ГОСТ Р ИСО/МЭК 27006-2008. Национальный стандарт РФ: "Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 524-ст) (документ утратил силу)

Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27006-2008
"Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности"
(утв. приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 524-ст)

Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems

Дата введения - 1 октября 2009 г.

Введен впервые

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

Введение

ИСО/МЭК 17021 - это международный стандарт, устанавливающий критерии для органов, осуществляющих аудит и сертификацию систем менеджмента организаций. Если эти органы должны быть аккредитованы как соответствующие ИСО/МЭК 17021 с целью проведения аудита и сертификации систем менеджмента информационной безопасности (СМИБ) в соответствии с ИСО/МЭК 27001:2005, то необходимы дополнительные требования и руководства к ИСО/МЭК 17021. Они представлены в настоящем международном стандарте.

Текст настоящего международного стандарта повторяет структуру ИСО/МЭК 17021, а дополнительные требования, специфические для СМИБ, и руководство по применению ИСО/МЭК 17021 для сертификации СМИБ обозначаются аббревиатурой "ИБ".

Термин "должен" используется в этом международном стандарте для указания тех условий, которые, отражая требования ИСО/МЭК 17021 и ИСО/МЭК 27001, являются обязательными. Термин "следует" используется для обозначения условий, которые, хотя и являются руководством по применению этих требований, но предполагается, что они будут приняты органом сертификации.

Цель настоящего международного стандарта - дать возможность органам аккредитации более эффективно применять стандарты, по которым они обязаны оценивать органы сертификации. В этом контексте любое отклонение органа сертификации от руководства является исключением. Такие отклонения будут разрешены только на основе рассмотрения каждого случая в отдельности после того, как орган сертификации докажет органу аккредитации, что это исключение удовлетворяет каким-либо эквивалентным образом соответствующему пункту требований ИСО/МЭК 17021, ИСО/МЭК 27001 и настоящего международного стандарта.

Примечание - В данном международном стандарте термины "система менеджмента" и "система" используются, заменяя друг друга. Определение системы менеджмента можно найти в ИСО/МЭК 9000:2005. Систему менеджмента, использующуюся в этом международном стандарте, не следует путать с другими типами систем, такими как системы информационных технологий.

1 Область применения

Настоящий стандарт на основе стандартов ИСО/МЭК 17021 и ИСО/МЭК 27001 устанавливает требования к органам, осуществляющим аудит и сертификацию системы менеджмента информационной безопасности (СМИБ), и способствует проведению аккредитации органов сертификации.

Любой орган, осуществляющий сертификацию СМИБ, должен продемонстрировать в плане компетентности и надежности свое соответствие требованиям данного стандарта, а содержащиеся в стандарте указания дополнительно разъясняют эти требования к органу, осуществляющему сертификацию СМИБ.

Примечание - Настоящий стандарт может использоваться в качестве документа, содержащего критерии для аккредитации, экспертной оценки или других процессов аудита.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ИСО/МЭК 17021:2006 Оценка соответствия. Требования к органам, обеспечивающим аудит и сертификацию систем менеджмента

ИСО/МЭК 27001:2005 Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

ИСО/МЭК 19011:2002 Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента

3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 17021, ИСО/МЭК 27001, а также следующие термины с соответствующими определениями:

3.1 сертификат (certificate): Документ, выданный органом сертификации в соответствии с условиями его аккредитации и содержащий соответствующий символ или заявление об аккредитации.

3.2 орган сертификации (certification body): Третья сторона, оценивающая и сертифицирующая СМИБ организации-клиента на соответствие действующим стандартам СМИБ и любой дополнительной документации, требуемой в рамках этой системы.

3.3 документ сертификации (certification document): Документ, указывающий, что СМИБ организации-клиента соответствует стандартам СМИБ и дополнительной документации, требуемой в рамках этой системы.

3.4 маркировка (mark): Юридически зарегистрированный товарный знак или защищенный иным образом символ, который выпускается по правилам органа аккредитации или органа сертификации, указывающий на то, что орган достаточно уверен в системах или что соответствующие продукты или субъекты отвечают требованиям определенного стандарта.

3.5 организация (organization): Государственная или частная компания, корпорация, фирма, предприятие, управление или учреждение или их часть, или их комбинация, имеющая собственные функции и администрацию и способная обеспечить информационную безопасность.

4 Принципы

Применяются принципы ИСО/МЭК 17021:2006, пункт 4.

5 Общие требования

5.1 Юридические и договорные вопросы

Применяются требования ИСО/МЭК 17021:2006, пункт 5.1.

5.2 Менеджмент беспристрастности

Применяются требования ИСО/МЭК 17021:2006, пункт 5.2. Кроме того, применяются следующие, специфические для СМИБ, требования и положения.

5.2.1 ИБ 5.2 Конфликты интересов

Орган сертификации может выполнять следующие обязанности, без которых он считается консультативным органом, имеющим потенциальный конфликт интересов:

a) сертификацию, включая информационные совещания, совещания по планированию, изучение документов, проведение аудита (не внутренних аудитов СМИБ или внутренних проверок безопасности) и последующую деятельность в отношении несоответствий;

b) организацию курсов обучения и участие в них в качестве преподавателя при условии, что если эти курсы связаны с менеджментом информационной безопасности, взаимосвязанными системами менеджмента или с проведением аудита, то органам сертификации необходимо ограничиваться предоставлением общей информации и рекомендациями, являющимися свободно доступным общественным достоянием, т.е. они не должны предоставлять консультации, ориентированные на конкретную компанию, что противоречит требованиям пункта с);

c) обеспечение доступности или публикацию по запросу информации, описывающей интерпретацию органом сертификации требований стандартов по сертификационному аудиту;

d) проведение мероприятий, предшествующих аудиту, имеющих целью исключительно определение готовности к сертификационному аудиту; однако подобные действия не должны приводить к предоставлению рекомендаций или консультаций, противоречащих этому пункту, и орган сертификации должен уметь подтвердить, что подобные действия не противоречат этим требованиям и не используются для обоснования возможного сокращения продолжительности сертификационного аудита;

e) проведение аудитов второй и третьей стороной в соответствии со стандартами или нормативными требованиями, кроме тех, которые являются частью области аккредитации;

f) повышение значимости сертификационных аудитов и инспекций с целью надзора, например, путем определения благоприятных возможностей для улучшений, которые становятся очевидными в процессе аудита, не рекомендуя при этом конкретных решений.

