Аудит / Учебный курс

{{>TOC}}

h1. ISO/IEC 27007: руководство по аудиту СУИБ

h2. Введение

В теме [[ISO_19011|ISO 19011]] мы изучили универсальную методологию аудита систем менеджмента. В теме [[ISO_27001|ISO 27001]] разобрали, что именно нужно проверять в СУИБ — требования стандарта, обязательную документацию, типичные несоответствия. ISO 27007 — это связующее звено между ними: он берёт универсальные принципы ISO 19011 и конкретизирует их применительно к специфике аудита систем управления ИБ.

bq. *ISO/IEC 27007:2021* — руководство по аудиту СУИБ. Описывает, как применять методологию ISO 19011 при проверке систем менеджмента, построенных на требованиях ISO 27001. Не является самостоятельным стандартом — работает только в связке с ISO 19011 (процесс аудита) и ISO 27001 (предмет аудита).

Понимание этой тройки — ISO 19011 + ISO 27001 + ISO 27007 — даёт аудитору полный инструментарий: первый описывает *как* проводить аудит, второй — *что* проверять, третий — *специфику* проверки именно СУИБ.

---

h2. Место ISO 27007 в семействе стандартов

Прежде всего важно разграничить ISO 27007 и ISO 27008 .

!clipboard-202606031346-2tpcd.png!

*ISO 27007* — аудит *системы менеджмента*. Проверяется, существуют ли и работают ли управленческие процессы: есть ли политика ИБ, проводится ли оценка рисков, функционирует ли внутренний аудит, анализирует ли руководство состояние СУИБ. Управленческий, процессный взгляд.

*ISO 27008* — оценка *мер защиты*. Проверяется, насколько технически корректно реализованы конкретные меры Приложения А: правильно ли настроен контроль доступа, работает ли шифрование, настроен ли SIEM. Технический, контрольный взгляд.

На практике полноценный аудит СУИБ сочетает оба подхода: ISO 27007 (система управляется?) — затем выборочно ISO 27008 (меры технически работают?). Детальная техническая оценка — тема [[Технический_аудит_и_пентест|Технический аудит и пентест]].

|_.Стандарт|_.Роль при аудите СУИБ|

|ISO 19011|Методологическая основа: принципы, процесс, свидетельства, компетентность|

|ISO 27001|Предмет аудита: требования, которым должна соответствовать СУИБ|

|*ISO 27007*|Специализация: как применять ISO 19011 для проверки СУИБ|

|ISO 27008|Дополнение: техническая оценка реализации конкретных мер Приложения А|

|ISO 27006|Требования к органам по сертификации СУИБ|

---

h2. Три типа аудита СУИБ

ISO 27007, как и ISO 19011, различает три типа аудита в зависимости от того, кто проверяет. Это разграничение введено в теме [[Введение_в_аудит_ИБ|Введение]], здесь — специфика для СУИБ.

*Внутренний аудит.* ISO 27001 прямо требует проводить внутренние аудиты СУИБ (раздел 9.2). Выполняется сотрудниками организации, независимыми от проверяемых областей, или привлечёнными консультантами. Главные задачи: убедиться, что СУИБ функционирует как задумано, выявить несоответствия до внешней проверки. Отсутствие программы внутренних аудитов или записей об их проведении — значительное несоответствие, блокирующее сертификацию.

*Аудит поставщика.* Организация-заказчик проверяет поставщиков и подрядчиков, обрабатывающих её данные или имеющих доступ к её системам. ISO 27001 требует управлять рисками поставщиков (меры 5.19–5.23 Приложения А). Аудит второй стороны — один из инструментов этого управления наряду с анкетами самооценки, запросом сертификатов ISO 27001 и отчётами SOC 2.

*Сертификационный аудит.* Независимый орган по сертификации (CB) проверяет организацию на соответствие ISO 27001. Проходит в два этапа: Stage 1 (документарный) и Stage 2 (основной на месте). Успешное прохождение даёт сертификат сроком на три года с ежегодными инспекционными аудитами. Детально цикл сертификации рассмотрен в теме [[ISO_27001|ISO 27001]].

