- Содержание
- ISO/IEC 27007: руководство по аудиту СУИБ
ISO/IEC 27007: руководство по аудиту СУИБ¶
Введение¶
В теме ISO 19011 мы изучили универсальную методологию аудита систем менеджмента. В теме ISO 27001 разобрали, что именно нужно проверять в СУИБ — требования стандарта, обязательную документацию, типичные несоответствия. ISO 27007 — это связующее звено между ними: он берёт универсальные принципы ISO 19011 и конкретизирует их применительно к специфике аудита систем управления ИБ.
ISO/IEC 27007:2021 — руководство по аудиту СУИБ. Описывает, как применять методологию ISO 19011 при проверке систем менеджмента, построенных на требованиях ISO 27001. Не является самостоятельным стандартом — работает только в связке с ISO 19011 (процесс аудита) и ISO 27001 (предмет аудита).
Понимание этой тройки — ISO 19011 + ISO 27001 + ISO 27007 — даёт аудитору полный инструментарий: первый описывает как проводить аудит, второй — что проверять, третий — специфику проверки именно СУИБ.
Место ISO 27007 в семействе стандартов¶
Прежде всего важно разграничить ISO 27007 и ISO 27008 .
ISO 27007 — аудит системы менеджмента. Проверяется, существуют ли и работают ли управленческие процессы: есть ли политика ИБ, проводится ли оценка рисков, функционирует ли внутренний аудит, анализирует ли руководство состояние СУИБ. Управленческий, процессный взгляд.
ISO 27008 — оценка мер защиты. Проверяется, насколько технически корректно реализованы конкретные меры Приложения А: правильно ли настроен контроль доступа, работает ли шифрование, настроен ли SIEM. Технический, контрольный взгляд.
На практике полноценный аудит СУИБ сочетает оба подхода: ISO 27007 (система управляется?) — затем выборочно ISO 27008 (меры технически работают?). Детальная техническая оценка — тема Технический аудит и пентест.
| Стандарт | Роль при аудите СУИБ |
|---|---|
| ISO 19011 | Методологическая основа: принципы, процесс, свидетельства, компетентность |
| ISO 27001 | Предмет аудита: требования, которым должна соответствовать СУИБ |
| ISO 27007 | Специализация: как применять ISO 19011 для проверки СУИБ |
| ISO 27008 | Дополнение: техническая оценка реализации конкретных мер Приложения А |
| ISO 27006 | Требования к органам по сертификации СУИБ |
Три типа аудита СУИБ¶
ISO 27007, как и ISO 19011, различает три типа аудита в зависимости от того, кто проверяет. Это разграничение введено в теме Введение, здесь — специфика для СУИБ.
Внутренний аудит. ISO 27001 прямо требует проводить внутренние аудиты СУИБ (раздел 9.2). Выполняется сотрудниками организации, независимыми от проверяемых областей, или привлечёнными консультантами. Главные задачи: убедиться, что СУИБ функционирует как задумано, выявить несоответствия до внешней проверки. Отсутствие программы внутренних аудитов или записей об их проведении — значительное несоответствие, блокирующее сертификацию.
Аудит поставщика. Организация-заказчик проверяет поставщиков и подрядчиков, обрабатывающих её данные или имеющих доступ к её системам. ISO 27001 требует управлять рисками поставщиков (меры 5.19–5.23 Приложения А). Аудит второй стороны — один из инструментов этого управления наряду с анкетами самооценки, запросом сертификатов ISO 27001 и отчётами SOC 2.
Сертификационный аудит. Независимый орган по сертификации (CB) проверяет организацию на соответствие ISO 27001. Проходит в два этапа: Stage 1 (документарный) и Stage 2 (основной на месте). Успешное прохождение даёт сертификат сроком на три года с ежегодными инспекционными аудитами. Детально цикл сертификации рассмотрен в теме ISO 27001.
Специфика подготовки к аудиту СУИБ¶
Процесс аудита по ISO 27007 следует той же пятиэтапной модели, что описана в теме ISO 19011 (инициация → подготовка → проведение → отчёт → последующий контроль). Здесь сосредоточимся на специфике, характерной именно для аудита СУИБ.
Анализ документации до выезда¶
Аудитор СУИБ запрашивает документацию заблаговременно и анализирует её до начала выездных работ. Ключевые документы и что именно ищет аудитор в каждом из них.
| Документ | Что анализирует аудитор |
|---|---|
| Политика ИБ | Дата утверждения, подпись уполномоченного лица, полнота содержания |
| Область СУИБ | Обоснованность границ, соответствие реальной деятельности организации |
| Положение о применимости | Обоснование исключений, связь с реестром рисков, реализованность включённых мер |
| Реестр рисков | Дата последнего обновления, наличие владельцев рисков, полнота охвата активов в области |
| Отчёты предыдущих внутренних аудитов | Рецидивирующие несоответствия — области повышенного внимания |
| Записи об инцидентах | Анализ корневых причин, наличие корректирующих действий |
| Протоколы анализа со стороны руководства | Регулярность, состав участников, принятые решения |
SoA — отправная точка для аудитора. Он показывает, как организация интерпретирует требования стандарта, где сосредоточены риски и что задекларировано как реализованное. Несоответствие между SoA и реальностью — частый источник значительных несоответствий. Аудитор формирует первичный план проверки именно на основе SoA.
