Аудит / Учебный курс

h1. ЗАНЯТИЕ 2

_*Изучение семейства стандартов ISO/IEC 27000*_

h2.  Цели занятия

К концу занятия вы поймете

* Процессы, связанные с созданием, внедрением, эксплуатацией,  мониторингом, анализом, обслуживанием и улучшением системы  менеджмента информационной безопасности;

* *Терминологию и определения* семейства стандартов ISO 27000;

* *Взаимосвязь*  между различными стандартами семейства ISO 27000;

* Разница между *проверяемым*  стандартом и *руководящим *  документом;

* Требования к *документированной информации* СМИБ;

* Применение *области действия* и неприменимости (исключений);

* *Общая структура* и требования ISO 27001.

h2.  Вопросы для размышления

В чем разница между стандартами ISO/IEC  27000, 27001, 27002?

К каким типам организаций применим  стандарт ISO/IEC 27001:

* Как «контекст» может повлиять на систему менеджмента и ее документацию?

Что означает «область действия»?

* Почему область действия должна быть четко определена?

* В чем значение связей и зависимостей?

!clipboard-202505171333-tkuxr.png!

h2. Упражнение 2

_* Термины и определения семейства стандартов ISO/IEC 27000*_

*Задание:*

Сопоставить термины с определениями в соответствии с инструкциями:

{{collapse(Задание)

Используя приведенную ниже таблицу, сопоставить термины второго столбца с определениями 4 столбца. Соответствующий номер термина (указан в первом столбце), указать в третьем столбце рядом с соответствующим определением.

|1|Несоответствие 

_Non Conformity_||Процесс поиска, распознавания и описания рисков|

|2|Уровень риска 

_Level of Risk_ ||Способность применять знания и навыки для достижения намеченных результатов|

|3|Критерий риска

_Risk Criteria_||Набор взаимосвязанных или взаимодействующих действий, которые используют входные данные для достижения намеченного результата|

|4|Уязвимость

_Vulnerability_||Результат, который должен быть достигнут|

|5|Компетенция

_Competence_||Обоснованное решение принять определенный риск|

|6|Процесс

_Process_||Возникновение или изменение определенного набора обстоятельств|

|7|Улучшение

_Improvement_||Не выполнение требования|

|8|Документированная информация

_Documented information_||Набор взаимосвязанных или взаимодействующих элементов|

|9|Измерение (Оценивание) риска

_Risk assessment_||Слабое место актива или средства контроля, которая может быть использована одной или несколькими угрозами.|

|10|Событие информационной безопасности

_Information Security event_||Выполнение требования|

|11|Наблюдение/Мониторинг

_Monitoring_||Свойство точности и полноты|

|12|Внешние услуги

_Outsource_||Свойство быть доступным и пригодным к использованию по требованию уполномоченного лиц|

|13|Политика

_Policy_||Процесс определения значения|

|14|Обработка риска

_Risk treatment_||Общий процесс идентификации риска, анализа риска и определения значения риска|

|15|Процедура

_Procedure_||Действие по повышению производительности|

|16|Система

_System_||Процесс изменения риска|

|17|Оценка риска

_Risk evaluation_||Лицо или группа людей, которые направляют и контролируют организацию на высшем уровне|

|18|Конфиденциальность

_Confidentiality_||Определенный способ выполнения действия или процесса|

|19|Анализ риска

_Risk analysis_||Свойство, при котором информация не предоставляется и не раскрывается неуполномоченным лицам, организациям или процессам|

|20|Соответствие

_Conformity_||Намерения и направление деятельности организации, официально выраженные ее высшим руководством.|

|21|Владелец риска

_Risk Owner_||Сохранение конфиденциальности, целостности и доступности информации|

|22|Заинтересованные стороны

_Interested party_||Информация, которую организация должна контролировать и поддерживать, и носитель, на котором она содержится|

|23|Измерение

_Measurement_||Заключить соглашение, при котором внешняя организация выполняет часть функции или процесса организации.|

|24|Событие

_Event_||Лицо или организация… которые могут повлиять, на которые могут повлиять, или которые могут усмотреть, что на них влияют решения или действия.|

|25|Идентификация риска

_Risk identification_||Величина риска, выраженная в терминах комбинации последствий и их вероятности|

|26|Результативность

_Effectiveness_||Физическое или юридическое лицо, обладающее ответственностью и полномочиями по управлению риском|

|27|Непрерывное улучшение

_Continual improvement_||Эффект неопределенности|

|28|Цель

_Objective_||Процесс понимания природы риска и определения уровня риска|

|29|Производительность

_Performance_||Действие, направленное на устранение причины несоответствия и предотвращение его повторения|