---

h2. Специфика подготовки к аудиту СУИБ

Процесс аудита по ISO 27007 следует той же пятиэтапной модели, что описана в теме [[ISO_19011|ISO 19011]] (инициация → подготовка → проведение → отчёт → последующий контроль). Здесь сосредоточимся на специфике, характерной именно для аудита СУИБ.

h3. Анализ документации до выезда

Аудитор СУИБ запрашивает документацию заблаговременно и анализирует её до начала выездных работ. Ключевые документы и что именно ищет аудитор в каждом из них.

|_.Документ|_.Что анализирует аудитор|

|Политика ИБ|Дата утверждения, подпись уполномоченного лица, полнота содержания|

|Область СУИБ|Обоснованность границ, соответствие реальной деятельности организации|

|Положение о применимости|Обоснование исключений, связь с реестром рисков, реализованность включённых мер|

|Реестр рисков|Дата последнего обновления, наличие владельцев рисков, полнота охвата активов в области|

|Отчёты предыдущих внутренних аудитов|Рецидивирующие несоответствия — области повышенного внимания|

|Записи об инцидентах|Анализ корневых причин, наличие корректирующих действий|

|Протоколы анализа со стороны руководства|Регулярность, состав участников, принятые решения|

bq. *SoA — отправная точка для аудитора.* Он показывает, как организация интерпретирует требования стандарта, где сосредоточены риски и что задекларировано как реализованное. Несоответствие между SoA и реальностью — частый источник значительных несоответствий. Аудитор формирует первичный план проверки именно на основе SoA.

h3. Построение программы аудита СУИБ

При составлении программы аудитор СУИБ учитывает факторы, выходящие за рамки стандартного [[Оценка_рисков_в_аудите|риск-ориентированного подхода]] из предыдущих тем.

*Изменения в СУИБ с момента последнего аудита.* Внедрение новых систем, облачная миграция, смена ключевых поставщиков, реструктуризация — всё это триггеры для расширенной проверки соответствующих областей.

*История инцидентов ИБ.* Серьёзный инцидент — основание для целевой проверки области, где он произошёл. Аудитор проверяет не только факт инцидента, но и адекватность реакции и изменения в системе после него.

*Отраслевые регуляторные требования.* ГОСТ 57580 для финансовых организаций, требования ФСТЭК для ГИС и КИИ, PCI DSS для платёжных систем устанавливают дополнительные требования и минимальную периодичность проверок.

---

h2. Специфика проведения аудита СУИБ

h3. Что проверяется в каждом разделе ISO 27001

Аудитор СУИБ не проверяет разделы с одинаковой интенсивностью. Приоритеты определяются рисками и результатами предварительного анализа документации.

!clipboard-202606031347-lfigk.png!

*Раздел 4 (Контекст):* обоснованность области СУИБ; учтены ли требования регуляторов и ключевых клиентов. Типичный вопрос: «Почему эти системы исключены из области?»

*Раздел 5 (Лидерство):* реальная, а не декларативная приверженность руководства. Свидетельства: протоколы совещаний по ИБ с участием топ-менеджмента, бюджет ИБ, интервью с руководителями бизнес-подразделений.

*Раздел 6 (Планирование):* наиболее богатый несоответствиями раздел. Аудитор проверяет не только наличие реестра рисков, но и работоспособность процесса: актуален ли реестр, пересматривался ли при изменениях, связаны ли меры с конкретными рисками. Цели ИБ должны быть измеримыми — не «повысить безопасность», а «снизить MTTR инцидентов до 4 часов к Q3».

*Раздел 7 (Поддержка):* компетентность проверяется через интервью с персоналом, а не только через наличие сертификатов; осведомлённость — через вопросы рядовым сотрудникам, а не через список прошедших обучение.

*Раздел 8 (Операции):* сопоставление SoA с фактическим состоянием мер — ключевая задача. Мера включена в SoA, но не реализована — значительное несоответствие.

*Разделы 9–10 (Оценка и улучшение):* доказательства того, что СУИБ учится. Аудитор прослеживает цепочку: инцидент → анализ → корректирующее действие → проверка эффективности. Разрыв в любом звене — потенциальное несоответствие.

h3. Техники сбора свидетельств: специфика ИБ

Помимо стандартных методов (интервью, анализ документов, наблюдение — тема [[Аудит_безопасности_и_методы_его_проведения|Методы проведения аудита]]), при аудите СУИБ применяются специфические техники.

