Присоединяйтесь!
Зарегистрированных пользователей портала: 505 891. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ К ОРГАНАМ, ОСУЩЕСТВЛЯЮЩИМ АУДИТ И СЕРТИФИКАЦИЮ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 27006-2008" (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 524-ст)

Дата документа18.12.2008
Статус документаДействует
МеткиПриказ · Гост · Стандарт · Гост р · Исо/мэк

    

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

Информационная технология

 

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

 

ТРЕБОВАНИЯ К ОРГАНАМ, ОСУЩЕСТВЛЯЮЩИМ АУДИТ И СЕРТИФИКАЦИЮ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

ISO/IEC 27006:2007
Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems (IDT)

 

ГОСТ Р ИСО/МЭК 27006-2008

 

Предисловие

 
    Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗтехническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения".
 

Сведения о стандарте

 
    1. ПОДГОТОВЛЕН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") и Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 5.
    2. ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии.
    3. УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 524-ст.
    4. ВВЕДЕН ВПЕРВЫЕ.
    5. Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27006:2007 "Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности" (ISO/IEC 27006:2007 "Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems").
    При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении Е.
    Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет.
 

Введение

 
    ИСО/МЭК 17021 - это международный стандарт, устанавливающий критерии для органов, осуществляющих аудит и сертификацию систем менеджмента организаций. Если эти органы должны быть аккредитованы как соответствующие ИСО/МЭК 17021 с целью проведения аудита и сертификации систем менеджмента информационной безопасности (СМИБ) в соответствии с ИСО/МЭК 27001:2005, то необходимы дополнительные требования и руководства к ИСО/МЭК 17021. Они представлены в настоящем международном стандарте.
    Текст настоящего международного стандарта повторяет структуру ИСО/МЭК 17021, а дополнительные требования, специфические для СМИБ, и руководство по применению ИСО/МЭК 17021 для сертификации СМИБ обозначаются аббревиатурой "ИБ".
    Термин "должен" используется в этом международном стандарте для указания тех условий, которые, отражая требования ИСО/МЭК 17021 и ИСО/МЭК 27001, являются обязательными. Термин "следует" используется для обозначения условий, которые, хотя и являются руководством по применению этих требований, но предполагается, что они будут приняты органом сертификации.
    Цель настоящего международного стандарта - дать возможность органам аккредитации более эффективно применять стандарты, по которым они обязаны оценивать органы сертификации. В этом контексте любое отклонение органа сертификации от руководства является исключением. Такие отклонения будут разрешены только на основе рассмотрения каждого случая в отдельности после того, как орган сертификации докажет органу аккредитации, что это исключение удовлетворяет каким-либо эквивалентным образом соответствующему пункту требований ИСО/МЭК 17021, ИСО/МЭК 27001 и настоящего международного стандарта.
    Примечание - В данном международном стандарте термины "система менеджмента" и "система" используются, заменяя друг друга. Определение системы менеджмента можно найти в ИСО/МЭК 9000:2005. Систему менеджмента, использующуюся в этом международном стандарте, не следует путать с другими типами систем, такими как системы информационных технологий.
 

1. Область применения

 
    Настоящий стандарт на основе стандартов ИСО/МЭК 17021 и ИСО/МЭК 27001 устанавливает требования к органам, осуществляющим аудит и сертификацию системы менеджмента информационной безопасности (СМИБ), и способствует проведению аккредитации органов сертификации.
    Любой орган, осуществляющий сертификацию СМИБ, должен продемонстрировать в плане компетентности и надежности свое соответствие требованиям данного стандарта, а содержащиеся в стандарте указания дополнительно разъясняют эти требования к органу, осуществляющему сертификацию СМИБ.
    Примечание - Настоящий стандарт может использоваться в качестве документа, содержащего критерии для аккредитации, экспертной оценки или других процессов аудита.
 

