Приложение А (справочное). Начало сбора информации (не для информационных технологий). Национальный стандарт РФ ГОСТ Р 56045-2021/ISO/IEC TS 27008:2019 "Информационные технологии. Методы и средства обеспечения безопасности. Рекомендации по оценке мер обеспечения информационной безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20.05.2021 N 421-ст)

Приложение А
(справочное)

Начало сбора информации (не для информационных технологий)

Ведущий аудитор ИБ должен выделить отдельного аудитора с соответствующим уровнем компетенции и опытом для оценки каждой области ИБ.

Ниже приводятся примерные вопросы, которые могут быть заданы соответствующим сотрудникам организации (список не является исчерпывающим).

А.1 Общая информация

А.1.1 Безопасность, связанная с персоналом

a) Чувствует ли персонал себя ответственным и/или подотчетным за свои действия?

b) Доступны ли на рабочих местах специалисты, обладающие знаниями по безопасности и ИБ, для ответа на вопросы, мотивации персонала и предоставления необходимых инструкций?

c) Являются ли применяемые политики и процедуры четкими, конкретными, измеримыми, приемлемыми, реалистичными и привязанными ко времени?

d) Учитывается ли уровень функциональных знаний при приеме сотрудников на работу?

e) Надежен ли персонал, работающий с конфиденциальной информацией и системами, которые могут поставить под угрозу существование организации?

f) Можно ли полностью доверять персоналу?

g) Как определяется и каким образом измеряется степень доверия?

h) Производится ли оценка анкетно-биографических данных сотрудников?

А.1.2 Политики

a) Стратегическая согласованность

1) Заложены ли в основу политик безопасности коммерческие задачи и общая политика безопасности?

2) Каким образом взаимосвязаны политики в области информационных технологий, кадров и приобретений?

b) Полнота

1) Имеются ли политики информационной безопасности во всех секторах коммерческой деятельности (кадры, физические активы, информационные технологии, продажи, производство, НИОКР, контакты и т.п.)?

2) Являются ли политики достаточно полными и охватывающими вопросы стратегии, тактики и коммерческих операций?

c) Построение

1) Являются ли политики простыми выдержками из стандарта ИСО 27002 или меры обеспечения ИБ и их задачи адаптированы к конкретным условиям?

2) Содержат ли документы политики четкое определение ответственных лиц?

3) Политики или процедуры должны предопределять ожидаемые действия, отвечая на "основополагающие" вопросы: "кто", "когда", "зачем", "что", "где", "каким образом":

- Если лицо, ответственное за выполнение действия, не определено, кто будет достигать поставленных целей?

- Если целевое время (когда) для выполнения действия не определено, будет ли оно начато или закончено в назначенное время?

- Если цель действия не определена (зачем), будет ли действие правильно понято и его важность адекватно рассмотрена?

- Если само действие (что) не определено, как можно будет его выполнить?

- Если действие не определяет объект, место, процесс, информационный актив или меру обеспечения ИБ, на которые оно должно воздействовать, как оно будет эффективно (где)?

- Если действие в процедуре не дает четкого определения того, как все должно быть сделано, как оно может быть правильно выполнено (каким образом)?

- Если для действия не определены индикаторы и меры обеспечения ИБ, направленные на проверку его правильного выполнения и достижения своих целей, то как организация может убедиться, что цели достигнуты или могут быть достигнуты (каким образом)?

4) Имеются ли меры обеспечения ИБ и среда для оценки реализации политик и достижения поставленных целей?

5) Цели политики должны быть конкретными, измеримыми, приемлемыми, реалистичными и привязанными ко времени. Если это не так, то:

- не имеющие четкого определения задачи сложно идентифицировать и лица, ответственные за их решения, как правило, не указываются;

- отсутствие возможности оценить степень достижения цели оставляет мало шансов на то, что организации удастся проверить, достигнута ли цель или нет;

- если задача не доведена до сведения персонала и не уяснена им (кто над чем должен работать), велик шанс того, что мера обеспечения ИБ будет понята неправильно, дезориентировано или отвлеченно;

- нереалистичная по меркам организации цель оставляет мало шансов на ее достижение;

- отсутствие временных рамок достижения цели (сроков, начала работы над ней и т.п.) повышает шансы на то, что действия так и не будут предприняты, а сама цель не будет достигнута.

А.1.3 Организация

a) Если роли сформулированы, а ответственность распределена, какие именно из них являются необходимыми и достаточными для решения бизнес-задач с учетом конкретной ситуации и существующих ограничений?

b) Определена ли связь с внешними инстанциями?

c) Переданы ли вопросы безопасности в ведение внешних подрядчиков при отсутствии у организации собственных возможностей для обеспечения безопасности?

d) Отражены ли вопросы безопасности в заключенных договорах?

А.2 Физическая безопасность и безопасность среды

А.2.1 Являются ли объекты безопасными для обработки информации?

a) Зоны

1) Достаточна ли степень изоляции общедоступных зон от внутренних помещений организации?

2) Выделены ли зоны для обработки особо важной информации сотрудниками или вычислительными системами?

3) Реализовано ли надлежащее разделение таких закрытых зон во избежание утечки информации?

b) Расположение

1) Имеется ли четкая идентификация таких зон, и правильно ли они расположены?

2) Имеются ли четкие границы таких зон (стены, потолок, полы и т.п.), и достаточно ли они надеж