|30|Корректирующее действие

_Corrective action_||Процесс сравнения результатов анализа риска с критериями риска для определения того, является ли риск и/или его величина приемлемым или допустимым.|

|31|Риск

_Risk_||Потенциальная причина нежелательного инцидента, который может нанести вред системе или организации.|

|32|Инцидент информационной безопасности

_Information Security Incident_||Измеримый результат|

|33|Высшее руководство

_Top management_||Определение состояния системы, процесса или действия|

|34|Доступность

_Availability_||Повторяющаяся деятельность по повышению производительности|

|35|Информационная безопасность

_Information Security_||Лицо или группа людей, которые имеют свои собственные функции с обязанностями, полномочиями и отношениями для достижения своих целей|

|36|Организация

_Organisation_||Условие, по которому оценивается значимость риска|

|37|Принятие риска

_Risk acceptance_||Степень реализации запланированных мероприятий и достижения запланированных результатов|

|38|Целостность

_Integrity_||Выявленное возникновение состояния системы, службы или сети, указывающее на возможное нарушение политики информационной безопасности или сбой элементов управления, или ранее неизвестную ситуацию, которая может иметь отношение к безопасности.|

|39|Угроза

_Threat_||Одно или несколько нежелательных или неожиданных событий информационной безопасности, которые имеют значительную вероятность компрометации бизнес-операций и угрозы информационной безопасности.|

}}

*Продолжительность:*

30 минут – индивидуально, подготовка;

30 минут – дискуссия и обратная связь.

h2.  Раздел 4. Организационный контекст

* Определить внешние и внутренние аспекты;

* Понимание потребностей и ожиданий заинтересованных сторон;

* Область действия системы менеджмента;

* Процессы системы менеджмента:

** Взаимодействие;

** Требования к документированию

** Обязанности и полномочия.

h2.  Раздел 5: Лидерство

Области, в которых непосредственное участие высшего руководства обязательно:

* Демонстрация лидерства;

* Демонстрация приверженности;

* Обеспечение стратегического направления в отношении  информационной безопасности;

* Обеспечение согласованности стратегического направления с политикой и целями организации;

* Предоставление необходимой поддержки/ресурсов;

* Определение обязанностей, предоставление ресурсов;

* Поддержка людей, процессов и системы в целом;

* Содействие непрерывному совершенствованию

h2.  Раздел 6: Планирование

В разделе требуется ПЛАНИРОВАНИЕ в целях рассмотрения трех ключевых областей системы менеджмента:

* Риски и возможности

* Цели информационной безопасности

Обратите внимание, что «Операционное планирование» включено в Разделе 8.

Раздел 6 посвящен организационному планированию высшего уровня.

Раздел 6 содержит отсылку к обязательному применению  Приложения А

h2.  Приложение А (Annex A)

Приложение А содержит:

* Категории мер управления;

* Меры управления (Controls):

** Короткое наименование;

** Содержание меры (что требуется выполнить при реализации).

Как они используются?

Все ли они обязательны?

Существуют ли базовые меры безопасности, которые необходимо внедрить для каждой организации?

Могут ли быть какие-то меры Приложения А исключены?

h2.  Структура Приложения А

!clipboard-202505171353-sy2pg.png!

!clipboard-202505171353-x2h8e.png!

h2. Раздел 6: Планирование (продолжение)

Какая связь между Разделом 6, Системой и Приложением А?

Во время планирования (Раздел 6):

* выбраны все меры управления, необходимые для реализации  вариантов обработки рисков информационной безопасности;

* все меры управления сравниваются с приложением A, чтобы убедиться, что не были упущены необходимые меры  управления;

* все необходимые меры управления задокументированы в Положении о применимости.

h2.  Раздел 7: Ресурсы

Ресурсы должны предоставляться и быть достаточными для достижения целей, включая:

* Человеческие ресурсы;

* Инфраструктура;

* Рабочая среда;

* … и любые другие необходимые ресурсы;

* Компетентность, осведомленность и взаимосвязи;

* Документированная информация

h2.  Раздел 8: Функционирование

Все, что было запланировано, должно быть реализовано, и должна быть обеспечена работа системы на ежедневной основе:

* Разработанные *действия реализуются* и контролируются (согласно разделу 6);

* *Документированная информаци* я сохраняется в той степени, в которой организация считает это необходимым (в привязке к ее контексту);

* *Запланированные изменения* контролируются;

* Последствия *непреднамеренных изменений* анализируются, и при необходимости предпринимаются действия для смягчения любых неблагоприятных последствий;

* *Процессы на внешнем сопровождении* определяются и контролируются;

* Оценка рисков проводится в запланированное время или при значительных изменениях (раздел 8.2);

* Планы обработки рисков, принятые во время планирования, внедряются и контролируются (раздел 8.3).

h2.  Раздел 9: Оценка производительности

Организация должна ОПРЕДЕЛИТЬ, что необходимо контролировать и/или измерять:

* Процессы информационной безопасности;

* Меры управления информационной безопасности.