2. Нормативные ссылки

 
    В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
    ИСО/МЭК 17021:2006 Оценка соответствия. Требования к органам, обеспечивающим аудит и сертификацию систем менеджмента
    ИСО/МЭК 27001:2005 Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
    ИСО/МЭК 19011:2002 Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента
 

3. Термины и определения

 
    В настоящем стандарте применены термины по ИСО/МЭК 17021, ИСО/МЭК 27001, а также следующие термины с соответствующими определениями:
    3.1. сертификат (certificate): Документ, выданный органом сертификации в соответствии с условиями его аккредитации и содержащий соответствующий символ или заявление об аккредитации.
    3.2. орган сертификации (certification body): Третья сторона, оценивающая и сертифицирующая СМИБ организации-клиента на соответствие действующим стандартам СМИБ и любой дополнительной документации, требуемой в рамках этой системы.
    3.3. документ сертификации (certification document): Документ, указывающий, что СМИБ организации-клиента соответствует стандартам СМИБ и дополнительной документации, требуемой в рамках этой системы.
    3.4. маркировка (mark): Юридически зарегистрированный товарный знак или защищенный иным образом символ, который выпускается по правилам органа аккредитации или органа сертификации, указывающий на то, что орган достаточно уверен в системах или что соответствующие продукты или субъекты отвечают требованиям определенного стандарта.
    3.5. организация (organization): Государственная или частная компания, корпорация, фирма, предприятие, управление или учреждение или их часть, или их комбинация, имеющая собственные функции и администрацию и способная обеспечить информационную безопасность.
 

4. Принципы

 
    Применяются принципы ИСО/МЭК 17021:2006, пункт 4.
 

5. Общие требования

 

5.1. Юридические и договорные вопросы

 
    Применяются требования ИСО/МЭК 17021:2006, пункт 5.1.
 

5.2. Менеджмент беспристрастности

 
    Применяются требования ИСО/МЭК 17021:2006, пункт 5.2. Кроме того, применяются следующие, специфические для СМИБ, требования и положения.
 

5.2.1. ИБ 5.2 Конфликты интересов

 
    Орган сертификации может выполнять следующие обязанности, без которых он считается консультативным органом, имеющим потенциальный конфликт интересов:
    a) сертификацию, включая информационные совещания, совещания по планированию, изучение документов, проведение аудита (не внутренних аудитов СМИБ или внутренних проверок безопасности) и последующую деятельность в отношении несоответствий;
    b) организацию курсов обучения и участие в них в качестве преподавателя при условии, что если эти курсы связаны с менеджментом информационной безопасности, взаимосвязанными системами менеджмента или с проведением аудита, то органам сертификации необходимо ограничиваться предоставлением общей информации и рекомендациями, являющимися свободно доступным общественным достоянием, т.е. они не должны предоставлять консультации, ориентированные на конкретную компанию, что противоречит требованиям пункта с);
    c) обеспечение доступности или публикацию по запросу информации, описывающей интерпретацию органом сертификации требований стандартов по сертификационному аудиту;
    d) проведение мероприятий, предшествующих аудиту, имеющих целью исключительно определение готовности к сертификационному аудиту; однако подобные действия не должны приводить к предоставлению рекомендаций или консультаций, противоречащих этому пункту, и орган сертификации должен уметь подтвердить, что подобные действия не противоречат этим требованиям и не используются для обоснования возможного сокращения продолжительности сертификационного аудита;
    e) проведение аудитов второй и третьей стороной в соответствии со стандартами или нормативными требованиями, кроме тех, которые являются частью области аккредитации;
    f) повышение значимости сертификационных аудитов и инспекций с целью надзора, например, путем определения благоприятных возможностей для улучшений, которые становятся очевидными в процессе аудита, не рекомендуя при этом конкретных решений.
    Орган сертификации должен быть независим от органа или органов (включая любых лиц), осуществляющих внутренний аудит подлежащей сертификации СМИБ организации-клиента.
 

5.3. Обязательства и финансирование

 
    Применяются требования ИСО/МЭК 17021:2006, пункт 5.3.
 

6. Требования к структуре

 

6.1. Структура организации и высшее руководство

 
    Применяются требования ИСО/МЭК 17021:2006, пункт 6.1.
 

6.2. Комитет по обеспечению защиты беспристрастности

 
    Применяются требования ИСО/МЭК 17021:2006, пункт 6.2.
 

7. Требования к ресурсам

 

7.1. Компетентность руководства и персонала

 
    Применяются требования ИСО/МЭК 17021:2006, пункт 7.1. Кроме того, применяются следующие, специфические для СМИБ, требования и руководство.
 

7.1.1. ИБ 7.1 Компетентность руководства

 
    В число основных элементов обеспечения компетентности, требующихся для проведения сертификации СМИБ, входят отбор, представление специалистов, чьи навыки и общая компетентность соответствуют видам деятельности, предназначенным для аудита, и связанным с ними проблемам в области информационной безопасности, и руководство ими.
 

