Приложение А (справочное). Начало сбора информации (не для информационных технологий). Национальный стандарт РФ ГОСТ Р 56045-2021/ISO/IEC TS 27008:2019 "Информационные технологии. Методы и средства обеспечения безопасности. Рекомендации по оценке мер обеспечения информационной безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20.05.2021 N 421-ст)

Приложение А
(справочное)

Начало сбора информации (не для информационных технологий)

Ведущий аудитор ИБ должен выделить отдельного аудитора с соответствующим уровнем компетенции и опытом для оценки каждой области ИБ.

Ниже приводятся примерные вопросы, которые могут быть заданы соответствующим сотрудникам организации (список не является исчерпывающим).

А.1 Общая информация

А.1.1 Безопасность, связанная с персоналом

a) Чувствует ли персонал себя ответственным и/или подотчетным за свои действия?

b) Доступны ли на рабочих местах специалисты, обладающие знаниями по безопасности и ИБ, для ответа на вопросы, мотивации персонала и предоставления необходимых инструкций?

c) Являются ли применяемые политики и процедуры четкими, конкретными, измеримыми, приемлемыми, реалистичными и привязанными ко времени?

d) Учитывается ли уровень функциональных знаний при приеме сотрудников на работу?

e) Надежен ли персонал, работающий с конфиденциальной информацией и системами, которые могут поставить под угрозу существование организации?

f) Можно ли полностью доверять персоналу?

g) Как определяется и каким образом измеряется степень доверия?

h) Производится ли оценка анкетно-биографических данных сотрудников?

А.1.2 Политики

a) Стратегическая согласованность

1) Заложены ли в основу политик безопасности коммерческие задачи и общая политика безопасности?

2) Каким образом взаимосвязаны политики в области информационных технологий, кадров и приобретений?

b) Полнота

1) Имеются ли политики информационной безопасности во всех секторах коммерческой деятельности (кадры, физические активы, информационные технологии, продажи, производство, НИОКР, контакты и т.п.)?

2) Являются ли политики достаточно полными и охватывающими вопросы стратегии, тактики и коммерческих операций?

c) Построение

1) Являются ли политики простыми выдержками из стандарта ИСО 27002 или меры обеспечения ИБ и их задачи адаптированы к конкретным условиям?

2) Содержат ли документы политики четкое определение ответственных лиц?

3) Политики или процедуры должны предопределять ожидаемые действия, отвечая на "основополагающие" вопросы: "кто", "когда", "зачем", "что", "где", "каким образом":

- Если лицо, ответственное за выполнение действия, не определено, кто будет достигать поставленных целей?

- Если целевое время (когда) для выполнения действия не определено, будет ли оно начато или закончено в назначенное время?

- Если цель действия не определена (зачем), будет ли действие правильно понято и его важность адекватно рассмотрена?

- Если само действие (что) не определено, как можно будет его выполнить?

- Если действие не определяет объект, место, процесс, информационный актив или меру обеспечения ИБ, на которые оно должно воздействовать, как оно будет эффективно (где)?

- Если действие в процедуре не дает четкого определения того, как все должно быть сделано, как оно может быть правильно выполнено (каким образом)?

- Если для действия не определены индикаторы и меры обеспечения ИБ, направленные на проверку его правильного выполнения и достижения своих целей, то как организация может убедиться, что цели достигнуты или могут быть достигнуты (каким образом)?

4) Имеются ли меры обеспечения ИБ и среда для оценки реализации политик и достижения поставленных целей?

