Аудит / Учебный курс

h1. ISO/IEC 27007 — Руководство по аудиту систем менеджмента информационной безопасности

{{>TOC}}

---

h2. Что такое ISO/IEC 27007

ISO/IEC 27007 — это стандарт, который объясняет, *как* проводить аудит системы менеджмента информационной безопасности (СМИБ), построенной в соответствии с ISO/IEC 27001. Если ISO 27001 отвечает на вопрос «что должна делать СМИБ», то 27007 отвечает на вопрос «как проверить, что она это действительно делает».

По своей сути стандарт является специализированным применением [[ISO_19011]] к области информационной безопасности. Он не изобретает методологию аудита заново, а берёт универсальные принципы ISO 19011 и конкретизирует их: чему уделять особое внимание при проверке СМИБ, какие свидетельства собирать, какова специфика компетентности аудиторов ИБ, как управлять программой аудита для систем, управляющих рисками безопасности.

bq. Текущая версия — *ISO/IEC 27007:2020* (третья редакция). Стандарт разработан подкомитетом SC 27 технического комитета ISO/IEC JTC 1.

---

h2. Место в семействе стандартов ISO/IEC 27000

!clipboard-202606031346-2tpcd.png!

Семейство стандартов 27000 насчитывает несколько десятков документов. Для понимания роли 27007 важны следующие:

|_.Стандарт|_.Роль|_.Связь с 27007|

|*ISO/IEC 27001*|Требования к СМИБ — что должна делать система|Объект аудита: 27007 проверяет соответствие именно этому стандарту|

|*ISO/IEC 27002*|Руководство по реализации мер ИБ (Приложение А к 27001)|Справочник мер: аудитор использует 27002 для понимания, как правильно реализуется конкретная мера|

|*ISO/IEC 27005*|Управление рисками ИБ|Аудитор проверяет процесс оценки рисков по 27001; 27005 помогает оценить его корректность|

|*ISO/IEC 27006*|Требования к органам по сертификации СМИБ|Устанавливает правила для организаций, выдающих сертификаты по итогам 27007-аудита|

|*ISO/IEC 27008*|Руководство по аудиту мер защиты информации|Дополняет 27007: если 27007 проверяет СМИБ как систему менеджмента, то 27008 фокусируется на технической реализации конкретных мер|

|*ISO 19011*|Универсальное руководство по аудиту систем менеджмента|Методологическая основа: 27007 опирается на принципы, процессы и терминологию ISO 19011|

h3. 27007 против 27008: в чём разница

Это наиболее частый вопрос при знакомстве со стандартом.

*ISO/IEC 27007* — аудит *системы менеджмента*. Проверяется, существуют ли и работают ли процессы: есть ли политика ИБ, утверждена ли руководством, проводится ли оценка рисков, собирается ли программа внутренних аудитов, анализирует ли руководство данные о работе СМИБ. Это управленческий, процессный взгляд.

*ISO/IEC 27008* — аудит *мер защиты*. Проверяется, насколько корректно технически реализованы конкретные меры из Приложения А: правильно ли настроен контроль доступа, работает ли шифрование, настроен ли SIEM. Это технический, контрольный взгляд.

На практике полноценный аудит СМИБ сочетает оба подхода: сначала 27007 (система управляется?), затем выборочно 27008 (меры технически работают?).

---

h2. Три типа аудита СМИБ

!clipboard-202606031346-sxfn3.png!

ISO/IEC 27007, вслед за ISO 19011, различает три типа аудита в зависимости от того, кто кого проверяет.

h3. Аудит первой стороны — внутренний

Организация проверяет саму себя. ISO 27001 прямо требует проводить внутренние аудиты СМИБ с регулярностью, определённой программой аудита (требование 9.2).

Внутренний аудит выполняется либо сотрудниками самой организации (при условии независимости от проверяемой области), либо приглашёнными консультантами. Его главные задачи — убедиться, что СМИБ функционирует как задумано, выявить несоответствия до внешней проверки и поддержать культуру непрерывного совершенствования.

bq. *Принцип независимости* здесь особенно важен: аудитор не должен проверять область, за которую он сам несёт ответственность. Если организация небольшая и нет возможности обеспечить независимость внутренними силами — привлекают внешнего аудитора.

h3. Аудит второй стороны — аудит поставщика

Организация-заказчик проверяет своего поставщика или подрядчика. Актуально при передаче на аутсорс функций, связанных с обработкой персональных данных, облачного хранения, разработки ПО, обслуживания инфраструктуры.