Орган сертификации должен быть независим от органа или органов (включая любых лиц), осуществляющих внутренний аудит подлежащей сертификации СМИБ организации-клиента.

5.3 Обязательства и финансирование

Применяются требования ИСО/МЭК 17021:2006, пункт 5.3.

6 Требования к структуре

6.1 Структура организации и высшее руководство

Применяются требования ИСО/МЭК 17021:2006, пункт 6.1.

6.2 Комитет по обеспечению защиты беспристрастности

Применяются требования ИСО/МЭК 17021:2006, пункт 6.2.

7 Требования к ресурсам

7.1 Компетентность руководства и персонала

Применяются требования ИСО/МЭК 17021:2006, пункт 7.1. Кроме того, применяются следующие, специфические для СМИБ, требования и руководство.

7.1.1 ИБ 7.1 Компетентность руководства

В число основных элементов обеспечения компетентности, требующихся для проведения сертификации СМИБ, входят отбор, представление специалистов, чьи навыки и общая компетентность соответствуют видам деятельности, предназначенным для аудита, и связанным с ними проблемам в области информационной безопасности, и руководство ими.

7.1.1.1 Анализ компетентности и проверка договора

Орган сертификации должен гарантировать знание им технологических и правовых вопросов, относящихся к СМИБ организации-клиента, которую он оценивает.

Орган сертификации должен обладать эффективной системой для анализа компетентности в сфере менеджмента информационной безопасности, применимой по отношению ко всем техническим областям, в которых он действует.

В отношении каждого клиента орган сертификации должен быть способен продемонстрировать, что он провел анализ необходимой компетентности (оценка навыков, соответствующих выявленным потребностям) исходя из требований каждого соответствующего сектора торгово-промышленных отношений до осуществления проверки договора. Затем орган сертификации должен осуществить проверку договора с организацией-клиентом, основываясь на результатах анализа компетентности. В частности, орган сертификации должен быть способен продемонстрировать, что он обладает компетентностью для выполнения следующих видов деятельности:

a) изучение сфер деятельности организации-клиента и связанных с ними деловых рисков;

b) определение уровня компетентности, необходимой органу сертификации для осуществления сертификации в отношении определенной деятельности, связанной с информационной безопасностью, угроз активам, уязвимостей и воздействий на организацию-клиента;

c) подтверждение наличия требуемой компетентности.

7.1.1.2 Ресурсы

Руководство органа сертификации должно располагать необходимыми процедурами и ресурсами для определения компетентности отдельных аудиторов в отношении задач, которые они должны выполнить в области сертификации, в рамках которой они действуют. Компетентность аудиторов может быть установлена на основе подтвержденного опыта и специального обучения или путем собеседования (см. также приложение В). Орган сертификации должен быть способен эффективно поддерживать связь с клиентами, которым он предоставляет услуги.

7.2 Персонал, участвующий в деятельности по сертификации

Применяются требования ИСО/МЭК 17021:2006, пункт 7.2. Кроме того, применяются следующие, специфические для СМИБ, требования и положения.

7.2.1 ИБ 7.2 Компетентность персонала органа сертификации

Органы сертификации должны иметь персонал, обладающий компетентностью в следующих вопросах:

а) выбор аудиторов СМИБ, соответствующих целям аудита, и проверка их компетентности;

b) инструктаж аудиторов СМИБ и организация необходимого обучения;

c) принятие решения о разрешении, поддержке, отмене, приостановке, продлении или сокращении сроков действия сертификации;

d) организация и ведение работ по рассмотрению апелляций и жалоб.

7.2.1.1 Обучение аудиторских групп

У органа сертификации должны быть критерии обучения аудиторских групп, обеспечивающие:

a) знание стандарта СМИБ и других соответствующих нормативных документов;

b) понимание вопросов информационной безопасности;

c) понимание оценки риска и менеджмента риска с точки зрения деятельности;

d) технические знания о деятельности, подлежащей аудиту;

e) общее знание нормативных требований, относящихся к СМИБ;

f) знание систем менеджмента;

g) понимание принципов аудита, основанных на ИСО 19011:2002;

h) знание анализа эффективности СМИБ и измерения эффективности средств контроля.

Эти требования к обучению применяются ко всем членам аудиторской группы, за исключением требований пункта (d), которые можно распределить между членами аудиторской группы.

7.2.1.1.1 При выборе аудиторской группы, которая будет назначена для конкретного сертификационного аудита, орган сертификации должен обеспечить, чтобы члены группы обладали соответствующими необходимыми навыками для каждого задания. Группа должна:

a) обладать соответствующими техническими знаниями о конкретных действиях в рамках области применения СМИБ, для которой проводится сертификация, и, если необходимо, со взаимосвязанными процедурами и их потенциальными рисками информационной безопасности (эту функцию могут выполнять технические эксперты, не являющиеся аудиторами);

b) обладать достаточным уровнем знания работы организации-клиента для проведения надежного сертификационного аудита ее СМИБ в части менеджмента аспектов, связанных с информационной безопасностью ее деятельности, продуктов и услуг;

c) обладать соответствующим знанием нормативных требований к СМИБ организации-клиента.

7.2.1.1.2 При необходимости аудиторская группа может дополняться техническими экспертами, которые должны обладать специальными знаниями в области технологии, подлежащей аудиту. Необходимо отметить, что технических экспертов нельзя использовать вместо аудиторов СМИБ, но они могут консультировать аудиторов по вопросам технической адекватности в контексте системы менеджмента, подвергающейся аудиту. Органы сертификации должны осуществлять процедуры по следующим вопросам:

a) выбор аудиторов и технических экспертов на основе их компетентности, обучения, квалификации и опыта;

b) первоначальная оценка поведения аудиторов и технических экспертов во время проведения сертификационного аудита и последующий мониторинг деятельности аудиторов и технических экспертов.