5) Цели политики должны быть конкретными, измеримыми, приемлемыми, реалистичными и привязанными ко времени. Если это не так, то:

- не имеющие четкого определения задачи сложно идентифицировать и лица, ответственные за их решения, как правило, не указываются;

- отсутствие возможности оценить степень достижения цели оставляет мало шансов на то, что организации удастся проверить, достигнута ли цель или нет;

- если задача не доведена до сведения персонала и не уяснена им (кто над чем должен работать), велик шанс того, что мера обеспечения ИБ будет понята неправильно, дезориентировано или отвлеченно;

- нереалистичная по меркам организации цель оставляет мало шансов на ее достижение;

- отсутствие временных рамок достижения цели (сроков, начала работы над ней и т.п.) повышает шансы на то, что действия так и не будут предприняты, а сама цель не будет достигнута.

А.1.3 Организация

a) Если роли сформулированы, а ответственность распределена, какие именно из них являются необходимыми и достаточными для решения бизнес-задач с учетом конкретной ситуации и существующих ограничений?

b) Определена ли связь с внешними инстанциями?

c) Переданы ли вопросы безопасности в ведение внешних подрядчиков при отсутствии у организации собственных возможностей для обеспечения безопасности?

d) Отражены ли вопросы безопасности в заключенных договорах?

А.2 Физическая безопасность и безопасность среды

А.2.1 Являются ли объекты безопасными для обработки информации?

a) Зоны

1) Достаточна ли степень изоляции общедоступных зон от внутренних помещений организации?

2) Выделены ли зоны для обработки особо важной информации сотрудниками или вычислительными системами?

3) Реализовано ли надлежащее разделение таких закрытых зон во избежание утечки информации?

b) Расположение

1) Имеется ли четкая идентификация таких зон, и правильно ли они расположены?

2) Имеются ли четкие границы таких зон (стены, потолок, полы и т.п.), и достаточно ли они надежны для защиты находящихся в их пределах активов?

3) Имеется ли соответствующая маркировка таких зон, и находятся ли критические зоны вне поля зрения "посторонних лиц"?

c) Входы-выходы

1) Обеспечивают ли двери, окна и прочие проходы в закрытом состоянии защиту, аналогичную обеспечиваемой границами зоны?

2) Имеются ли соответствующий контроль доступа для входа в зону и выхода из нее?

3) Имеется ли система предотвращения вторжений?

4) Предусмотрены ли аварийные выходы, обеспечивающие достаточную возможность эвакуации, для информации, людей и оборудования?

d) Коридоры и проходы

1) Обеспечена ли идентификация проходов к зонам и рабочим местам:

- пути для персонала;

- кабели (пути передачи информации).

2) Существуют ли альтернативные пути?

3) Обеспечена ли защита и мониторинг таких путей?

e) Мониторинг

1) Имеется ли возможность вести скрытое наблюдение?

2) Способны ли средства мониторинга обнаруживать вторжения на раннем этапе?

3) Когда ведется мониторинг?

4) Где и как хранятся и анализируются записанные данные?

f) Мебель

1) Подходит для хранения информации?

2) Правильно расположена?

3) Выполняет свои функции?

А.2.2 Являются ли объекты безопасными для информационных технологий? (Аспекты среды)

a) Обеспечение электроэнергией

1) Достаточное/надлежащее

2) Альтернативные источники?

b) Кондиционирование воздуха

1) Достаточное/надлежащее

2) Альтернативные источники?

c) Противопожарная безопасность

1) Достаточная/надлежащая

2) Альтернативные источники?

А.2.3 Являются ли объекты безопасными для людей?

a) Имеются ли аварийные входы (с соответствующими средствами управления)?

b) Представляют ли утечки (электроэнергии, воды, газа, жидкостей) потенциальную опасность для людей?

c) Представляют ли температура, влажность, материалы и вибрации потенциальную опасность для людей?

d) Размещено ли оборудование так, чтобы люди не могли получить травмы?

e) Управляются ли входы-выходы так, чтобы люди не могли получить травмы?

f) Обеспечивает ли установка и использование мебели безопасность людей?

А.3 Менеджмент инцидентов

a) Имеется ли определение инцидентов ИБ?

b) Предусмотрены ли средства реагирования на инциденты ИБ:

1) Руководства?

2) Роли и обязанности?