Приложение В (справочное). Начало сбора информации (отличной от ИТ). Национальный стандарт РФ ГОСТ Р 56045-2014/ISО/IЕС ТR 27008:2011 "Информационная технология. Методы и средства обеспечения безопасности. Рекомендации для аудиторов в отношении мер и средств контроля и управления информационной безопасностью" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 11.06.2014 N 569-ст) (документ утратил силу)

Приложение В
(справочное)

Начало сбора информации (отличной от ИТ)

Ведущий аудитор в группе, проводящей проверку мер и средств контроля и управления информационной безопасностью, должен назначать аудитора, проводящего проверку мер и средств контроля и управления, с соответствующей компетентностью и опытом для каждой области информационной безопасности.

По каждой указанной ниже сфере для соответствующего персонала приведен неисчерпывающий перечень примерных вопросов.

В.1 Кадровые ресурсы и безопасность

a) Чувствует ли персонал себя ответственным и/или подотчетным за свои действия?

b) Существуют ли "на месте" специалисты, обладающие знаниями по обеспечению безопасности и информационной безопасности, для ответа на вопросы, мотивации персонала и предоставления необходимого руководства?

c) Являются ли применяемые политики и процедуры четкими и SMART* (конкретными, измеримыми, приемлемыми, реалистичными, привязанными ко времени)?

d) Осуществляется ли наем персонала в соответствии с ожидаемыми "операционными" знаниями?

e) Является ли персонал заслуживающим доверия, чтобы обращаться с чувствительной информацией и системами, которые могут подвергать опасности продолжительность существования организации?

f) Является ли персонал таким, которому можно полностью доверять?

g) Как определяется и измеряется доверие?

В.2 Политики

a) Иерархия:

i) выводятся ли политики информационной безопасности из целей бизнеса и общей политики безопасности?

ii) как осуществляется связь между политиками ИТ, кадровыми политиками, политиками приобретения и т.д.?

b) Полнота:

i) рассматриваются ли в политиках вопросы обеспечения информационной безопасности во всех секторах деятельности бизнеса (кадровом, физическом, ИТ, продаж, производства, научно-исследовательском, договоров и т.д.)?

ii) являются ли политики полными в плане охвата стратегии, тактики и операций?

c) Формулировка:

i) сформированы ли политики по принципу "копия-вставка", изложенному в ИСО/МЭК 27002, или же цели контроля и меры и средства контроля и управления приспособлены к конкретному контексту?

ii) написаны ли политики с четкой идентификацией ответственного лица (лиц)?

iii) ожидаемое в рамках политики или процедуры действие должно рассматривать "основополагающие" вопросы: кто, когда, зачем, что, где, каким образом:

- если лицо (кто), ответственное за выполнение деятельности, не определено, то кто будет достигать установленных целей?

- если плановое время (когда) для выполнения деятельности не определено, то будет ли она начата и завершена в должное время?

- если задача или цель деятельности не определена (зачем), то будет ли деятельность правильно понята, а ее значимость адекватно учтена?

- если сама деятельность (что) не определена, то как будет возможно ее выполнить?

- если деятельность не определяет объект, место, процесс, информационный актив или "меру и средство контроля и управления", на которые она должна оказывать влияние (где), то какова будет ее эффективность?

- если деятельность в процедуре четко не определяет, каким образом все должно выполняться, то как она может быть выполнена правильно (каким образом?)

- если деятельность также не определяет показатели и меры и средства контроля и управления, направленные на проверку ее развития и достижения целей, то как организация может быть уверена, что цели достигаются или могут быть достигнуты?

iv) существуют ли меры и средства контроля и управления и среда проверки, чтобы определить, приводятся ли в действие и реализуются ли положения политики и достигаются ли цели?

v) цели в формулировке политики должны учитывать критерии SMART (конкретные, измеримые, приемлемые, реалистичные, привязанные ко времени). Если же этого не происходит, то:

- не отличающиеся конкретностью цели нелегко ясно осознать, а лицо(а), отвечающее(ие) за их достижение, обычно не определено(ы);

- если цель не является измеримой, то мало шансов, что организация сможет проверить, достигается она или нет;

- если цель не сообщается персоналу и неприемлема для персонала, которому придется следовать ей, то велика вероятность того, что мера и средство контроля и управления будет неправильно понята, обойдена или "отключена";

- если цель нереалистична по отношению к реальным возможностям организации, то мало шансов, что когда-нибудь она будет достигнута;

- если цель не определена по отношению ко времени (когда она должна быть достигнута, когда предполагается начать деятельность и т.д.), то существует большая вероятность того, что никакие действия не будут предприняты и цель никогда не будет достигнута.