7.2.1.2 Управление процессом принятия решений

Руководство должно быть технически грамотным и способным управлять процессом принятия решений относительно разрешения, поддержки, продления, сокращения, приостановки и отмены сертификации СМИБ по требованиям ИСО/МЭК 27001.

7.2.1.3 Необходимые уровни образования, профессионального опыта, аудиторского обучения и аудиторского опыта аудиторов, проводящих аудиты системы менеджмента информационной безопасности

7.2.1.3.1 Приведенные ниже критерии должны применяться к каждому аудитору из аудиторской группы, осуществляющей аудит СМИБ. Аудитор должен:

a) иметь образование не ниже среднего;

b) иметь опыт практической работы в режиме полной занятости в области информационных технологий не менее четырех лет, из которых он не менее двух лет должен был заниматься деятельностью, связанной с информационной безопасностью;

c) успешно завершить обучение продолжительностью не менее пяти дней, программа которого включает вопросы аудита СМИБ и менеджмента аудита;

d) приобрести опыт, касающийся всего процесса оценки информационной безопасности, до принятия на себя ответственности за деятельность в качестве аудитора. Этот опыт должен быть приобретен посредством участия, как минимум, в четырех аудитах сертификации общей продолжительностью, по крайней мере, двадцать дней, включая проверку документации и анализ риска, оценку реализации и составление отчета о результатах аудита;

e) обладать достаточным современным опытом;

f) уметь рассматривать сложные операции в широкой перспективе и понимать роль отдельных подразделений в крупных организациях-клиентах;

g) поддерживать свои знания и навыки в сфере информационной безопасности и аудита на современном уровне путем постоянного повышения профессионального уровня.

Технические эксперты должны соответствовать критериям пунктов а), b), е) и f).

7.2.1.3.2 В дополнение к требованиям из пункта 7.2.1.3.1 начальники аудиторских групп должны удовлетворять следующим требованиям, которые должны быть представлены в ходе аудитов, проведенных под их руководством и наблюдением:

a) обладать знаниями и качествами, необходимыми для управления процессом сертификационного аудита;

b) иметь опыт участия в качестве аудитора, по крайней мере, в трех полных аудитах СМИБ;

c) обладать способностью эффективно общаться как в письменной, так и в устной форме.

7.3 Привлечение отдельных внешних аудиторов или внешних технических экспертов

Применяются требования ИСО/МЭК 17021:2006, пункт 7.3. Кроме того, применяются следующие, специфические для СМИБ, требования и положения.

7.3.1 ИБ 7.3 Привлечение внешних аудиторов или внешних технических экспертов в качестве членов аудиторской группы

При привлечении внешних аудиторов или внешних технических экспертов в качестве членов аудиторской группы орган сертификации должен гарантировать, что они компетентны, соответствуют применимым к ним положениям настоящего стандарта и не участвуют ни напрямую, ни через своего работодателя в проектировании, внедрении или обслуживании СМИБ или связанной с ней системой (системами) менеджмента, поскольку это могло бы влиять на их беспристрастность.

7.3.1.1 Привлечение технических экспертов

Членами аудиторской группы могут быть технические эксперты со специальными знаниями, касающимися процесса и вопросов, связанных с информационной безопасностью и безопасностью процесса, и законодательства, затрагивающего интересы организации-клиента, но не удовлетворяющие всем критериям пункта 7.2. Технические эксперты должны работать под наблюдением аудитора.

7.4 Записи данных о персонале

Применяются требования ИСО/МЭК 17021:2006, пункт 7.4.

7.5 Аутсорсинг

Применяются требования ИСО/МЭК 17021:2006, пункт 7.5.

8 Требования к информации

8.1 Общедоступная информация

Применяются требования ИСО/МЭК 17021:2006, пункт 8.1. Кроме того, применяются следующие, специфические для СМИБ, требования и положения.

8.1.1 ИБ 8.1 Процедуры разрешения, поддержания, продления, сокращения, приостановления и отказа в сертификации

Орган сертификации должен требовать от организации-клиента наличия документированной и внедренной СМИБ, которая соответствует ИСО/МЭК 27001 и другим документам, необходимым для сертификации.

У органа сертификации должны быть документально подтвержденные процедуры для следующего:

a) первичного сертификационного аудита СМИБ организации-клиента в соответствии с положениями ИСО 19011, ИСО/МЭК 17021 и другими соответствующими документами;

b) надзорных и повторных сертификационных аудитов СМИБ организации-клиента в соответствии с ИСО 19011 и ИСО/МЭК 17021, проводимых периодически на предмет проверки непрерывного соответствия определенным требованиям, а также для подтверждения и регистрации, что организация-клиент своевременно предпринимает корректирующие действия по исправлению всех несоответствий.

8.2 Документы по сертификации

Применяются требования ИСО/МЭК 17021:2006, пункт 8.2. Кроме того, применяются следующие, специфические для СМИБ, требования и положения.

8.2.1 ИБ 8.2 Документы по сертификации СМИБ

Орган сертификации должен предоставить каждой из своих организаций-клиентов, чья СМИБ сертифицирована, документы по сертификации, такие как письмо или сертификат, подписанный уполномоченным должностным лицом. Для организации-клиента и каждой из ее сертифицированных информационных систем эти документы должны определять область действия сертификации и соответствовать стандарту ИСО/МЭК 27001 по СМИБ, по которому эта СМИБ сертифицирована. Кроме того, в сертификате должна быть ссылка на определенную версию Положения о применимости.

8.3 Список сертифицированных клиентов

Применяются требования ИСО/МЭК 17021:2006, пункт 8.3.

8.4 Ссылка на сертификацию и использование маркировки

Применяются требования ИСО/МЭК 17021:2006, пункт 8.4. Кроме того, применяются следующие, специфические для СМИБ, требования и положения.

