ДСТУ ISO/IEC 27006:2015 Информационные технологии. Методы защиты. Требования к органам, предоставляющим услуги аудита и сертификации систем управления инфомационной безопасностью (ISO/IEC 27006:2015, IDT)

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ Інформаційні технології

МЕТОДИ ЗАХИСТУ
Вимоги до органів, які надають послуги з аудиту і сертифікації систем управління інформаційною безпекою

(ІSО/ІЕС 27006:2015, IDТ)
ДСТУ ІSО/ІЕС 27006:2015

Київ
   
(ДП «УкрНДНЦ»)
2016

ПЕРЕДМОВА

1 ВНЕСЕНО: Технічний комітет стандартизації «Інформаційні технології» (ТК 20) за участю Технічного комітету стандартизації «Банківські та фінансові системи і технології» (ТК 105), Міжнародний науково-навчальний центр інформаційних технологій та систем НАН України та Міносвіти і науки України

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: І. Івченко, канд. фіз.-мат. наук; М. Карнаух; Т. Тищенко

2 НАДАНО ЧИННОСТІ: наказ    
(ДП «УкрНДНЦ») від 18 грудня 2015 р. № 193 з 2017-01-01

3 Національний стандарт відповідає ISO/IEC 27006:2015 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems (Інформаційні технології. Методи захисту. Вимоги до органів, які надають послуги з аудиту і сертифікації систем управління інформаційною безпекою)

Ступінь відповідності — ідентичний (IDТ)

Переклад з англійської (en)

4 НА ЗАМІНУ ДСТУ ISO/IEC 27006:2014

ЗМІСТ

Національний вступ

Вступ до ІSО/ІЕС 27006:2015

1 Сфера застосування

2 Нормативні посилання

3 Терміни та визначення понять

4 Принципи

5 Загальні вимоги

5.1 Законодавчі та контрактні питання

5.2 Управління неупередженістю

5.3 Зобов’язання та фінансування

6 Структурні вимоги

7 Вимоги до ресурсів

7.1 Компетентність персоналу

7.2 Персонал, залучений до сертифікаційної діяльності

7.3 Залучення індивідуальних зовнішніх аудиторів та зовнішніх технічних експертів

7.4 Записи персоналу

7.5 Аутсорсинг

8 Вимоги до інформації

8.1 Публічна інформація

8.2 Документи щодо сертифікації

8.3 Посилання на сертифікати та використання торгових знаків

8.4 Конфіденційність

8.5 Обмін інформацією між органом сертифікації та його клієнтами

9 Вимоги до процесу

9.1 Діяльність перед сертифікацією

9.2 Планування аудитів

9.3 Первинна сертифікація

9.4 Здійснення аудитів

9.5 Рішення з сертифікації

9.6 Підтримка сертифікації

9.7 Апеляції

9.8 Скарги

9.9 Записи клієнтів

10 Вимоги до системи управління органу сертифікації

10.1 Опції

10.2 Опція А: Загальні вимоги до системи управління

10.3 Опція В: Вимоги до системи управління згідно з ІSО 9001

Додаток А Знання й досвід для аудиту та сертифікації СУІБ

А.1 Огляд 13

А.2 Загальний розгляд компетентності

A.3 Розгляд специфічних знань і досвіду

Додаток В Тривалість аудиту

B.1 Вступ

В.2 Концепції

В.3 Процедура визначення тривалості аудиту для первинного аудиту

В.4 Тривалість аудиту для наглядових аудитів

В.5 Тривалість аудиту для аудиту повторної сертифікації

B.6 Тривалість аудиту для розгалуженої структури клієнта

Додаток С Методи для розрахування тривалості аудиту

C.1 Загальні положення

С.2 Класифікація чинників для розрахування тривалості аудиту

С.3 Приклад розрахування тривалості аудиту

Додаток D Настанова для перегляду впроваджених ІSО/ІЕС 27001:2013

Додаток А . Заходи безпеки

D.1 Ціл

D.2 Як використовувати таблицю D.1

Бібліографія

Додаток НА Перелік національних стандартів України, ідентичних з міжнародними стандартами, посилання на які є в цьому стандарті

НАЦІОНАЛЬНИЙ ВСТУП

Цей національний стандарт ДСТУ ISO/IEC 27006:2015 «Інформаційні технології. Методи захисту. Вимоги до органів, які надають послуги з аудиту і сертифікації систем управління інформаційною безпекою», прийнятий методом «перекладу», — ідентичний щодо ISO/IEC 27006:2015 «Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems».

Технічний комітет стандартизації, відповідальний за цей стандарт в Україні, — ТК 105 «Банківські та фінансові системи і технології».

У цьому національному стандарті зазначено вимоги, які відповідають законодавству України.

До стандарту внесено такі редакційні зміни:

— слова «цей міжнародний стандарт», «ISO/IEC 27006», «цей документ» замінено на «цей стандарт»;

— вилучено «Передмову» до ISO/IEC 27006:2015 як таку, що безпосередньо не стосується тематики цього стандарту;

— структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;

— у розділах «Нормативні посилання» та «Бібліографія» наведено «Національні пояснення», виділені рамкою;

— долучено довідковий національний додаток НА (Перелік національних стандартів України, ідентичних з міжнародними стандартами, посилання на які є в цьому стандарті).