ISO 27001 в разделе 8.1 и в мерах A.5.19–A.5.23 требует управлять рисками, связанными с поставщиками, в том числе проверять их. Аудит второй стороны — один из инструментов такой проверки наряду с анкетами самооценки, запросом сертификатов и анализом отчётов SOC 2.

h3. Аудит третьей стороны — сертификационный

Независимый орган по сертификации (Certification Body, CB) проверяет организацию на соответствие ISO 27001. Успешное прохождение завершается выдачей *сертификата*, подтверждающего соответствие.

Сертификационный аудит состоит из двух стадий:

* *Stage 1* (документарный) — аудитор изучает документацию СМИБ и оценивает готовность организации к полноценной проверке; формирует план Stage 2.

* *Stage 2* (основной) — проверка реальной работы СМИБ на месте, сбор свидетельств по всем разделам ISO 27001 и Приложению А.

После выдачи сертификата (срок действия — 3 года) ежегодно проводятся *инспекционные аудиты* для подтверждения, что система по-прежнему соответствует требованиям. По истечении трёх лет — *ресертификационный аудит*.

---

h2. Область аудита СМИБ

!clipboard-202606031347-lfigk.png!

ISO 27001 организован по структуре высокого уровня (HLS — High Level Structure), общей для всех стандартов на системы менеджмента. Аудитор по 27007 проверяет все разделы этой структуры.

h3. Разделы ISO 27001 как объект проверки

*Раздел 4 — Контекст организации*. Аудитор проверяет, определила ли организация внутренние и внешние факторы, влияющие на ИБ; идентифицированы ли заинтересованные стороны и их требования; корректно ли определена область СМИБ. Типичные вопросы: «Покажите, как вы определяли область СМИБ. Почему исключили вот эти системы?»

*Раздел 5 — Лидерство*. Проверяется, демонстрирует ли высшее руководство реальную приверженность СМИБ: утверждена ли политика ИБ, распределены ли роли, ответственности и полномочия. Политика должна быть не просто подписана — она должна быть доведена до сотрудников и реально определять поведение организации. Свидетельства: подпись руководителя, дата утверждения, записи о доведении, протоколы совещаний.

*Раздел 6 — Планирование*. Ключевой раздел: здесь живёт оценка рисков и обработка рисков. Аудитор проверяет, существует ли задокументированная методика оценки рисков, применяется ли она системно, есть ли реестр рисков с указанием владельцев, обоснован ли выбор мер для обработки рисков. Цели ИБ должны быть измеримыми и связанными с рисками — не «повысить безопасность», а «снизить время реагирования на инциденты до 4 часов к Q3».

*Раздел 7 — Поддержка*. Ресурсы (людские, технические, финансовые), компетентность персонала, осведомлённость в области ИБ, управление документацией. Аудитор смотрит на записи об обучении, результаты тестов осведомлённости, актуальность документов СМИБ, порядок управления версиями.

*Раздел 8 — Операции*. Реализация планов по обработке рисков, выполнение задокументированных процессов, управление изменениями. Здесь же — проверка реализации мер Приложения А: аудитор сопоставляет «Положение о применимости» (SoA) с реальным состоянием мер.

*Разделы 9–10 — Оценка и улучшение*. Мониторинг и измерение эффективности СМИБ, результаты внутренних аудитов, анализ со стороны руководства, работа с несоответствиями и корректирующими действиями. Хорошая СМИБ имеет доказательства того, что она учится на своих ошибках.

h3. Приложение А — меры ИБ

Приложение А к ISO 27001:2022 содержит *93 меры*, сгруппированных в 4 тематических раздела:

|_.Группа|_.Количество мер|_.Примеры|

|Организационные меры|37|Политики ИБ, управление рисками, управление активами, отношения с поставщиками|

|Меры, связанные с людьми|8|Проверка персонала, обучение, дисциплинарный процесс|

|Физические меры|14|Физическая защита периметра, защита оборудования, политика чистого стола|

|Технологические меры|34|Управление доступом, криптография, защита сети, мониторинг, реагирование на инциденты|

В ходе аудита аудитор не проверяет все 93 меры исчерпывающим образом. Он работает с *«Положением о применимости» (Statement of Applicability, SoA)* — документом, в котором организация перечисляет все меры, указывает, применимы ли они, и если да — реализованы ли. Для мер, признанных неприменимыми, должно быть обоснование.

bq. *«Положение о применимости» (SoA)* — один из важнейших документов СМИБ. Аудитор начинает работу с его изучения: он позволяет понять, как организация интерпретирует требования стандарта и где сосредоточены риски.