8.4.1 ИБ 8.4 Контроль за маркировками сертификации

Орган сертификации должен осуществлять надлежащий контроль за правом собственности, использованием и демонстрацией своих сертификационных знаков СМИБ. Если орган сертификации дает право использовать знак для обозначения сертификации СМИБ, то он должен быть уверен, что организация-клиент использует специальный знак в соответствии с письменным разрешением, полученным от органа сертификации. Орган сертификации не должен позволять организации-клиенту использовать этот знак на продукте таким способом, что он может интерпретироваться в качестве обозначения соответствия продукта.

8.5 Конфиденциальность

Применяются требования ИСО/МЭК 17021:2006, пункт 8.5. Кроме того, применяются следующие, специфические для СМИБ, требования и положения.

8.5.1 ИБ 8.5 Доступ к документам организации

Перед проведением аудита орган сертификации должен сделать запрос организации-клиенту о наличии документов о СМИБ, которые не могут быть предоставлены для проверки аудиторской группе, так как они содержат конфиденциальную или секретную информацию. Орган сертификации должен определить, может ли быть адекватным проведение аудита СМИБ при отсутствии этих документов. Если орган сертификации приходит к выводу, что невозможно провести аудит СМИБ адекватно без проверки определенных конфиденциальных или секретных документов, он должен предупредить организацию-клиента, что сертификационный аудит не может быть проведен до тех пор, пока не будет обеспечен доступ к этим документам.

8.6 Обмен информацией между органом сертификации и его клиентами

Применяются требования ИСО/МЭК 17021:2006, пункт 8.6.

9 Требования к процессу

9.1 Общие требования

Применяются требования ИСО/МЭК 17021:2006, пункт 9.1. Кроме того, применяются следующие, специфические для СМИБ, требования и положения.

9.1.1 ИБ 9.1.1 Общие требования к аудиту СМИБ

9.1.1.1 Критерии сертификационного аудита

Аудит СМИБ организации-клиента должен осуществляться на основе критериев, содержащихся в стандарте ИСО/МЭК 27001 по СМИБ, а также в других документах, необходимых для проведения сертификации конкретных выполняемых функций. Если требуется разъяснение в отношении применения этих документов к конкретной программе сертификации, то подобное разъяснение должно даваться соответствующей независимой комиссией или лицами, обладающими необходимой технической компетентностью, и публиковаться органом по сертификации.

9.1.1.2 Политика и процедуры

Документация органа сертификации должна включать политику и процедуры осуществления процесса сертификации, включая проверки применения документов, использованных при сертификации систем СМИБ, а также процедуры проведения аудита и сертификации СМИБ организации-клиента.

9.1.1.3 Аудиторская группа

Аудиторская группа должна официально назначаться и обеспечиваться соответствующими рабочими документами. План и дата аудита должны быть согласованы с организацией-клиентом. Полномочия, данные аудиторской группе, должны быть четко определены, доведены до организации-клиента и должны обязывать аудиторскую группу проверять структуру, политику и процедуры организации-клиента, подтверждать их [структуры, политику и процедуры] соответствие всем требованиям, относящимся к области действия сертификации, а также, что указанные процедуры выполняются и можно быть уверенным в эффективности СМИБ организации-клиента.

9.1.2 ИБ 9.1.2 Область действия сертификации

Аудиторская группа должна проверить СМИБ организации-клиента, входящую в заданную область действия, на соответствие всем применяемым требованиям сертификации. Орган сертификации должен обеспечить четкое определение области действия и границы СМИБ организации-клиента на основе характеристик бизнеса, организации, ее местоположения, активов и технологии. Орган сертификации должен подтвердить, что в области действия СМИБ организации-клиенты выполняют требования, изложенные в ИСО/МЭК 27001:2005, пункт 1.2.

Органы сертификации должны обеспечить, чтобы проводимая организациями-клиентами оценка риска информационной безопасности и обработка риска надлежащим образом отражали их деятельность и распространялись до границ их сферы деятельности, как определено в стандарте ИСО/МЭК 27001 по СМИБ. Органы сертификации должны подтвердить, что все это отражено в области действия их СМИБ и в Положении о применимости организаций-клиентов.

Органы сертификации должны обеспечить, чтобы взаимодействие с услугами или видами деятельности, которые не полностью включены в сферу действия СМИБ, было учтено в сертифицируемой СМИБ и включено в оценку риска информационной безопасности организации-клиента. Примером подобной ситуации является совместное использование различных средств с другими организациями (например, системы ИТ, базы данных и системы телекоммуникации).

9.1.3 ИБ 9.1.3 Время аудита

Органы сертификации должны предоставлять аудиторам достаточное время для осуществления всех действий, связанных с первоначальным аудитом, надзорным или аудитом повторной сертификации. Время должно рассчитываться на основе таких факторов, как:

a) масштаб области действия СМИБ (например, количество используемых информационных систем, количество сотрудников);

b) сложность СМИБ (например, критичность информационных систем, ситуация с рисками СМИБ), см. также приложение А;

c) вид(ы) деятельности, осуществляемой в рамках области действия СМИБ;

d) уровень и разнообразие технологии, использованной при внедрении различных компонентов СМИБ (таких, как внедренные средства контроля, управление документацией и/или процессами, корректирующие/превентивные действия и т.д.);

e) количество объектов организации-клиента;

f) ранее продемонстрированное функционирование СМИБ;

д) объем аутсорсинга и соглашений с третьими сторонами, использованных в рамках СМИБ;

h) стандарты и нормативные требования, применяющиеся к сертификации.

В приложении С представлено руководство по продолжительности аудита. Орган сертификации должен быть готов обосновать продолжительность времени, затраченного на первоначальный аудит, надзорные аудиты или аудит повторной сертификации.

9.1.4 ИБ 9.1.4 Множественные объекты (площадки)

9.1.4.1 Решения по выборке объектов в области сертификации СМИБ являются более сложными, чем те же самые решения в системах менеджмента качества. Там, где организация-клиент имеет количество объектов сертификации, удовлетворяющее критериям от а) до с), приведенным ниже, органы сертификации могут использовать основанный на выборке подход к сертификационному аудиту многочисленных объектов:

a) все объекты работают в рамках одной и той же СМИБ, которая управляется централизованно, проверяется и подлежит проверке центральным руководством;

b) все объекты включаются в программу внутреннего аудита СМИБ организации-клиента;

c) все объекты включаются в программу проверки СМИБ руководством организации-клиента.

