечание защиту передаваемой посредством их информации. к стандарту Требования функций безопасности обычно включаются в требования бизнеса. реализации Примеры функций безопасности, связанных с сетевыми услугами: безопасно­ - шифрование для защиты от подслушивания; сти - управление сетевым доступом для защиты от несанкционированного доступа: - IDS/IPS для защиты от злонамеренных действий: - фильтрация URL5’ для защиты от несанкционированного веб-доступа: - реагирование на инциденты, т. е. на неожиданные события, связанные с безо­ пасностью 11 DNS (Domain Name System) - Система доменных имен. DHCP (Dynamic Host Configuration Protocol) - Протокол динамического конфигурирования узла [хост-машины]. 51 IDS (Intrusion Detection System) - Система обнаружения вторжений. IPS (Intrusion Prevention System) - Система предотвращения вторжений. $l URL (Uniform Resource Locator) - Унифицированный указатель ресурса, URL - адрес. 33
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011 Окончание таблицы А.5 1.1 Практическое Проверить, удовлетворяет ли требованиям бизнеса, правовым руководство требованиям и требованиям безопасности организации договорная документация, включая предоставляемое поставщиком услуг SLA Предполагае­ - Договорная документация мые свидетель­ - Документация, определяющая требования ства Метод Изучение/Проверка 1.2 Практическое В случае внутренних сетевых услуг проверить, таковы ли. как руководство описано в проектной документации на сетевые услуги, уста­ новки системы, используемой для сетевых услуг Предполагав- - Конфигурация системы мыв свидетель­ - Проектная документация на сетевые услуги ства Метод Изучение/Про верка 1.3 Практическое В случае внутренних сетевых услуг проверить, таковы ли. как руководство описано в проектной документации на сетевые услуги, записи существующих системных журналов регистрации, используе­ мых для сетевых услуг. Примеры записей, относящихся к сетевым услугам: - аутентификация; - шифрование; - меры и средства контроля и управления сетевыми соедине­ ниями; - скорость коммутации; - реакция (в случае онлайновых систем); - продолжительность простоя Предполагае­ - Системные журналы регистрации мые свидетель­ - Предупредительные сигналы тревоги ства - Проектная документация на сетевые услуги Метод Изучение/Наблюдение 34
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 Таблицы А.6 А.6 Техническая проверка мер и средств контроля и управления для обязанностей пользователей Мера и средст­ ИСО/МЭК 27002 11.3.1. Использование паролей во контроля и Пользователи должны придерживаться общепринятой практики в области безо­ управления пасности при выборе и использовании паролей Дополнитель­ Для предотвращения несанкционированного доступа к компьютерным ресурсам ная техниче­ следует создавать пароли и хранить их в секрете от тех. кому не разрешен дос­ ская информа­ туп. ция Паролевая аутентификация - это метод аутентификации пользователя, исполь­ зуемый несколькими ресурсами, такими как операционные системы, программы, базы данных, сети или веб-сайты. Качество пароля зависит от его длины и вида символов, таких как буквенно-цифровые символы и знаки. В некоторых операционных системах, таких как Windows, у пользователей может быть возможность конфигурирования параметров политики паролей. С другой стороны, разработчики приложений могут разработать функцию аутентификации для конфигурирования политики паролей. Специалисты по оценке должны оценить эффективность функций авторизации с паролями, размещенных на вычислительных средствах, и соответствующую ра­ боту этих функций 1 Стандарт Выбор качественных паролей достаточной минимальной длины, которые: реализации 1) легко запоминаются; безопасно­ 2) не основаны на том. что кто-то другой может легко отгадать или получить, сти используя связанную сданным лицом информацию, например, фамилии, номе­ ра телефонов, даты рождения и т. д.; 3) невосприимчивы к атакам методом подбора по словарю (т. е. не состоят из слов, включенных в словари); 4) не состоят из последовательных, идентичных, полностью цифровых или полностью буквенных символов Техническое Пароли, которые легко запомнить другому пользователю, уязвимы в целом примечание к стандарту реализации безопасно­ сти 1.1 Практическое