В.3 Организация

a) Определена ли и распределена ли совокупность ролей и обязанностей, необходимых и достаточных для выполнения целей бизнеса с учетом конкретного контекста и ограничений?

b) Определена ли связь с внешними органами?

c) Возлагается ли ответственность за обеспечение безопасности на внешние ресурсы, если у организации нет внутренних возможностей?

d) Рассматриваются ли вопросы информационной безопасности в договорах?

В.4 Физическая безопасность и безопасность внешней среды

В.4.1 Безопасны ли площадки для информации?

a) "Зоны"

i) являются ли площадки, доступные для публики, достаточно изолированными от площадок для бизнеса?

ii) определены ли зоны, где обрабатывается наиболее критичная информация (персоналом или системами информационных и коммуникационных технологий (ИКТ)?

iii) достаточно ли изолированы эти "безопасные зоны", чтобы избежать обмена информацией?

b) Месторасположения

i) являются ли различные зоны четко определенными и соответствующим образом расположенными?

ii) являются ли "границы" (стены, потолок, пол и т.д.) четко определенными, а их прочность соответствующей для защиты содержащихся активов?

iii) присутствует ли соответствующая маркировка местоположений, и находятся ли критические зоны вне поля зрения "посторонних лиц"?

c) "Входы/выходы" - точки доступа

i) обеспечивают ли окна и двери и "проходы" через границы такую же защиту, как "границы", когда они закрыты?

ii) существует ли соответствующее управление доступом для входа в и выхода из "месторасположения"?

iii) существует ли система предупреждения вторжений?

iv) существуют ли "запасные выходы", предусматривающие достаточную мобильность информации, людей и оборудования?

d) Коридоры и "пути"

i) определены ли "пути" к зонам и площадкам:

- пути для людей;

- кабели (пути для информации);

ГАРАНТ:

Нумерация подпунктов приводится в соответствии с источником

i) существуют ли альтернативные пути?

ii) обеспечиваются ли защита и мониторинг этих "путей"?

e) Мониторинг

i) могут ли ресурсы мониторинга обеспечивать видение, не будучи увиденными?

ii) могут ли ресурсы мониторинга увидеть вторжение, появляющееся издалека?

iii) когда мониторинг активен?

iv) где и как хранятся и анализируются записи?

f) Окружающая обстановка

i) является ли она соответствующей для хранения информации?

ii) является ли она надлежащим образом размещенной?

iii) функционирует ли, как ожидалось?

В.4.2 Безопасны ли площадки для ИКТ? (Аспекты внешней среды)

a) Энергоснабжение

i) достаточное/соответствующее?

ii) альтернативное?

b) Кондиционирование воздуха

i) достаточное/соответствующее?

ii) альтернативное?

c) Средства пожаротушения

i) достаточные/соответствующие?

ii) альтернативные?

В.4.3 Безопасны ли площадки для людей?

a) Существуют ли запасные выходы (с соответствующими мерами и средствами контроля и управления)?

b) Представляют ли "утечки" (электроэнергии, воды, газа, жидкостей) потенциальную опасность для людей?

c) Представляют ли температура, влажность, вещества и вибрации потенциальную опасность для людей?

d) Размещается ли оборудование таким образом, чтобы люди не имели возможности получить травму?

e) Определены ли "входы/выходы" и управляются ли они так, чтобы люди не имели возможности получить травму?

f) Установлена ли и поддерживается ли окружающая обстановка таким образом, чтобы люди не имели возможности получить травму?

В.4.4 Менеджмент инцидентов

a) Определены ли инциденты информационной безопасности?

b) Существуют ли возможности реагирования на инциденты информационной безопасности:

i) руководства?

ii) ролей и обязанностей?

iii) средств и ресурсов?