*Проверка связей между элементами СУИБ.* Слабость многих СУИБ — разрывы между компонентами: риски идентифицированы, но меры к ним не привязаны; меры задокументированы в SoA, но не реализованы; инциденты фиксируются, но не анализируются. Аудитор целенаправленно ищет эти разрывы.

*Прослеживаемость от риска до меры.* Для любого значимого риска в реестре аудитор прослеживает цепочку: риск → решение об обработке → выбор меры → SoA → план реализации → свидетельство реализации → показатель эффективности. Разрыв в цепочке — потенциальное несоответствие.

*Проверка записей об инцидентах.* Журнал инцидентов показывает, как СУИБ работает под нагрузкой. Аудитор проверяет: классифицированы ли инциденты, проводилось ли расследование, приняты ли корректирующие меры, предотвращён ли рецидив.

*Выборочная техническая проверка.* Для подтверждения реализации отдельных мер Приложения А аудитор или технический эксперт проверяет конфигурации: настройки MFA в AD, параметры шифрования, правила NGFW, политики SIEM.

h3. Интервью: уровни и вопросы

Интервью при аудите СУИБ охватывает несколько организационных уровней.

*Высшее руководство:* как получает информацию о состоянии ИБ; как принимаются инвестиционные решения; что происходит после серьёзных инцидентов. Цель — оценить реальность приверженности.

*Владельцы процессов и менеджеры:* как управляются изменения с точки зрения ИБ; как взаимодействуют с поставщиками; как обрабатываются инциденты в подразделении.

*IT-специалисты и администраторы:* как управляются права доступа; как применяются обновления; как настроен мониторинг. Здесь важно проверить соответствие практики документации.

*Рядовые сотрудники:* знают ли политику ИБ; что делать при подозрительном письме; куда сообщать об инцидентах. Разрыв между тем, что написано в политике, и тем, что делает персонал, — частый источник несоответствий раздела 7.3.

bq. Несколько вопросов рядовым сотрудникам нередко дают больше информации о реальном состоянии ИБ, чем часы анализа документов. Если сотрудники не знают куда сообщать об инцидентах — процесс реагирования существует только на бумаге.

---

h2. Находки, типичные для аудита СУИБ

Классификация находок — значительное несоответствие, незначительное несоответствие, наблюдение — та же, что описана в темах [[Объекты_и_критерии_аудита|Объекты и критерии]] и [[ISO_19011|ISO 19011]]. Специфика СУИБ — в содержании типичных находок.

|_.Тип|_.Типичная находка|_.Нарушенное требование|

|Значительное|Оценка рисков не проводилась более двух лет; реестр не обновлялся после значимых изменений инфраструктуры|ISO 27001, п. 8.2|

|Значительное|SoA содержит исключения мер без обоснования результатами оценки рисков|ISO 27001, п. 6.1.3|

|Значительное|Внутренние аудиты СУИБ не проводились в отчётном периоде|ISO 27001, п. 9.2|

|Значительное|Меры, включённые в SoA как реализованные, фактически не внедрены|ISO 27001, п. 8.1|

|Незначительное|В реестре рисков не указаны владельцы для части рисков|ISO 27001, п. 6.1.2|

|Незначительное|Политика ИБ не пересматривалась более года при изменившихся бизнес-целях|ISO 27001, п. 5.2|

|Незначительное|Корректирующие действия по несоответствиям задокументированы, но эффективность не проверялась|ISO 27001, п. 10.1|

|Наблюдение|Программа повышения осведомлённости охватывает только новых сотрудников|ISO 27001, п. 7.3|

|Наблюдение|Процесс управления рисками поставщиков формален: реальные проверки подрядчиков не проводятся|ISO 27001, меры 5.19–5.23|

---

h2. Компетентность аудиторов СУИБ

Требования к универсальным компетенциям аудиторов описаны в теме [[ISO_19011|ISO 19011]]. ISO 27007 добавляет специфические требования для аудиторов СУИБ.