Внутренний аудит;

Анализ со стороны высшего руководства.

h2.  Раздел 10: Улучшения

Структурированные действия по поддержке улучшений в системе менеджмента;

Несоответствия и корректирующие действия;

* Противодействующие (reactive)улучшения.

Непрерывное совершенствование;

Запланированные, упреждающие (proactive)улучшения.

h2. Упражнение 3

_*Отслеживание модели PDCA в стандарте ISO/IEC 27001*_

*Задание:*

Рассмотреть разделы ISO/IEC 27001 и распределить их  по различным фазам PDCA-цикла в соответствии  с инструкциями

{{collapse(Задание)

Как отмечалось в 1-ой сессии, PDCA-цикл встроен в структуру системы менеджмента. Хотя эта связь между различными этапами PDCA не так заметна, как в первом издании ISO/IEC 27001, ее все же можно проследить и в текущей версии ISO/IEC 27001.

!clipboard-202505171400-9tyu0.png!

Теперь, когда мы освежили знания о структуре и содержании стандарта, ваша задача — просмотреть разделы ISO/IEC 27001 и распределить их по различным фазам PDCA-цикла.

Например, пункт 4.1. относится к этапу планирования, поскольку организация собирает информацию о себе для создания своей системы. Является ли это единственной ролью 4.1 или она применима и в другие периоды цикла, не связанные с первоначальным планированием системы. Если да, меняется ли ассоциация фаз? Представьте обоснование своего выбора.

Обратите внимание, что один раздел может иметь более одной ассоциированной фазы.

Раздел ISO/IEC 27001:2022	Выбор фазы PDCA и напишите Обоснование

4.1 Understanding the organization and its context

Понимание организации и её контекста	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

4.2 Understanding the needs and expectations of interested parties

Понимание потребностей и ожиданий заинтересованных сторон 	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

4.3 Determining the scope of the information security management system

Определение области применения системы менеджмента информационной безопасности 	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

4.4 Information security management system

Система менеджмента информационной безопасности 	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

5.1 Leadership and commitment

Лидерство и приверженность 

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

5.2 Policy

Политика 	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

5.3 Organizational roles, responsibilities and authorities

Организационные обязанности, ответственность и полномочия 	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

6.1 Actions to address risks and opportunities

Действия по работе с рисками и возможностями 	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

6.2 Information security objectives and planning to achieve them

Цели в области информационной безопасности и планирование их выполнения 	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

6.3 Planning of changes

Планирование изменений 	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

7.1 Resources

Ресурсы 	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

7.2 Competence

Компетентность	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

7.3 Awareness

Осведомлённость 	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

7.4 Communication

Обмен информацией 	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

7.5 Documented information

Документированная информация 	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

8.1 Operational planning and control

Планирование и управление операциями 	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

8.2 Information security risk assessment

Оценка рисков информационной безопасности 	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

8.3 Information security risk treatment

Обработка рисков информационной безопасности 	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

9.1 Monitoring, measurement, analysis and evaluation

Мониторинг, измерение, анализ и оценка 

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

9.2 Internal audit

Внутренний аудит 	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

9.3 Management review

Анализ со стороны руководства 	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

10.1 Continual improvement

Непрерывное улучшение 	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

10.2 Nonconformity and corrective action

Несоответствия и корректирующие действия 	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

Annex A

Приложение А	

☐	Plan 	(P)

☐	Do 	(D)

☐	Check 	(C)

☐	Act 	(A)

}}

*Продолжительность:*

30 минут – индивидуально, подготовка;

15 минут – дискуссия и обратная связь.

h2. Упражнение 4

_*Понимание требований ISO/IEC 27001 (их корректное применение в контексте организации)*_

*Задание:*

Определите наиболее подходящий раздел для «несоответствия» в соответствии с инструкциями

{{collapse(Задание)

К каждому несоответствию выберете раздел и обоснование (Раздел или пункт устанавливает, что…)

# Организация (банк) не определила нормативные технические стандарты (RTS) строгой аутентификации клиентов (SCA) и безопасной связи в соответствии с PSD2 в рамках определения потребностей внешних заинтересованных сторон.