Построение программы аудита СУИБ¶
При составлении программы аудитор СУИБ учитывает факторы, выходящие за рамки стандартного риск-ориентированного подхода из предыдущих тем.
Изменения в СУИБ с момента последнего аудита. Внедрение новых систем, облачная миграция, смена ключевых поставщиков, реструктуризация — всё это триггеры для расширенной проверки соответствующих областей.
История инцидентов ИБ. Серьёзный инцидент — основание для целевой проверки области, где он произошёл. Аудитор проверяет не только факт инцидента, но и адекватность реакции и изменения в системе после него.
Отраслевые регуляторные требования. ГОСТ 57580 для финансовых организаций, требования ФСТЭК для ГИС и КИИ, PCI DSS для платёжных систем устанавливают дополнительные требования и минимальную периодичность проверок.
Специфика проведения аудита СУИБ¶
Что проверяется в каждом разделе ISO 27001¶
Аудитор СУИБ не проверяет разделы с одинаковой интенсивностью. Приоритеты определяются рисками и результатами предварительного анализа документации.
Раздел 4 (Контекст): обоснованность области СУИБ; учтены ли требования регуляторов и ключевых клиентов. Типичный вопрос: «Почему эти системы исключены из области?»
Раздел 5 (Лидерство): реальная, а не декларативная приверженность руководства. Свидетельства: протоколы совещаний по ИБ с участием топ-менеджмента, бюджет ИБ, интервью с руководителями бизнес-подразделений.
Раздел 6 (Планирование): наиболее богатый несоответствиями раздел. Аудитор проверяет не только наличие реестра рисков, но и работоспособность процесса: актуален ли реестр, пересматривался ли при изменениях, связаны ли меры с конкретными рисками. Цели ИБ должны быть измеримыми — не «повысить безопасность», а «снизить MTTR инцидентов до 4 часов к Q3».
Раздел 7 (Поддержка): компетентность проверяется через интервью с персоналом, а не только через наличие сертификатов; осведомлённость — через вопросы рядовым сотрудникам, а не через список прошедших обучение.
Раздел 8 (Операции): сопоставление SoA с фактическим состоянием мер — ключевая задача. Мера включена в SoA, но не реализована — значительное несоответствие.
Разделы 9–10 (Оценка и улучшение): доказательства того, что СУИБ учится. Аудитор прослеживает цепочку: инцидент → анализ → корректирующее действие → проверка эффективности. Разрыв в любом звене — потенциальное несоответствие.
Техники сбора свидетельств: специфика ИБ¶
Помимо стандартных методов (интервью, анализ документов, наблюдение — тема Методы проведения аудита), при аудите СУИБ применяются специфические техники.
Проверка связей между элементами СУИБ. Слабость многих СУИБ — разрывы между компонентами: риски идентифицированы, но меры к ним не привязаны; меры задокументированы в SoA, но не реализованы; инциденты фиксируются, но не анализируются. Аудитор целенаправленно ищет эти разрывы.
Прослеживаемость от риска до меры. Для любого значимого риска в реестре аудитор прослеживает цепочку: риск → решение об обработке → выбор меры → SoA → план реализации → свидетельство реализации → показатель эффективности. Разрыв в цепочке — потенциальное несоответствие.
Проверка записей об инцидентах. Журнал инцидентов показывает, как СУИБ работает под нагрузкой. Аудитор проверяет: классифицированы ли инциденты, проводилось ли расследование, приняты ли корректирующие меры, предотвращён ли рецидив.
Выборочная техническая проверка. Для подтверждения реализации отдельных мер Приложения А аудитор или технический эксперт проверяет конфигурации: настройки MFA в AD, параметры шифрования, правила NGFW, политики SIEM.
Интервью: уровни и вопросы¶
Интервью при аудите СУИБ охватывает несколько организационных уровней.
Высшее руководство: как получает информацию о состоянии ИБ; как принимаются инвестиционные решения; что происходит после серьёзных инцидентов. Цель — оценить реальность приверженности.
Владельцы процессов и менеджеры: как управляются изменения с точки зрения ИБ; как взаимодействуют с поставщиками; как обрабатываются инциденты в подразделении.
IT-специалисты и администраторы: как управляются права доступа; как применяются обновления; как настроен мониторинг. Здесь важно проверить соответствие практики документации.
Рядовые сотрудники: знают ли политику ИБ; что делать при подозрительном письме; куда сообщать об инцидентах. Разрыв между тем, что написано в политике, и тем, что делает персонал, — частый источник несоответствий раздела 7.3.
Несколько вопросов рядовым сотрудникам нередко дают больше информации о реальном состоянии ИБ, чем часы анализа документов. Если сотрудники не знают куда сообщать об инцидентах — процесс реагирования существует только на бумаге.