9.1.4.2 Орган сертификации, желающий использовать подход, основанный на выборке, должен выполнять процедуры, обеспечивающие следующее:

a) первоначальная проверка договора выявляет в максимально возможной степени разницу между объектами с целью определения адекватного объема выборки;

b) орган сертификации осуществил выборку представительного числа объектов с учетом следующего:

1) результатов внутренних аудитов главного офиса и объектов;

2) результатов анализа, проведенного руководством;

3) различий в размерах объектов;

4) различий в бизнес-целях объектов;

5) сложности СМИБ;

6) сложности информационных систем в различных объектах;

7) различий в рабочих навыках;

8) различий в предпринятых мерах;

9) потенциального взаимодействия с критическими информационными системами или информационными системами обработки информации ограниченного доступа;

10) любых отличающихся юридических требований;

c) представительный образец выбирается на всех объектах в сфере действия СМИБ организации-клиента; этот выбор должен основываться на субъективном выборе для отражения факторов, представленных в пункте b), а также элемента случайности;

d) каждый включенный в СМИБ объект, который подвергается значительным рискам, проверяется органом сертификации до проведения сертификации;

e) программа надзора, разработанная на основе вышеизложенных требований, охватывает за соответствующий период времени все объекты организации-клиента или объекты, входящие в область действия сертификации СМИБ;

f) при выявлении несоответствия в главном офисе или в одном из объектов применяются корректирующие действия по отношению к главному офису и всем сертифицируемым объектам.

Аудит, описанный в ИБ 9.1.5, должен учитывать действия главного офиса организации-клиента, чтобы гарантировать, что единая СМИБ охватывает все объекты (площадки) и обеспечивает центральное управление на оперативном уровне. Аудит должен учитывать все вышеописанные требования.

9.1.5 ИБ 9.1.5 Методология аудита

Орган сертификации должен иметь процедуры, позволяющие требовать от организации-клиента способности продемонстрировать, что внутренние аудиты СМИБ спланированы, а программа и процедуры их проведения являются действующими.

Процедуры органа сертификации не должны предполагать особого способа реализации СМИБ или особого формата для документации и записей. Процедуры сертификации должны концентрироваться на установлении того, что СМИБ организации-клиента удовлетворяет требованиям стандарта ИСО/МЭК 27001, а также политике и целям организации-клиента.

План аудита должен определять методы аудита с применением сетевых технологий, которые будут использоваться при необходимости во время аудита.

Примечание - Методы аудита с применением сетевых технологий могут включать, например, телеконференции, Интернет-совещания, интерактивную связь на базе Интернет-технологий и удаленный электронный доступ к документации СМИБ и/или процессам СМИБ. Целью применения этих методов должно быть повышение эффективности и продуктивности аудита, а также поддержание целостности процесса аудита.

9.1.6 ИБ 9.1.6 Отчет по сертификационному аудиту

9.1.6.1 Орган сертификации может использовать различные процедуры, связанные с составлением отчетов, которые соответствуют его потребностям, но эти процедуры, как минимум, должны обеспечить следующее:

a) до того, как аудиторская группа покинет территорию организации-клиента, проводится встреча аудиторской группы и руководства организации-клиента, в ходе которой аудиторская группа:

1) в письменной или устной форме сообщает о соответствии СМИБ организации-клиента определенным требованиям сертификации;

2) предоставляет возможность представителям организации-клиента задавать вопросы по поводу сделанных выводов и оснований для них;

b) представляет в орган сертификации отчет о результатах аудита в отношении соответствия СМИБ организации-клиента всем требованиям сертификации.

9.1.6.2 В отчете о результатах аудита должна быть представлена следующая информация:

a) причина аудита, включая краткое изложение анализа документов;

b) причина сертификационного аудита по анализу степени риска информационной безопасности организации-клиента;

c) общее время, затраченное на аудит, и подробное описание времени, затраченного на анализ документов, оценку анализа рисков, аудит на местах и составление отчетов о результатах аудита;

d) вопросы аудита, основная причина их выбора и примененная методология.

9.1.6.3 Отчет о результатах аудита, представленный органу сертификации, должен быть достаточно подробным для упрощения принятия решения о сертификации и его поддержки и должен содержать:

a) области, включенные в аудит (например, требования сертификации и проверенные объекты), включая значимые контрольные записи и использованные методологии аудита (см. ИБ 9.1.5);

b) наблюдения как положительного (например, заслуживающие внимания особенности), так и отрицательного (например, потенциальные несоответствия) характера;

c) подробности выявленных несоответствий, подтвержденные объективными данными, и ссылку этих несоответствий на соответствующие требования стандарта ИСО/МЭК 27001 по СМИБ или другие документы, требуемые для сертификации;

d) замечания о соответствии СМИБ организации-клиента требованиям сертификации с четким заявлением о несоответствии, ссылку на версию Положения о применимости и в случаях, где это уместно, любое полезное сравнение с результатами предыдущих сертификационных аудитов организации-клиента.

Составной частью отчета о результатах аудита могут быть заполненные опросные листы, перечни контрольных вопросов, результаты наблюдения, журналы регистрации или замечания аудитора. В случае использования соответствующих методов эти документы должны подаваться в орган сертификации в качестве свидетельства для поддержки решения о сертификации. Информацию о выборках, оцененных во время аудита, следует включить в отчет о результатах аудита или в другую документацию по сертификации.

В отчете должна рассматриваться правильность внутренней структуры и процедур, принятых организацией-клиентом для обеспечения доверия к СМИБ.

В дополнение к требованиям, предъявляемым к составлению отчетов ИСО/МЭК 17021:2006, пункт 9.1.10, отчет должен содержать:

- степень доверия к внутренним аудитам СМИБ и проверкам со стороны руководства;

- краткое изложение самых важных наблюдений как положительного, так и отрицательного характера, касающихся внедрения и результативности СМИБ;

- рекомендацию аудиторской группы в отношении того, следует ли сертифицировать СМИБ организации-клиента, с информацией для обоснования этой рекомендации.