У цьому стандарті є посилання на міжнародний стандарт ISO/IEC 27000, який прийнято як ДСТУ ISO/IEC 27000:2015 Інформаційнй технології. Методи захисту. Система управління інформаційною безпекою. Огляд і словник (ISO/IEC 27000:2014, IDТ).

Копії нормативних документів, на які є посилання в цьому стандарті, можна отримати в Національному фонді нормативних документів.

ВСТУП до ISO/IEC 27006:2015

ISO/IEC 17021-1 встановлює критерії для організацій, які виконують аудит і сертифікацію систем управління. Якщо такі організації є акредитованими як відповідні ISO/IEC 17021-1 і мають за мету виконувати аудит і сертифікацію систем управління інформаційною безпекою (СУІБ) згідно з ISO/IEC 27001:2013, необхідні деякі додаткові вимоги та настанови до ISO/IEC 17021-1. Це забезпечує цей стандарт.

Текст цього стандарту наслідує структуру ISO/IEC 17021-1 і додаткові вимоги, специфічні для СУІБ, та настанови щодо використання ISO/IEC 17021-1 для сертифікації СУІБ, ідентифіковані літерами «IS».

Термін «shall» (повинен), який використовують у тексті цього стандарту, вказує на ті вимоги, які відображають вимоги ISO/IEC 17021-1 та ISO/IEC 27001 і є обов’язковими до виконання. Термін «should» (треба) використовують для показу рекомендацій.

Основною метою цього стандарту є надання можливості організаціям з акредитації ефективніше гармонізувати застосування ними стандартів, на виконання вимог яких вони повинні оцінювати органи сертифікації.

Всюди в цьому стандарті терміни «management system» (система управління) та «system» (система) застосовують як взаємозамінні. Визначення терміна «система управління» можна знайти в ISO 9000:2005. Система управління, яку використовують у цьому стандарті, не конфліктує з іншими типами систем, таких як ІТ-системи.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ
Вимоги до органів, які надають послуги з аудиту і сертифікації систем управління інформаційною безпекою

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
МЕТОДЫ ЗАЩИТЫ
Требования к органам, предоставляющим услуги аудита и сертификации систем управления инфомационной безопасностью

INFORMATION TECHNOLOGY
SECURITY TECHNIQUES
Requirements for bodies providing audit and certification of information security management systems

Чинний від 2017-01-01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт визначає вимоги та надає настанови для організацій, які надають послуги з аудиту та сертифікації систем управління інформаційною безпекою (СУІБ) додатково до вимог, що містяться в ISO/IEC 17021-1 та ISO/IEC 27001. Це, в першу чергу, спрямовано на підтримку акредитації організацій, які надають послуги із сертифікації СУІБ.

Вимоги, які містить цей стандарт, необхідно продемонструвати в термінах компетентності та надійності всім організаціям, які здійснюють сертифікацію СУІБ, а настанови, долучені до цього стандарту, надають додаткову інтерпретацію цих вимог для будь-якої організації, яка виконує сертифікацію СУІБ.

Примітка. Цей стандарт може бути застосований як документ критеріїв для акредитації, експертного оцінювання або інших процесів аудиту.

2 НОРМАТИВНІ ПОСИЛАННЯ

Наведені нижче нормативні документи в цілому або в частині необхідні для застосування цього стандарту. У разі датованих посилань застосовують лише наведені видання. У разі недатованих посилань потрібно користуватись останнім виданням нормативних документів (разом зі змінами).

ISO/IEC 17021-1:2015 Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 1 : Requirements

ISO/IEC 27000 Information technology — Security techniques — Information security management systems — Overview and vocabulary

ISO/I EC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO/IEC 17021-1:2015 Оцінювання відповідності. Вимоги до органів, які надають послуги з аудиту та сертифікації систем управління. Частина 1. Вимоги

ISO/IEC 27000:2014 Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Огляд і словник

ISO/IEC 27001:2013 Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги.

3 ТЕРМІНИ ТА ВИЗНАЧЕННЯ ПОНЯТЬ

У цьому стандарті використовують терміни та визначення, які надано в ISO/IEC 17021-1 та ISO/IEC 27000, і такий термін.

3.1 документи щодо сертифікації (certification documents)

Документи, які показують, що СУІБ клієнта відповідає визначеним для СУІБ стандартам і будь- якій додатковій документації, визначеним системою.

БІБЛІОГРАФІЯ

1 ISO 19011 Guidelines for auditing management systems

2 ISO/IEC 27007 Information technology — Security techniques — Guidelines for information security management systems auditing

3 ISO 9001 Quality management systems — Requirements.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

1 ISO 19011 Настанови щодо аудиту систем управління

2 ISO/IEC 27007 Інформаційні технології. Методи захисту. Настанова щодо аудиту систем управління інформаційною безпекою

3 ISO 9001 Системи управління якістю. Вимоги.