ГОСТ Р 57580.1-2017 (ч.5)

ГОСТ Р 57580.1-2017 (ч.5)
В предыдущей заметке ( ссылка ), рассмотрев вопрос корреляции ГОСТ Р 57580.1-2017, а точнее ГОСТ Р 57580.2-2018, с Положением № 382-П с точки зрения процедуры оценки соответствия, хочется поставить здесь точку, рассказав о форме отчетности по данной процедуре.
 
В Положении № 382-П требования к отчету были простыми, в части наличия ключевых сведений:
- заполненная табличная форма 1;
- заполненная табличная форма 2;
- сроки проведения оценки соответствия;
- сведения о сторонней организации (наименование и местонахождение) в случае ее привлечения для проведения оценки соответствия.
 
ГОСТ Р 57580.2-2018 предъявляет более детальные требования, начиная со структуры (интересные моменты я отметил выделением):
- сведения о проверяющей организации;
- сведения о руководителе и членах проверяющей группы;
- сведения о проверяемой организации;
- сведения о заказчике оценки соответствия ЗИ;
- цель оценки соответствия ЗИ;
- сроки проведения оценки соответствия ЗИ;
- область оценки соответствия ЗИ;
- перечень неоцениваемых областей оценки соответствия ЗИ с обоснованием их исключения из области оценки соответствия ЗИ;
- обоснование применения компенсирующих мер ЗИ при невозможности реализации отдельных выбранных мер ЗИ;
- краткое изложение процесса оценки соответствия ЗИ;
- числовое значение итоговой оценки соответствия ЗИ;
- подтверждение, что цель оценки соответствия ЗИ достигнута в области оценки;
- неразрешенные разногласия между проверяющей группой и проверяемой организацией;
- перечень и сведения о представителях проверяемой организации, которые сопровождали проверяющую группу при проведении оценки соответствия ЗИ;
- сведения о конфиденциальном характере содержания отчета по результатам оценки соответствия ЗИ;
- опись документов (копий документов) на бумажных носителях, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием общего количества томов приложений, количества и наименований документов, а также количества листов в каждом из них;
- опись машинных носителей информации, прилагаемых к отчету по результатам оценки соответствия ЗИ, с указанием их реквизитов (наименование, тип, учетный номер и т.п.) и содержащихся на них файлов данных, а также результатов вычисления по каждому из них хэш-функции, реализованной  в соответствии с ГОСТ Р 34.11.
 
К отчету прилагаются и являются его неотъемлемой частью:
- заполненные листы для сбора свидетельств оценки;
- перечень нарушений ЗИ;
- рекомендации по совершенствованию ЗИ и устранению выявленных нарушений;
- таблицы, содержащие числовые значения оценок;
- копии документов проверяемой организации или документов третьих лиц на бумажных носителях, являющихся свидетельствами выполнения (невыполнения) требований ЗИ;
- машинные носители информации с электронными документами и файлами данных, являющихся свидетельствами выполнения (невыполнения) требований.

Обратите внимание, что заполненные листы для сбора свидетельств оценки включают:
- ФИО и должность сотрудника проверяемой организации, предоставившего свидетельства;
- подписи члена(ов) проверяющей группы и сотрудника проверяемой организации.

ef318a992f462c274abd4d508db7204b.jpg


Соответственно нужно проверяемой организациям будет:
- закладывать дополнительное время на процедуры оценки соответствия;
- в ряде случаев уполномочивать работников организации (это не всегда будут ИБ-специалисты) ставить подпись в данном документе, а это, как показывает практика, не всегда просто сделать :(
 
Продолжение следует …
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только

Какие зарубежные новостные сайты по информационной безопасности вы читаете?