9.2 Первоначальный аудит и сертификация

Применяются требования ИСО/МЭК 17021:2006, пункт 9.2. Кроме того, применяются следующие, специфические для СМИБ, требования и положения.

9.2.1 ИБ 9.2.1 Компетентность аудиторской группы

Приведенные ниже требования применяются к сертификационной оценке в дополнение к требованиям, перечисленным в пункте 7.2. Для действий по надзору применяются только те требования, которые имеют отношение к запланированной деятельности по надзору.

Ко всей аудиторской группе применяются следующие требования:

а) в каждой из рассмотренных областей, по крайне мере, один член аудиторской группы должен удовлетворять критериям органа сертификации, чтобы взять на себя ответственность в группе за:

1) руководство группой;

2) системы и процессы менеджмента, применимые в СМИБ;

3) знание законодательных и нормативных требований в отдельной области информационной безопасности;

4) идентификацию угроз информационной безопасности и тенденций инцидентов;

5) идентификацию уязвимостей организации-клиента и понимание вероятности их использования, влияния, уменьшения и контроля;

б) знание средств контроля СМИБ и их реализации;

7) знание анализа результативности СМИБ и средств контроля;

8) взаимосвязанные и/или соответствующие стандарты СМИБ, лучший практический опыт в промышленности, политики и процедур безопасности;

9) знание методов обработки инцидентов и обеспечения непрерывности бизнеса;

10) знание материальных и нематериальных информационных активов и анализ влияния;

11) знание современной технологии, где безопасность может быть уместной или может представлять проблему;

12) знание процессов и методов менеджмента рисков;

b) аудиторская группа должна быть компетентной для отслеживания указаний на инциденты безопасности в СМИБ организации-клиента к соответствующим элементам СМИБ;

c) аудиторская группа должна обладать соответствующим опытом работы и применять вышеуказанные пункты на практике (это не значит, что аудитор должен быть опытным во всех областях информационной безопасности, но в целом аудиторская группа должна иметь достаточные знания и опыт, чтобы охватить всю область действия проверяемой СМИБ).

Аудиторская группа может состоять из одного человека при условии, что он удовлетворяет всем вышеизложенным критериям пункта а).

9.2.1.1 ИБ 9.2.1.1 Демонстрация компетентности аудиторов

Аудиторы должны быть способны доказать свои знания и опыт, как указано выше, например посредством:

a) общепризнанных квалификаций по СМИБ;

b) регистрации в качестве аудитора;

c) пройденных курсов подготовки по СМИБ;

d) последних документов, подтверждающих факт непрерывного повышения квалификации;

e) практической демонстрации проведения аудита реальных систем клиента в присутствии других аудиторов.

9.2.2 ИБ 9.2.2 Общая подготовка к первоначальному аудиту

Орган сертификации должен потребовать от организации-клиента сделать все необходимые приготовления к проведению сертификационного аудита, включая приготовления для изучения документации и доступ ко всем областям, документам (включая отчеты о внутреннем аудите и отчеты о независимых проверках информационной безопасности) и персоналу с целью сертификационного аудита, аудита повторной сертификации и удовлетворения жалоб.

До проведения сертификационного аудита на месте организация-клиент должна предоставить следующую информацию:

a) общую информацию, касающуюся СМИБ и осуществляемых ею действий;

b) копию документации СМИБ, требуемую по ИСО/МЭК 27001.2005, пункт 4.3.1.

9.2.3 ИБ 9.2.3 Первоначальный сертификационный аудит

9.2.3.1 ИБ 9.2.3.1 Первый этап аудита

На этом этапе аудита орган сертификации должен получить документацию по проектированию СМИБ, включая документацию, требуемую по ИСО/МЭК 27001:2005, пункт 4.3.1.

Цель первого этапа аудита - обеспечить концентрацию на планировании аудита второго этапа путем ознакомления со СМИБ организации-клиента в контексте ее политики и целей и, в особенности, состояния готовности организации-клиента к аудиту.

Первый этап аудита включает проверку документации (но не должен ограничиваться ею). Орган сертификации должен договориться с организацией-клиентом о месте и времени проведения проверки документов. В любом случае проверка документов должна быть завершена до начала второго этапа аудита.

Результаты первого этапа аудита должны быть задокументированы в письменном отчете. Орган сертификации должен проанализировать отчет первого этапа аудита до вынесения решения о проведении второго этапа аудита и для выбора членов аудиторской группы с необходимым уровнем компетентности для проведения второго этапа.

Орган сертификации должен поставить в известность организацию-клиента о дополнительной информации и документах, которые могут потребоваться для тщательного изучения во время второго этапа аудита.

9.2.3.2 ИБ 9.2.3.2 Второй этап аудита

9.2.3.2.1 Второй этап аудита всегда проводится на объектах организации-клиента. На основе полученных данных, отраженных в отчете о результатах первого этапа аудита, орган сертификации намечает план проведения второго этапа аудита. Целями второго этапа аудита являются:

a) подтверждение, что организация-клиент придерживается собственных политики, целей и процедур;

b) подтверждение соответствия СМИБ всем требованиям стандарта ИСО/МЭК 27001:2005 и целям политики организации-клиента.

9.2.3.2.2 Для осуществления этого аудит должен быть сосредоточен на следующем:

a) оценке рисков информационной безопасности и на том, дают ли эти оценки сопоставимые и воспроизводимые результаты;

b) требованиях к документации, перечисленных в ИСО/МЭК 27001:2005, пункт 4.3.1;

c) выборе целей контроля и средств контроля, основанных на оценке риска и процессах обработки риска;

d) анализе результативности СМИБ и измерениях результативности средств контроля информационной безопасности, составлении отчетов и проведении анализа в отношении целей СМИБ;

e) внутренних аудитах СМИБ и анализе со стороны руководства;

f) ответственности руководства за политику информационной безопасности;

g) соответствии между выбранными и внедренными средствами контроля, заявлении о применимости и результатах оценки степени риска, процессе обработки риска, а также политики и целях СМИБ;

h) введении в действие средств контроля (см. приложение D), принимая во внимание измерения результативности средств контроля организации-клиента [см. d)], чтобы определить, реализуются ли средства контроля и эффективны ли они для достижения намеченных целей;

i) программах, процессах, процедурах, записях, внутренних аудитах и анализах эффективности СМИБ с целью обеспечения их прослеживаемости до решений менеджмента, политики и целей СМИБ.