---

h2. Процесс аудита СМИБ по ISO/IEC 27007

ISO/IEC 27007 следует той же пятиэтапной модели, что и ISO 19011 (инициация — подготовка — проведение — анализ и отчёт — последующий контроль), добавляя специфику СМИБ.

h3. Инициация и планирование

На этом этапе формируется *программа аудита СМИБ*. При её составлении аудитор учитывает:

* результаты предыдущих аудитов (рецидивирующие несоответствия требуют повышенного внимания);

* изменения в СМИБ — внедрение новых систем, смена поставщиков, реструктуризация;

* уровень риска — процессы с высоким остаточным риском аудируются чаще;

* требования регуляторов — некоторые отраслевые нормы (ГОСТ Р 57580, PCI DSS) устанавливают минимальную периодичность аудитов.

Для сертификационного аудита программа дополнительно включает планирование стадий Stage 1 и Stage 2, а также инспекционных аудитов на весь трёхлетний цикл.

h3. Подготовка: специфика ИБ-аудита

В дополнение к стандартной подготовке по ISO 19011 аудитор СМИБ:

*Изучает контекст организации и область СМИБ*. Важно понять, какие активы, процессы и подразделения входят в область, какие угрозы актуальны для данной отрасли. Финансовая организация и промышленное предприятие имеют разный профиль рисков — аудиторские вопросы будут разными.

*Запрашивает и анализирует ключевые документы СМИБ*:

* Политика ИБ и область СМИБ;

* Методика оценки рисков и реестр рисков;

* «Положение о применимости» (SoA);

* Планы обработки рисков;

* Отчёты предыдущих внутренних аудитов;

* Записи об инцидентах и корректирующих действиях;

* Результаты последнего анализа со стороны руководства.

*Составляет опросные листы* с привязкой к конкретным требованиям ISO 27001. Каждый вопрос содержит: номер требования, формулировку вопроса, ожидаемые свидетельства и поле для вывода аудитора.

Пример опросного листа для раздела 6.1 (Оценка рисков):

|_.Требование|_.Вопрос|_.Ожидаемое свидетельство|_.Вывод|

|ISO 27001 6.1.2|Как определяются критерии принятия рисков?|Задокументированная методика с порогами|...|

|ISO 27001 6.1.2|Кто является владельцем рисков?|Реестр рисков с указанием владельцев|...|

|ISO 27001 6.1.3|Как выбираются меры для обработки рисков?|Связь реестра рисков с SoA|...|

|ISO 27001 6.1.3|Получено ли принятие остаточного риска руководством?|Подписанный документ о принятии риска|...|

h3. Проведение: техники сбора свидетельств

Помимо стандартных техник (интервью, анализ документов, наблюдение), при аудите СМИБ широко применяются:

*Технические проверки*. Аудитор или привлечённый технический эксперт проверяет конфигурации средств защиты, параметры доступа, настройки шифрования, логи SIEM. Важно: технические проверки дают свидетельства о реальном состоянии мер, которые документы могут не отражать.

*Проверка записей об инцидентах*. Журнал инцидентов — ценный источник информации о том, как СМИБ работает под нагрузкой. Аудитор изучает: были ли инциденты классифицированы, проводилось ли расследование, приняты ли корректирующие меры, предотвращён ли рецидив.

*Проверка результатов оценки рисков*. Не просто «есть ли реестр рисков», а «работает ли процесс»: актуален ли реестр, пересматривался ли при изменениях, соответствуют ли меры заявленному уровню риска.

*Анализ ключевых показателей эффективности ИБ (KPI)*. ISO 27001 требует мониторинга и измерения эффективности СМИБ. Аудитор проверяет, какие метрики собираются, как они анализируются и используются для принятия управленческих решений.

h3. Специфика интервью при аудите СМИБ

Интервью при ИБ-аудите охватывает несколько уровней:

*Руководство*. Вопросы о стратегической приверженности: как руководство получает информацию о состоянии ИБ, как принимаются решения об инвестициях в ИБ, что происходит после серьёзных инцидентов.