Проверить, прописаны ли в политике паролей организации руководство правила выбора паролей Предполагае­ - Политика паролей организации мые свидетель­ ства Метод ИзучениеУПровсрка 1.2 Практическое Проверить, таковы ли. как описано в политике паролей органи­ руководство зации. установки конфигурации системы (политика паролей системы) Предполагае­ - Конфигурация системы (политика паролей системы) мые свидетель­ - Политика паролей организации ства Метод ИзучениеУНаблюдение 1.3 Практическое Проверить, отражено ли изменение пользователями паролей в руководство журналах регистрации Предполагае­ - Системный журнал регистрации мые свидетель­ ства Метод ИзучениеУНаблюдение 35
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011 Приложение В (справочное)Начало сбора информации (отличной от ИТ) Ведущий аудитор в группе, проводящей проверку мер и средств контроля и управления инфор­ мационной безопасностью, должен назначать аудитора, проводящего проверку мер и средств кон­ троля и управления, с соответствующей компетентностью и опытом для каждой области информаци­ онной безопасности. По каждой указанной ниже сфере для соответствующего персонала приведен не исчерпываю­ щий перечень примерных вопросов. В.1 Кадровые ресурсы и безопасность a) Чувствует ли персонал себя ответственным и/или подотчетным за свои действия? b ) Существуют ли «на месте» специалисты, обладающие знаниями по обеспечению безопас­ ности и информационной безопасности, для ответа на вопросы, мотивации персонала и предостав­ ления необходимого руководства? c) Являются ли применяемые политики и процедуры четкими и SMART1' (конкретными, изме­ римыми. приемлемыми, реалистичными, привязанными ко времени)? d) Осуществляется ли наем персонала в соответствии с ожидаемыми «операционными» зна­ ниями? e) Является ли персонал заслуживающим доверия, чтобы обращаться с чувствительной ин­ формацией и системами, которые могут подвергать опасности продолжительность существования организации? f) Является ли персонал таким, которому можно полностью доверять? д) Как определяется и измеряется доверие? В.2 Политики a) Иерархия: i) выводятся ли политики информационной безопасности из целей бизнеса и общей поли­ тики безопасности? ii) как осуществляется связь между политиками ИТ. кадровыми политиками, политиками приобретения и т. д.? b ) Полнота: i) рассматриваются ли в политиках вопросы обеспечения информационной безопасности во всех секторах деятельности бизнеса (кадровом, физическом, ИТ, продаж, производства, научноисследовательском. договоров и т. д.)? ii) являются ли политики полными в плане охвата стратегии, тактики и операций? c) Формулировка: i) сформированы ли политики по принципу «копия-вставка», изложенному в ИСО/МЭК 27002, или же цели контроля и меры и средства контроля и управления приспособлены к конкретному контексту? ii) написаны ли политики с четкой идентификацией ответственного лица (лиц)? iii) ожидаемое в рамках политики или процедуры действие должно рассматривать «осно­ вополагающие» вопросы: кто. когда, зачем, что. где. каким образом: - если лицо (кто), ответственное за выполнение деятельности, не определено, то кто будет достигать установленных целей? - если плановое время (когда) для выполнения деятельности не определено, то будет ли она начата и завершена в должное время? - если задача или цель деятельности не определена (зачем), то будет ли деятельность пра­ вильно понята, а ее значимость адекватно учтена? - если сама деятельность (что) не определена, то как будет возможно ее выполнить? SMART (Self-Monitoring Analysis and Reporting Technology) - Технология самоконтроля, анализа и состав­ ления диагностических отчётов.36