9.2.3.3 ИБ 9.2.3.3 Особые элементы аудита СМИБ

Функцией органа сертификации является установление последовательности для организации-клиента в создании и поддержании процедур по идентификации, изучению и оценке угроз активам, связанным с информационной безопасностью, уязвимостью и воздействием на организацию-клиента. Органы сертификации должны:

a) требовать от организации-клиента свидетельства, что анализ угроз, связанных с информационной безопасностью, является значимым и соответствующим работе организации-клиента;

Примечание - Организация-клиент отвечает за определение критериев, по которым риски организации-клиента, связанные с информационной безопасностью, идентифицируются как значительные, и за разработку процедуры (процедур), необходимой для осуществления этого определения.

b) установить, согласуются ли процедуры организации-клиента по идентификации, изучению и оценке угроз, связанных с информационной безопасностью активов, уязвимости и воздействий, и результаты их применения с политикой, целями и планами организации-клиента.

Орган сертификации должен также установить, являются ли процедуры, используемые в анализе значимости, надежными и надлежащим образом реализованными. Если угроза активам, связанная с информационной безопасностью, уязвимость или воздействие на организацию-клиента идентифицированы как значимые, их менеджмент должен осуществляться в рамках СМИБ.

9.2.3.3.1 Правовое и нормативное соответствие

Поддержание и оценка выполнения правовых и нормативных норм являются обязанностью организации-клиента. Орган сертификации должен ограничиваться проверками и выборками для создания доверия к тому, что СМИБ функционирует в данном направлении. Орган сертификации должен подтверждать наличие у организации-клиента системы менеджмента для установления правового и нормативного соответствия, приемлемого для рисков информационной безопасности и воздействий на нее.

9.2.3.3.2 Интеграция документации системы менеджмента информационной безопасности с документацией других систем менеджмента

Организация-клиент может комбинировать документацию СМИБ с документацией других систем менеджмента (таких, как система менеджмента качества, охраны труда, экологического менеджмента), если СМИБ может быть четко идентифицирована вместе с соответствующими средствами других систем.

9.2.3.3.3 Объединение аудитов системы менеджмента

Орган сертификации может предложить сертификацию другой системы менеджмента, связанной с сертификацией СМИБ, или сертификацию только СМИБ.

Аудит СМИБ может объединяться с аудитами других систем менеджмента. Это объединение возможно, если аудиты удовлетворяют всем требованиям по сертификации СМИБ. Все элементы, значимые для СМИБ, должны быть четко выраженными и быть легко идентифицируемыми в отчетах о результатах аудитов. Объединение аудитов не должно отрицательно влиять на качество аудита СМИБ.

Примечание - ИСО 19011 предоставляет руководство по проведению совместных аудитов систем менеджмента.

9.2.4 ИБ 9.2.4 Информация для разрешения первоначальной сертификации

Для принятия решения о сертификации орган сертификации должен затребовать подробные отчеты, предоставляющие достаточную информацию для принятия этого решения. На разных этапах процесса сертификационного аудита органу сертификации требуются отчеты аудиторских групп. В сочетании с информацией, хранящейся в файле, эти отчеты должны содержать, по крайней мере, информацию, требуемую в ИБ 9.1.6.

9.2.5 ИБ 9.2.5 Решение о сертификации

Субъект, который может быть физическим лицом, принимающий решение о разрешении/отмене сертификации в рамках органа сертификации, должен обладать достаточным уровнем знаний и опыта во всех областях для оценки процедур аудита и рекомендаций аудиторской группы.

Решение о сертификации СМИБ организации-клиента должно приниматься органом сертификации на основе информации, собранной в процессе сертификации, и любой другой информации, относящейся к делу. Лица, принимающие решение о сертификации, не должны участвовать в аудите. Это решение должно основываться на полученных данных и рекомендациях по сертификации аудиторской группы, представленных в ее отчете о результатах сертификационного аудита (см. ИБ 9.1.6), и на любой другой релевантной информации, доступной органу сертификации.

Субъекту, принимающему решение о разрешении сертификации, обычно не следует опровергать отрицательную рекомендацию аудиторской группы. В подобной ситуации орган сертификации должен официально оформить и дать основание для решения об опровержении рекомендации.

По вопросу вынесения решения о сертификации в ИСО/МЭК 17021:2006 не упоминается о конкретном периоде времени, в течение которого должны происходить, по меньшей мере, один полный внутренний аудит СМИБ и одна проверка менеджмента организации-клиента. Этот период может устанавливаться органом сертификации. Независимо от того, принял ли орган сертификации решение об определении минимальной периодичности аудитов, им должны быть предприняты меры для обеспечения результативности анализа со стороны руководства организации-клиента и процессов внутреннего аудита СМИБ организации-клиента.

Сертификация не должна быть разрешена организации-клиенту до тех пор, пока не будет убедительного свидетельства, что мероприятия по анализу менеджмента и внутренним аудитам СМИБ были реализованы, являются эффективными и будут поддерживаться.

9.3 Деятельность по надзору

Применяются требования ИСО/МЭК 17021:2006, пункт 9.3. Кроме того, применяются следующие, специфические для СМИБ, требования и положения.

9.3.1 ИБ 9.3 Аудиты надзора

9.3.1.1 Процедуры аудита надзора должны согласовываться с процедурами, относящимися к сертификационному аудиту СМИБ организации-клиента, как определено в настоящем стандарте.