*Владельцы процессов и менеджеры*. Вопросы об операционной работе с рисками: как управляют изменениями с точки зрения ИБ, как взаимодействуют с поставщиками, как обрабатываются инциденты.

*Рядовые сотрудники*. Вопросы об осведомлённости: знают ли они политику ИБ, что делать при подозрительном письме, куда сообщать об инцидентах. Разрыв между тем, что написано в политике, и тем, что делает персонал, — частый источник несоответствий.

*ИТ-специалисты и администраторы*. Технические вопросы: как управляются права доступа, как применяются обновления, как настроен мониторинг.

h3. Анализ, выводы и отчёт

Аудитор СМИБ классифицирует находки так же, как описано в [[ISO_19011]]:

* *Существенное несоответствие (Major NC)* — системное невыполнение требования. Блокирует выдачу или сохранение сертификата.

* *Незначительное несоответствие (Minor NC)* — единичное отклонение. Требует корректирующих действий, но не блокирует сертификацию.

* *Наблюдение (Observation)* — потенциальный риск или возможность улучшения.

Примеры несоответствий, типичных именно для СМИБ:

|_.Тип|_.Пример несоответствия|_.Нарушенное требование|

|Major|Оценка рисков не проводилась более двух лет; реестр рисков не актуализировался после значительных изменений инфраструктуры|ISO 27001 п. 8.2|

|Major|SoA не содержит обоснования для 12 исключённых мер Приложения А|ISO 27001 п. 6.1.3|

|Major|Внутренние аудиты СМИБ не проводились в отчётном периоде|ISO 27001 п. 9.2|

|Minor|В реестре рисков не указаны владельцы для 3 из 47 рисков|ISO 27001 п. 6.1.2|

|Minor|Политика ИБ не пересматривалась более года, хотя изменились бизнес-цели|ISO 27001 п. 5.2|

|Observation|Программа повышения осведомлённости охватывает только новых сотрудников; обучение для действующего персонала не проводится|ISO 27001 п. 7.3|

---

h2. Компетентность аудиторов СМИБ

Аудиторы СМИБ должны обладать компетентностью в двух измерениях: общей методологии аудита (из ISO 19011) и специальными знаниями в области ИБ.

h3. Специальные знания для аудитора СМИБ

*Нормативная база*:

* ISO/IEC 27001 и 27002 — глубокое знание требований и мер;

* смежные стандарты семейства 27000, применимые к области аудита;

* отраслевые требования: ГОСТ Р 57580 (финансовые организации), PCI DSS (платёжная индустрия), HIPAA (здравоохранение) и т. д.;

* законодательство о защите персональных данных (GDPR, ФЗ-152).

*Технические знания*:

* архитектура систем ИБ: IAM, PKI, SIEM, DLP, IDS/IPS, WAF;

* управление уязвимостями и патч-менеджмент;

* сетевая безопасность и сегментация;

* криптография и управление ключами;

* облачная безопасность (модели ответственности CSP);

* безопасность при разработке ПО (SDLC, DevSecOps).

*Управленческие знания*:

* методики оценки рисков ИБ (ISO 27005, FAIR, OCTAVE);

* бизнес-непрерывность и восстановление после катастроф;

* управление инцидентами;

* управление взаимоотношениями с поставщиками в части ИБ.

h3. Профессиональные сертификации

Для подтверждения компетентности аудиторов СМИБ существуют признанные сертификации:

|_.Сертификация|_.Организация|_.Что подтверждает|

|*Lead Auditor ISO/IEC 27001*|BSI, Bureau Veritas, TÜV и др.|Умение планировать и руководить аудитом СМИБ|

|*CISA* (Certified Information Systems Auditor)|ISACA|Аудит, контроль и безопасность информационных систем|

|*CISSP*|ISC²|Широкий спектр компетенций в области ИБ|

|*CISM* (Certified Information Security Manager)|ISACA|Управление программами ИБ|

bq. Сертификация Lead Auditor ISO/IEC 27001 — наиболее прямой путь подтверждения компетентности именно для целей проведения аудитов СМИБ. Курс, как правило, занимает 5 дней и включает практические упражнения и экзамен.

---

h2. Управление программой аудита СМИБ

Программа аудита СМИБ — это не просто расписание проверок. Она должна быть *риск-ориентированной*: частота и глубина аудита каждой области определяется её рискованностью и историей несоответствий.

h3. Факторы, влияющие на программу

* *Размер и сложность СМИБ*. Крупные организации с разветвлённой инфраструктурой требуют более частых и разбитых по тематическим блокам аудитов.