7.1.1.1. Анализ компетентности и проверка договора

 
    Орган сертификации должен гарантировать знание им технологических и правовых вопросов, относящихся к СМИБ организации-клиента, которую он оценивает.
    Орган сертификации должен обладать эффективной системой для анализа компетентности в сфере менеджмента информационной безопасности, применимой по отношению ко всем техническим областям, в которых он действует.
    В отношении каждого клиента орган сертификации должен быть способен продемонстрировать, что он провел анализ необходимой компетентности (оценка навыков, соответствующих выявленным потребностям) исходя из требований каждого соответствующего сектора торгово-промышленных отношений до осуществления проверки договора. Затем орган сертификации должен осуществить проверку договора с организацией-клиентом, основываясь на результатах анализа компетентности. В частности, орган сертификации должен быть способен продемонстрировать, что он обладает компетентностью для выполнения следующих видов деятельности:
    a) изучение сфер деятельности организации-клиента и связанных с ними деловых рисков;
    b) определение уровня компетентности, необходимой органу сертификации для осуществления сертификации в отношении определенной деятельности, связанной с информационной безопасностью, угроз активам, уязвимостей и воздействий на организацию-клиента;
    c) подтверждение наличия требуемой компетентности.
 

7.1.1.2. Ресурсы

 
    Руководство органа сертификации должно располагать необходимыми процедурами и ресурсами для определения компетентности отдельных аудиторов в отношении задач, которые они должны выполнить в области сертификации, в рамках которой они действуют. Компетентность аудиторов может быть установлена на основе подтвержденного опыта и специального обучения или путем собеседования (см. также приложение В). Орган сертификации должен быть способен эффективно поддерживать связь с клиентами, которым он предоставляет услуги.
 

7.2. Персонал, участвующий в деятельности по сертификации

 
    Применяются требования ИСО/МЭК 17021:2006, пункт 7.2. Кроме того, применяются следующие, специфические для СМИБ, требования и положения.
 

7.2.1. ИБ 7.2 Компетентность персонала органа сертификации

 
    Органы сертификации должны иметь персонал, обладающий компетентностью в следующих вопросах:
    a) выбор аудиторов СМИБ, соответствующих целям аудита, и проверка их компетентности;
    b) инструктаж аудиторов СМИБ и организация необходимого обучения;
    c) принятие решения о разрешении, поддержке, отмене, приостановке, продлении или сокращении сроков действия сертификации;
    d) организация и ведение работ по рассмотрению апелляций и жалоб.
 

7.2.1.1. Обучение аудиторских групп

 
    У органа сертификации должны быть критерии обучения аудиторских групп, обеспечивающие:
    a) знание стандарта СМИБ и других соответствующих нормативных документов;
    b) понимание вопросов информационной безопасности;
    c) понимание оценки риска и менеджмента риска с точки зрения деятельности;
    d) технические знания о деятельности, подлежащей аудиту;
    e) общее знание нормативных требований, относящихся к СМИБ;
    f) знание систем менеджмента;
    g) понимание принципов аудита, основанных на ИСО 19011:2002;
    h) знание анализа эффективности СМИБ и измерения эффективности средств контроля.
    Эти требования к обучению применяются ко всем членам аудиторской группы, за исключением требований пункта (d), которые можно распределить между членами аудиторской группы.
    7.2.1.1.1 При выборе аудиторской группы, которая будет назначена для конкретного сертификационного аудита, орган сертификации должен обеспечить, чтобы члены группы обладали соответствующими необходимыми навыками для каждого задания. Группа должна:
    a) обладать соответствующими техническими знаниями о конкретных действиях в рамках области применения СМИБ, для которой проводится сертификация, и, если необходимо, со взаимосвязанными процедурами и их потенциальными рисками информационной безопасности (эту функцию могут выполнять технические эксперты, не являющиеся аудиторами);
    b) обладать достаточным уровнем знания работы организации-клиента для проведения надежного сертификационного аудита ее СМИБ в части менеджмента аспектов, связанных с информационной безопасностью ее деятельности, продуктов и услуг;
    c) обладать соответствующим знанием нормативных требований к СМИБ организации-клиента.
    7.2.1.1.2 При необходимости аудиторская группа может дополняться техническими экспертами, которые должны обладать специальными знаниями в области технологии, подлежащей аудиту.