# Организация не вела никаких записей или другой документированной информации относительно недавнего изменения своей системы контроля доступа.

# Организация использует электронную почту как услугу, предоставляемую внешним поставщиком. Эта информация в системе не отражена.

# Организация определила три цели информационной безопасности, но не установила никаких конкретных целевых показателей или мер.

# Факторы, влияющие на требования заинтересованных сторон, таких как местные органы власти, не отслеживались и не анализировались.

# Не предоставлено объективных свидетельств компетентности лица (лиц), выполняющих работу, связанную с системой менеджмента информационной безопасностью.

# Действия по анализу со стороны руководства не выявили результатов оценки рисков и необходимости внесения изменений в систему менеджмента информационной безопасностью.

# Документ Должностная инструкция для роли менеджера по информационной безопасности не несет никакой идентификации или контроля версий.

# Организация не представила никаких свидетельств того, что она отслеживала или анализировала информацию, касающуюся внутренних и внешних факторов.

# Организация не определила планы по достижению двух из трех целей информационной безопасности.

# В организации не созданы планы обработки рисков для всех рисков, оцененных как неприемлемые (на основе критериев приемлемости риска).

# Несмотря на то, что организация ведет «Реестр рисков компании», не было предоставлено свидетельств надлежащего мониторинга и оценки действий, предпринятых для устранения рисков, включенных в реестр.

# Организация внедрила процедуры и меры по управлению криптографическими ключами, но соответствующий контроль А.8.24. исключен из Положения о применимости.

# У компании не было плана или механизмов для определения или управления компетенциями.

# В компании была высокая текучесть кадров и, как следствие, СМИБ содержала большое количество устаревших и утративших силу документов, а система внутреннего аудита отставала от графика на 4 месяца.

# Политика информационной безопасности не была доведена до сведения заинтересованных лиц внутри организации.

# Область применения системы менеджмента не принимает во внимание связи и зависимости между действиями, выполняемыми организацией, и действиями, выполняемыми другими организациями.

# Программа внутреннего аудита не определяет частоту проведения внутреннего аудита.

# Все внутренние аудиты, проводимые организацией, охватывают основные требования системы менеджмента, но не распространяются на проверку результативности применяемых средств контроля.

# Не всегда определяются причины несоответствия

# При необходимости расширения персонала организация использует внешнего подрядчика. Политика информационной безопасности и условия найма не доводятся до сведения персонала, привлеченного через подрядчика.

# Программа внутреннего аудита включала большое количество так называемых «само-аудитов», когда сотрудники должны были периодически проверять себя.

# Организация не реагирует на нарушения политики управления доступом.

# Не было никаких упоминаний о непрерывном совершенствовании в Политике информационной безопасности.

# В организации не сохранилось свидетельств обучения по информационной безопасности (в которых участвовал персонал).

}}

*Продолжительность:*

30 минут – индивидуально, подготовка;

30 минут – дискуссия и обратная связь.

h2.  Примеры проверяемых стандартов

_*императивные*_

*  ISO/IEC27001 – Требования СМИБ

*  ISO/IEC9001 – Требования СМК

*  ISO/IEC20000-1 – Требования СМC

*  ISO/IEC17021 – Требования к органам, осуществляющим аудиты и  сертификацию систем менеджмента 

*  ISO/IEC27006 – Требования к органам, осуществляющим аудиты и сертификацию систем менеджмента информационной безопасности

h2.  Пример руководящих стандартов

_*рекомендательные*_

* ISO/IEC27000 –Обзор и словарный запас;

* ISO/IEC27002 –Свод правил по мерам управления информационной безопасностью;

* ISO/IEC19011 –Руководство по аудиту систем менеджмента (общее)

* ISO/IEC27007 –Руководство по аудиту систем управления информационной безопасности

* ISO/IEC27008 –Руководство для аудиторов по проверке мер  управления информационной безопасности.

h2.  Ключевые положения пройденного занятия

ISO 27001 следует общей структуре системы менеджмента «Приложение SL»;

ISO 27001 является проверяемым стандартом;

ISO 27000 и ISO 27002 являются руководящими документами;

Включение и исключение мер управления Приложения А должно быть обосновано;

«Контекст» означает, что системы управления будут различаться по типу,  размеру, формату и сложности;

Это не только о создании документов, -процессы должны быть внедрены и  поддерживаться;

PDCA —это модель, которую можно транслировать во все процессы системы  менеджмента информационной безопасностью

-----

[[ЗАНЯТИЕ_1|<<Назад]] [[ISO_27001|В меню]] [[ЗАНЯТИЕ_3|Далее>>]]