Находки, типичные для аудита СУИБ¶
Классификация находок — значительное несоответствие, незначительное несоответствие, наблюдение — та же, что описана в темах Объекты и критерии и ISO 19011. Специфика СУИБ — в содержании типичных находок.
| Тип | Типичная находка | Нарушенное требование |
|---|---|---|
| Значительное | Оценка рисков не проводилась более двух лет; реестр не обновлялся после значимых изменений инфраструктуры | ISO 27001, п. 8.2 |
| Значительное | SoA содержит исключения мер без обоснования результатами оценки рисков | ISO 27001, п. 6.1.3 |
| Значительное | Внутренние аудиты СУИБ не проводились в отчётном периоде | ISO 27001, п. 9.2 |
| Значительное | Меры, включённые в SoA как реализованные, фактически не внедрены | ISO 27001, п. 8.1 |
| Незначительное | В реестре рисков не указаны владельцы для части рисков | ISO 27001, п. 6.1.2 |
| Незначительное | Политика ИБ не пересматривалась более года при изменившихся бизнес-целях | ISO 27001, п. 5.2 |
| Незначительное | Корректирующие действия по несоответствиям задокументированы, но эффективность не проверялась | ISO 27001, п. 10.1 |
| Наблюдение | Программа повышения осведомлённости охватывает только новых сотрудников | ISO 27001, п. 7.3 |
| Наблюдение | Процесс управления рисками поставщиков формален: реальные проверки подрядчиков не проводятся | ISO 27001, меры 5.19–5.23 |
Компетентность аудиторов СУИБ¶
Требования к универсальным компетенциям аудиторов описаны в теме ISO 19011. ISO 27007 добавляет специфические требования для аудиторов СУИБ.
Нормативная база: глубокое знание ISO 27001 и 27002; применимые отраслевые стандарты (ГОСТ 57580, PCI DSS, требования ФСТЭК); законодательство в области защиты данных (152-ФЗ, GDPR).
Технические знания: архитектура систем ИБ (IAM, SIEM, DLP, IDS/IPS, PKI); управление уязвимостями и патч-менеджмент; сетевая безопасность; криптография; облачная безопасность; безопасность разработки (DevSecOps) упоминаемы в рамках курса «Основы менеджмента ИБ».
Управленческие знания: методологии оценки рисков ИБ (ISO 27005, FAIR); управление инцидентами; BCP/DRP; управление цепочкой поставок в части ИБ.
Профессиональные сертификации, подтверждающие компетентность:
| Сертификация | Организация | Фокус |
|---|---|---|
| Lead Auditor ISO/IEC 27001 | BSI, Bureau Veritas, TÜV и другие CB | Планирование и руководство аудитом СУИБ |
| CISA | ISACA | Аудит, контроль и безопасность информационных систем |
| CISM | ISACA | Управление программами ИБ |
| CISSP | ISC² | Широкий спектр компетенций в ИБ |
ISO 27007 и российская нормативная база¶
ISO 27007 не является обязательным для российских организаций, но его принципы перекликаются с отечественными требованиями к проверкам ИБ.
ГОСТ Р 57580.2 (методика оценки соответствия по ГОСТ 57580.1) построена на тех же принципах независимости, доказательности и документирования, что и ISO 27007. Различие — в предмете оценки и шкалах (балльная оценка соответствия вместо бинарного «соответствует / не соответствует»). Подробно — в теме ГОСТ 57580.
Приказы ФСТЭК №117, №21, №239 предусматривают оценку выполнения требований к защите информации, которая методологически близка к аудиту по ISO 27007 — те же принципы независимости, документирования, риск-ориентированности. Подробно — в теме Требования ФСТЭК.
Требования ЦБ РФ предписывают проверку систем защиты финансовых организаций. Аудиторы, знакомые с ISO 27007, обнаружат методологическое сходство с этими требованиями.
Что дальше¶
ISO 27001 и ISO 27007 составляют ядро международного аудита СУИБ. Следующие темы рассматривают специализированные стандарты для конкретных отраслей и регуляторных контекстов.
- Следующая тема: PCI DSS — аудит систем защиты в платёжной индустрии
- Российские требования: Требования ФСТЭК — приказы №17, №21, №239
- Финансовый сектор РФ: ГОСТ 57580 — методика оценки соответствия
- Практика: Программа, план, чек-листы — применение ISO 27007 при построении программы аудита
Список литературы и стандартов¶
- ISO/IEC 27007:2021 — руководство по аудиту СУИБ
- ISO/IEC 27008:2019 — оценка мер защиты информации
- ISO/IEC 27001:2022 — требования к СУИБ
- ISO/IEC 27006:2021 — требования к органам по сертификации СУИБ
- ISO 19011:2018 — руководство по аудиту систем менеджмента
- ГОСТ Р ИСО/МЭК 27001-2021 — российская редакция ISO 27001
- ГОСТ Р 57580.2-2018 — методика оценки соответствия ГОСТ 57580.1
- ISACA IS Audit and Assurance Guideline 2205 — Evidence
Обновлено С. Антошкин около 10 часа назад · 3 изменени(я, ий)