*Нормативная база:* глубокое знание ISO 27001 и 27002; применимые отраслевые стандарты (ГОСТ 57580, PCI DSS, требования ФСТЭК); законодательство в области защиты данных (152-ФЗ, GDPR).

*Технические знания:* архитектура систем ИБ (IAM, SIEM, DLP, IDS/IPS, PKI); управление уязвимостями и патч-менеджмент; сетевая безопасность; криптография; облачная безопасность; безопасность разработки (DevSecOps) упоминаемы в рамках курса [[uib:Программно-технические меры обеспечения информационной безопасности|«Основы менеджмента ИБ»]].

*Управленческие знания:* методологии оценки рисков ИБ (ISO 27005, FAIR(Factor Analysis of Information Risk)); управление инцидентами; BCP(Business Continuity Plan)/DRP(Disaster Recovery Plan); управление цепочкой поставок в части ИБ.

Профессиональные сертификации, подтверждающие компетентность:

|_.Сертификация|_.Организация|_.Фокус|

|Lead Auditor ISO/IEC 27001|BSI, Bureau Veritas, TÜV и другие CB|Планирование и руководство аудитом СУИБ|

|CISA(Certified Information Systems Auditor)|ISACA|Аудит, контроль и безопасность информационных систем|

|CISM(Certified Information Security Manager)|ISACA|Управление программами ИБ|

|CISSP(Certified Information Systems Security Professional)|ISC²|Широкий спектр компетенций в ИБ|

---

h2. ISO 27007 и российская нормативная база

ISO 27007 не является обязательным для российских организаций, но его принципы перекликаются с отечественными требованиями к проверкам ИБ.

*ГОСТ Р 57580.2* (методика оценки соответствия по ГОСТ 57580.1) построена на тех же принципах независимости, доказательности и документирования, что и ISO 27007. Различие — в предмете оценки и шкалах (балльная оценка соответствия вместо бинарного «соответствует / не соответствует»). Подробно — в теме [[ГОСТ_57580|ГОСТ 57580]].

*Приказы ФСТЭК №117, №21, №239* предусматривают оценку выполнения требований к защите информации, которая методологически близка к аудиту по ISO 27007 — те же принципы независимости, документирования, риск-ориентированности. Подробно — в теме [[Требования_ФСТЭК|Требования ФСТЭК]].

*Требования ЦБ РФ* предписывают проверку систем защиты финансовых организаций. Аудиторы, знакомые с ISO 27007, обнаружат методологическое сходство с этими требованиями.

---

h2. Что дальше

ISO 27001 и ISO 27007 составляют ядро международного аудита СУИБ. Следующие темы рассматривают специализированные стандарты для конкретных отраслей и регуляторных контекстов.

* *Следующая тема:* [[PCI_DSS|PCI DSS]] — аудит систем защиты в платёжной индустрии

* *Российские требования:* [[Требования_ФСТЭК|Требования ФСТЭК]] — приказы №17, №21, №239

* *Финансовый сектор РФ:* [[ГОСТ_57580|ГОСТ 57580]] — методика оценки соответствия

* *Практика:* [[Практика_аудита|Программа, план, чек-листы]] — применение ISO 27007 при построении программы аудита

---

h2. Список литературы и стандартов

* "ISO/IEC 27007:2021":https://www.iso.org/standard/77802.html — руководство по аудиту СУИБ

* "ISO/IEC 27008:2019":https://www.iso.org/standard/67397.html — оценка мер защиты информации

* "ISO/IEC 27001:2022":https://www.iso.org/standard/27001.html — требования к СУИБ

* "ISO/IEC 27006:2021":https://www.iso.org/standard/77808.html — требования к органам по сертификации СУИБ

* "ISO 19011:2018":https://www.iso.org/standard/70017.html — руководство по аудиту систем менеджмента

* ГОСТ Р ИСО/МЭК 27001-2021 — российская редакция ISO 27001

* ГОСТ Р 57580.2-2018 — методика оценки соответствия ГОСТ 57580.1

* "ISACA IS Audit and Assurance Guideline 2205 — Evidence":https://www.isaca.org/resources