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 - если деятельность не определяет объект, место, процесс, информационный актив или «ме­ ру и средство контроля и управления», на которые она должна оказывать влияние (где), то какова будет ее эффективность? - если деятельность в процедуре четко не определяет, каким образом все должно выполнять­ ся. то как она может быть выполнена правильно (каким образом?) - если деятельность также не определяет показатели и меры и средства контроля и управле­ ния, направленные на проверку ее развития и достижения целей, то как организация может быть уве­ рена, что цели достигаются или могут быть достигнуты? iv) существуют ли меры и средства контроля и управления и среда проверки, чтобы опреде­ лить, приводятся ли в действие и реализуются ли положения политики и достигаются ли цели? v) цели в формулировке политики должны учитывать критерии SMART (конкретные, измери­ мые, приемлемые, реалистичные, привязанные ко времени). Если же этого не происходит, то: - не отличающиеся конкретностью цели нелегко ясно осознать, а лицо(а). отвечающее(ие) за их достижение, обычно не определено(ы); - если цель не является измеримой, то мало шансов, что организация сможет проверить, дос­ тигается она или нет; - если цель не сообщается персоналу и неприемлема для персонала, которому придется сле­ довать ей, то велика вероятность того, что мера и средство контроля и управления будет неправиль­ но понята, обойдена или «отключена»; если цель нереалистична по отношению к реальным возможностям организации, то мало шансов, что когда-нибудь она будет достигнута; - если цель не определена по отношению ко времени (когда она должна быть достигнута, ко­ гда предполагается начать деятельность и т. д.). то существует большая вероятность того, что ника­ кие действия не будут предприняты и цель никогда не будет достигнута. В.З Организация a) Определена ли и распределена ли совокупность ролей и обязанностей, необходимых и достаточных для выполнения целей бизнеса с учетом конкретного контекста и ограничений? b) Определена ли связь с внешними органами? c) Возлагается ли ответственность за обеспечение безопасности на внешние ресурсы, если у организации нет внутренних возможностей? d) Рассматриваются ли вопросы информационной безопасности в договорах? В.4 Ф изическая безопасность и безопасность внешней среды В.4.1 Безопасны ли площадки для информации? a) «Зоны» i) являются ли площадки, доступные для публики, достаточно изолированными от площадок для бизнеса? ii) определены ли зоны, где обрабатывается наиболее критичная информация (персо­ налом или системами информационных и коммуникационных технологий (ИКТ)? iii) достаточно ли изолированы эти «безопасные зоны», чтобы избежать обмена ин­ формацией? b ) Месторасположения i) являются ли различные зоны четко определенными и соответствующим образом расположенными? ii) являются ли «границы» (стены, потолок, пол и т. д.) четко определенными, а их прочность соответствующей для защиты содержащихся активов? iii) присутствует ли соответствующая маркировка местоположений, и находятся ли кри­ тические зоны вне поля зрения «посторонних лиц»? c) « Входы/выходы » - точки доступа i) обеспечивают ли окна и двери и «проходы» через границы такую же защиту, как «границы», когда они закрыты? ii) существует ли соответствующее управление доступом для входа в и выхода из « месторасположения » ? iii) существует ли система предупреждения вторжений? iv) существуют ли «запасные выходы», предусматривающие достаточную мобильность информации, людей и оборудования? d) Коридоры и «пути» 37
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011 i) определены ли «пути» к зонам и площадкам: пути для людей; кабели (пути для информации); i) существуют ли альтернативные пути? ii) обеспечиваются ли защита и мониторинг этих «путей»? e) Мониторинг i) могут ли ресурсы мониторинга обеспечивать вйдение. не будучи увиденными? ii) могут ли ресурсы мониторинга увидеть вторжение, появляющееся издалека? iii) когда мониторинг активен? iv) где и как хранятся и анализируются записи? f) Окружающая обстановка i) является ли она соответствующей для хранения информации? ii) является ли она надлежащим образом размещенной? iii) функционирует ли. как ожидалось? В.4.2 Безопасны ли площ адки для ИКТ? (Аспекты внешней среды) a) Энергоснабжение i) достаточное/соответствующее? ii) альтернативное? b ) Кондиционирование воздуха i) достаточное/соответствующее? И) альтернативное? c) Средства пожаротушения i) достаточные/соответствующие? ii) альтернативные? В.4.3 Безопасны ли площ адки для лю дей? a) Существуют ли запасные выходы (с соответствующими мерами и средствами контроля и управления)? b ) Представляют ли «утечки» (электроэнергии, воды. газа, жидкостей) потенциальную опас­ ность для людей? c) Представляют ли температура, влажность, вещества и вибрации потенциальную опас­ ность для людей? d) Размещается ли оборудование таким образом, чтобы люди не имели возможности полу­ чить травму? e) Определены ли «входы/выходы» и управляются ли они так. чтобы люди не имели возмож­ ности получить травму? f) Установлена ли и поддерживается ли окружающая обстановка таким образом, чтобы люди не имели возможности получить травму? В.4.4 Менеджмент инцидентов a) Определены ли инциденты информационной безопасности? b ) Существуют ли возможности реагирования на инциденты информационной безопасности: i) руководства? ii) ролей и обязанностей? iii) средств и ресурсов? 38
ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011 Приложение ДА (справочное)Сведения о соответствии ссылочных международных стандартовнациональным стандартам Российской Федерации Т а б л и ц а ДАЛ Обозначение ссылочного Степень Обозначение и наименование международного соответствия соответствующего национального стандарта стандарта ИСО/МЭК 27000:2009 ЮТ ГОСТ Р ИСО/МЭК 27000-2012 Информационная техно­ логия. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология ИСО/МЭК 27002:2005 ЮТ ГОСТ Р ИСО/МЭК 27002-2012 Информационная тех­ нология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности П р и м е ч а н и е - В настоящей таблице использованы следующие условные обозначения степени соот­ ветствия стандарте»: - ЮТ — идентичные стандарты. 39
ГОСТ Р 56045— 2014/ISO/IEC TR 27008:2011Библиография [1] ISO/IEC 27001:2005, Information technology - Security techniques - Information security managementsystems - Requirements (ИСО/МЭК 27001:2005. Информационная технология. Методы обеспечениябезопасности. Системы менеджмента информационной безопасности. Требования) * [2] ISO/1EC 27002:2005. Information technology- Security techniques - Code o f practice forinformation security management[3] ISO/IEC 27005:2011, Information technology- Secuhty techniques - Information security riskmanage-ment[4] ISO/IEC 27006:2007, Information technology - Security techniques - Requirements for bodies providingaudits and certification o f information security management systems (ИСО/МЭК 27006:2007, Информаци­ онные технологии. Методы и средства обеспечения безопасности. Требования для органов, обес­ печивающих аудит и сертификацию систем менеджмента информационной безопасности) * [5] ISO/IEC 27007:2011, Information technology - Security techniques - Guidelines for informationsecurity management systems auditing[6] ISO 19011:2002. Guidelines dr quality and/or environmental management systems auditing (ИСО 19011:2002. Руководящие указания no аудиту систем менеджмента качества и/или системэкологического менеджмента) * [7] ISO Guide 73:2009, Risk management - Vocabulary[8] NIST Special publication (SP) 800-53A. Guide for reviewing the controls in federal information systems. July 2008. Доступен на: http://csrc.nist.gov/publications/PubsSPs.html[9] Institute For Security AncDpen Methodologies, Open-Source Security Testing Methodology Manual. Доступен на: http://www.isecom.org/osstmm/ [10] Federal Office for Information Security (BSI). Germany. Standard 100-1. Information Secuhty Manage­ ment Systems (ISMS): 100-2. IT-Grundschutz Methodology: 100-3. Risk Analysis based on IT-Grundschutzand IT-Grundschutz Catalogues ( доступен на немецком и ангпийском). Доступен на: https://www.bsi.bund.de/dn_174/EN/Publications/publications_node.html[11] Information Security Forum, The Standard o f Good Practice for Information Security. 2007. Доступен на: https://www.securityforum.org/services/publicresearch/ * Официальный перевод этого стандарта находится в Федеральном информационном фонде. УДК 006.034:004.056:004.057.2 ОКС 35.040 Ключевые слова: информационная безопасность, мера и средство контроля и управления, проверка информационной безопасности, проверка технического соответствия, метод проверки, план проверки, процедура проверки, аудитор_________________________________________________________________ Подписано в печать 12.01.2015. Формат 60х84'/4- Уел. печ. л. 5.12. Тираж 40 экз. Зак. 147. Подготовлено на основе электронной версии, предоставленной разработчиком стандарта ФГУП «СТАНДАРТИНФОРМ» 123995 Москва. Гранатный пер.. 4.www.ГОСТ Р 56045-2014

Похожие документы