Целью надзора является подтверждение продолжения реализации утвержденной СМИБ, рассмотрение предпосылок для изменений в этой системе, инициированных в результате изменений в работе организации-клиента, и подтверждение постоянного соответствия требованиям сертификации. Программы надзора обычно должны включать:

a) элементы поддержки функционирования системы, которыми являются внутренний аудит СМИБ, анализ со стороны руководства, а также предупредительные и корректирующие действия;

b) информацию, поступающую от внешних сторон, как это требуется стандартом ИСО/МЭК 27001 и другими документами, необходимыми для сертификации;

c) изменения в документально оформленной системе;

d) области, подлежащие изменению;

e) элементы, выбранные из ИСО/МЭК 27001;

f) при необходимости другие выбранные области.

9.3.1.2 При надзоре со стороны органа сертификации подлежат анализу, как минимум, следующие факторы:

a) результативность СМИБ в отношении достижения целей политики информационной безопасности организации-клиента;

b) функционирование процедур периодической оценки и проверки соответствия правовым и нормативным требованиям, связанным с информационной безопасностью;

c) меры, принятые в отношении несоответствий, выявленных во время последнего аудита.

9.3.1.3 Надзор, осуществляемый органом сертификации, должен по меньшей мере выполняться в соответствии с пунктами, предусмотренными ИСО/МЭК 17021. При этом учитывается следующее:

a) орган сертификации должен быть способен адаптировать свою программу надзора к проблемам информационной безопасности, связанным с угрозами активам, уязвимостями и воздействиями на организацию-клиента, и обосновать эту программу;

b) программа надзора органа сертификации должна определяться органом сертификации. Конкретные даты инспекций могут согласовываться с сертифицируемой организацией-клиентом;

c) аудиты надзора могут объединяться с аудитами других систем менеджмента. В отчетах должны четко указываться аспекты, значимые для каждой системы менеджмента;

d) орган сертификации требуется для осуществления надзора за надлежащим использованием сертификата.

Во время аудитов надзора органы сертификации должны проверять записи обращений и жалоб, представленных заранее на рассмотрение органу сертификации, и в случаях обнаружения какого-либо несоответствия или невыполнения требований сертификации, записи об исследовании организацией-клиентом собственной СМИБ и процедур, а также принятии соответствующих корректирующих мер.

Отчет по надзору должен содержать в себе, в частности, информацию об устранении обнаруженных ранее несоответствий. Отчеты, полученные в результате надзора, должны собираться, чтобы в совокупности удовлетворять требованию пункта а).

9.4 Повторная сертификация

Применяются требования ИСО/МЭК 17021:2006, пункт 9.4. Кроме того, применяются следующие, специфические для СМИБ, требования и положения.

9.4.1 ИБ 9.4 Аудиты повторной сертификации

Как изложено в настоящем стандарте, процедуры аудитов повторной сертификации должны согласовываться с процедурами, относящимися к сертификационному аудиту СМИБ организации-клиента.

Органы сертификации должны иметь строго определенные процедуры, утверждающие обстоятельства и условия, при которых поддерживается сертификация. Если во время надзора или повторных сертификационных аудитов выявляются несоответствия, то они должны эффективным образом корректироваться в оговоренное органом сертификации время. Если коррекция не была проведена в согласованный срок, область действия сертификации должна быть сокращена, действие сертификата должно быть приостановлено или он должен быть отменен. Период времени, необходимый для устранения несоответствия, должен соответствовать его серьезности и риску доверия к продуктам и услугам организации-клиента.

9.5 Специальные аудиты

Применяются требования ИСО/МЭК 17021:2006, пункт 9.5. Кроме того, применяются следующие, специфические для СМИБ, требования и положения.

9.5.1 ИБ 9.5 Особые случаи

Действия по надзору должны проводиться по специальному положению в случае осуществления организацией-клиентом с сертифицированной СМИБ существенной модификации своей системы или внесения изменений, которые могут затрагивать основу ее сертификации.

9.6 Приостановка, отмена или сокращение сферы действия сертификации

Применяются требования ИСО/МЭК 17021:2006, пункт 9.6.

9.7 Апелляции

Применяются требования ИСО/МЭК 17021:2006, пункт 9.7.

9.8 Жалобы

Применяются требования ИСО/МЭК 17021:2006, пункт 9.8. Кроме того, применяются следующие, специфические для СМИБ, требования и положения.

9.8.1 ИБ 9.8 Жалобы

Жалобы являются источником информации о возможном несоответствии. Орган сертификации должен потребовать от сертифицированной организации-клиента, чтобы при получении жалобы сертифицированная организация-клиент установила и, при необходимости, сообщила причину жалобы, включая любые предопределяющие (или предрасполагающие) факторы в рамках СМИБ организации-клиента.

Органу сертификации следует самому убедиться в том, что организация-клиент использует подобные исследования для разработки корректирующих действий, в которые следует включать меры по:

a) уведомлению соответствующих органов, если это требуется по положению;

b) восстановлению соответствия;

c) предотвращению повторения;

d) оценке и смягчению любых неблагоприятных инцидентов информационной безопасности и связанных с ними воздействий;

e) обеспечению удовлетворительного взаимодействия с другими компонентами СМИБ;

f) оценке результативности принятых исправительных/корректирующих мер.

Орган сертификации должен требовать от каждой организации-клиента, чья СМИБ сертифицируется, делать доступными по его запросу записи обо всех жалобах и корректирующих мерах по их устранению, предпринятых в соответствии с требованиями ИСО/МЭК 27001:2005.

9.9 Документы заявителей и клиентов

Применяются требования ИСО/МЭК 17021:2006, пункт 9.9.

10 Требования системы менеджмента к органам сертификации

10.1 Варианты

Применяются требования ИСО/МЭК 17021:2006, пункт 10.1.

10.2 Вариант 1 - Требования системы менеджмента в соответствии с ИСО 9001

Применяются требования ИСО/МЭК 17021:2006, пункт 10.2.

10.3 Вариант 2 - Общие требования системы менеджмента

Применяются требования ИСО/МЭК 17021:2006, пункт 10.3. Кроме того, применяются следующие, специфические для СМИБ, требования и положения.

10.3.1 ИБ Внедрение системы менеджмента информационной безопасности

Рекомендуется, чтобы органы сертификации внедряли СМИБ в соответствии с ИСО/МЭК 27001:2005.