Приложение А (справочное). Анализ сложности организации-клиента и аспектов, специфических для секторов торгово-промышленной деятельности. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27006-2008 "Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 524-ст) (документ утратил силу)

Приложение А
(справочное)

Анализ сложности организации-клиента и аспектов, специфических для секторов торгово-промышленной деятельности

А.1 Потенциал риска организации-клиента

При определении времени аудита и компетентности аудитора должна учитываться сложность СМИБ. Данное приложение является примером анализа организации-клиента.

Категория сложности, установленная для СМИБ, может использоваться для определения следующего:

a) требования к компетентности аудиторов для аудита СМИБ (пример которых дан в приложении В);

b) требования ко времени аудита СМИБ (пример которых дан в приложении С).

Таблица А.1 является общим перечнем возможных факторов, рассматриваемых при определении сложности СМИБ. Может возникнуть необходимость адаптации данной таблицы к конкретным обстоятельствам или включения специальных факторов.

Таблица А.1 - Критерии сложности области действия системы менеджмента информационной безопасности

Фактор сложности	Категория			Значимость
	высокая	средняя	низкая
Количество сотрудников + штат подрядчиков	1000	200	<200	Шкала реализации СМИБ Административная информационная система Системы, связанные с управлением производством Системы, связанные с продажей/ распространением/общим обслуживанием Информационные технологии/Информационные услуги и связанные с ними системы Системы, связанные со строительством/судостроением/машиностроением
Количество пользователей	1000000	200000	< 200000	Финансовые системы Правительственные, учебные, медицинские/больничные системы
Количество объектов	5	2	1	Шкала реализации СМИБ Физическая безопасность и безопасность окружающей среды (ИСО/МЭК 27001:2005, А.9)
Количество серверов	100	10	<10	Шкала реализации СМИБ Физическая безопасность и безопасность окружающей среды (А.9) Управление доступом (ИСО/МЭК 27001:2005, А.11) Телекоммуникации и управление работой (ИСО/МЭК 27001:2005, А.10)
Количество рабочих станций + ПК + портативных компьютеров	300	50	<50	Контроль доступа (ИСО/МЭК 27001:2005, А.11)
Количество персонала, занимающегося разработкой приложений и техническим обслуживанием	100	20	<20	Приобретение, разработка и обслуживание информационных систем (ИСО/МЭК 27001:2005, А.12)
Сетевая и криптографическая технология (ИСО/МЭК 27001:2005, А.9)	Внешние/ Интернет соединения с требованиями шифрования/цифровой подписи/инфраструктуры открытых ключей	Внешние/ Интернет соединения с использованием шифрования во встроенной стандартной аппаратуре и без требований цифровой подписи/инфраструктуры открытых ключей	Внешние/ Интернет соединения без требований шифрования/ цифровой подписи/ инфраструктуры открытых ключей	Телекоммуникации и управление работой (ИСО/МЭК 27001:2005, А.10) Контроль доступа (ИСО/МЭК 27001:2005, А.11)
Значимость юридического соответствия	Несоответствие ведет к возможному судебному преследованию	Несоответствие ведет к значительным финансовым штрафам или нанесению ущерба нематериальным активам	Несоответствие ведет к незначительным финансовым штрафам или нанесению ущерба нематериальным активам	Законы и руководящие документы (ИСО/МЭК 27001:2005, А.15)
Применимость конкретного для сектора риска (см. в А.2 примеры специфических для сектора категорий риска информационной безопасности)	Применяются специфические для сектора законы и положения	Не применяются специфические для сектора закон и положение, но применяется значительный конкретный для сектора риск	Не применяются специфические для сектора закон и положение и не применяется значительный конкретный для сектора риск	Шкала реализации СМИБ Законы и руководящие документы (ИСО/МЭК 27001:2005, А.15)

На основе использования различных факторов из таблицы А.1 аспекты сложности области действия СМИБ могут классифицироваться по трем категориям: "высокая", "средняя" и "низкая". За общую категорию сложности может быть принята максимальная категория всех рассматриваемых факторов.

А.2 Специфические для сектора категории риска информационной безопасности

Риски для информации могут быть специфическими для вида рассматриваемой информации или сектора, в котором функционирует организация-клиент. Следующие примеры иллюстрируют различные категории риска.

Специфические категории, применяемые ко всем организациям-клиентам:

зарплаты, пенсии, здоровье и безопасность, документы организации-клиента, внутренняя и межведомственная информация, и т.д.;

любая другая лично идентифицируемая информация;

любая другая коммерчески секретная/важная информация, такая как научно-исследовательская, опытно-конструкторская, подробности об организации-клиенте, финансовые результаты и прогнозы, бизнес-планы, права на интеллектуальную собственность, производственные процессы и т.д.

Правительственная секретная/важная информация:

для общественности;

для электронного правительства;

о гражданах (например, здоровье, доходы, налоги, документы и т.д.);

которой оперируют правительственные поставщики и производители, такая как проекты ИКТ, оборудование, продукты, услуги и т.д.

Специфические категории, применяемые к классам организации:

корпоративное управление - перечисленные компании (возможно, также другие крупные экономические объекты).

Специфические категории, применяемые к секторам торгово-промышленной деятельности:

здравоохранение;

образование;

авиакосмическая промышленность;

телекоммуникации;

финансовые услуги;

благотворительные учреждения и некоммерческие организации.