Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вы здесь: Главная / Услуги / Внедрение и сертификация СУИБ / Подготовка к сертификации СУИБ

Подготовка к сертификации СУИБ

Подготовка к сертификации СУИБ состоит из 6 основных шагов:

Шаг 1. Инициирование процедуры сертификации

  • Определение и документирование границ проведения обследования и сертификации, наиболее критичных для организации бизнес процессов и информационных подсистем
  • Подготовка интервью с сотрудниками организации
  • Подготовка исходных данных для проведения обследования
  • Планирование ресурсов и сроков проведения работ
  • Заключение договоров, разработка технического задания и планов работ по аудиту, подготовке и проведению сертификации

Шаг 2. Оценка текущего состояния СУИБ и анализ расхождений

  • Сбор и анализ исходных данных по объекту обследования
  • Сбор и анализ действующих организационно-распорядительных документов по обеспечению информационной безопасности
  • Проведение интервью с сотрудниками организации, отвечающими за обеспечение информационной безопасности, с использованием специально разработанных опросных листов
  • Определение и документирование статуса механизмов контроля, определяемых Стандартом
  • Определение применимости конкретных механизмов безопасности, описанных в Стандарте, в данной организации
  • Определение действующей законодательной базы применимой к деятельности организации
  • Подготовка отчетных документов по результатам обследования, содержащий оценку степени несоответствия СУИБ организации требованиям Стандарта (Отчет о расхождениях)

Шаг 3. Оценка рисков

  • Анализ информационных, программных и технических ресурсов организации, оценка их стоимости, построение модели ресурсов
  • Идентификация угроз и уязвимостей, оценка вероятности осуществления угроз и величины уязвимостей, разработка модели угроз и модели нарушителя безопасности
  • Оценка величины рисков для каждой тройки: угроза – группа ресурсов – уязвимость
  • Определение комплекса механизмов безопасности, адекватных существующим рискам
  • Идентификация механизмов контроля BS 7799, применимых в данной организации, и дополнительных механизмов контроля, необходимых для минимизации рисков

Шаг 4. Подготовка программы совершенствования СУИБ

На данном этапе, на основании результатов оценки текущего состояния СУИБ и оценки рисков, осуществляется:

  • Разработка программы совершенствования СУИБ и устранения существующих недостатков
  • Разработка детального плана мероприятий по реализации программы и подготовке к сертификации
  • Выделение ресурсов для внедрения недостающих механизмов контроля

Шаг 5. Внедрение механизмов контроля, необходимых для обеспечения соответствия СУИБ организации требованиям ISO 27001:2005

  • Разработка политики информационной безопасности организации
  • Разработка и внедрение недостающих документов по обеспечению информационной безопасности, доработка действующей документации (инструкций, процедур, регламентов, политик, стандартов и т.п.)
  • Определение и документирование организационной структуры управления информационной безопасностью (назначение ответственных, распределение ролей)
  • Устранение недостатков и несоответствий, выявленных на этапе оценки текущего состояния
  • Проектирование и внедрение недостающих механизмов контроля организационного и программно-технического уровня
  • Проведение мероприятий по обучению сотрудников организации вопросам применения ISO/IEC 17799:2000

Шаг 6. Подготовка финального аудита

  • Подготовка всей необходимой документации по СУИБ
  • Выбор органа сертификации, аккредитованного UKAS, и заключение с ним соглашения на проведение сертификации