* *Результаты предыдущих аудитов*. Области с рецидивирующими несоответствиями включаются в следующий аудит в приоритетном порядке.

* *Существенные изменения*. Внедрение новых систем, облачная миграция, смена поставщиков, слияния и поглощения, изменения в законодательстве — всё это триггеры для внепланового или расширенного аудита.

* *Инциденты ИБ*. Серьёзный инцидент — основание для целевого аудита области, в которой он произошёл.

* *Регуляторные требования*. Ряд нормативных актов устанавливает минимальную периодичность аудитов; программа СМИБ должна это учитывать.

h3. Цикл сертификационного аудита

Для организаций, проходящих сертификацию ISO 27001, программа аудита подчиняется трёхлетнему циклу:

|_.Год|_.Событие|_.Объём|

|Год 1|Stage 1 (документарный) + Stage 2 (основной)|Полная СМИБ|

|Год 2|Инспекционный аудит 1|Выборочно, ~1/3 области|

|Год 3|Инспекционный аудит 2|Выборочно, акцент на находках|

|Год 4|Ресертификационный аудит|Полная СМИБ|

Орган по сертификации сам формирует план инспекционных аудитов так, чтобы за три года была охвачена вся область СМИБ.

---

h2. Практические советы для начинающих аудиторов СМИБ

Несколько наблюдений, которые помогают провести аудит качественно.

*Не путайте наличие документа с работой процесса.* Политика ИБ, подписанная два года назад и убранная в папку, — не работающая политика. Аудитор должен видеть, что документ живёт: пересматривается, доводится до сотрудников, на него ссылаются при принятии решений.

*Начинайте с SoA.* «Положение о применимости» — карта местности для аудитора. Оно показывает, какие меры организация считает применимыми и как обосновывает исключения. Несоответствие между SoA и реальностью — частый источник существенных несоответствий.

*Проверяйте связи, а не только факты.* Слабость многих СМИБ — разрывы между элементами: риски идентифицированы, но меры к ним не привязаны; меры задокументированы, но не связаны с рисками; инциденты фиксируются, но не анализируются на предмет системных причин. Ищите эти разрывы.

*Задавайте вопрос «а что было потом?»* Реестр рисков есть — а когда он последний раз пересматривался? Инцидент был — а что изменилось в системе после него? Корректирующее действие запланировано — а проверялась ли его эффективность? Этот вопрос мгновенно выявляет, работает ли система или существует только на бумаге.

*Не забывайте про осведомлённость персонала.* Технически идеально настроенная СМИБ рушится, если сотрудники не знают, что делать с подозрительным письмом или случайно увиденными чужими данными. Несколько вопросов рядовым сотрудникам часто дают больше информации о реальном состоянии ИБ, чем анализ документов.

---

h2. Связь с практикой: 27007 и российское регулирование

Российские организации, работающие с международными партнёрами или проходящие сертификацию по ISO 27001, напрямую используют ISO/IEC 27007. Кроме того, принципы, заложенные в стандарте, во многом перекликаются с отечественной нормативной базой:

* *ГОСТ Р 57580.2* (методика оценки соответствия по ГОСТ Р 57580.1) построен на тех же принципах независимости, доказательности и документирования, что и ISO/IEC 27007. Разница — в предмете оценки и форме шкал оценки.

* *Приказы ФСТЭК* (№ 117, 21, 31, 239) предусматривают оценку выполнения требований к защите информации, которая по своей сути является аудитом, аналогичным описанному в 27007.

* *Требования ЦБ РФ* (Положения 683-П, 757-П и др.) предписывают проверку систем защиты информации финансовых организаций — методологически близкую к подходу ISO/IEC 27007.

---

h2. См. также

* [[ISO_19011]] — методологическая основа: принципы аудита, жизненный цикл, свидетельства, компетентность аудиторов

* [[ISO_IEC_27001]] — объект аудита: требования к СМИБ

* [[ГОСТ_57580]] — российский стандарт ИБ финансовых организаций; ГОСТ Р 57580.2 — его методика оценки соответствия

* [[PCI_DSS]] — стандарт ИБ платёжных карт; QSA-аудит использует аналогичные принципы сбора свидетельств