Подготовка к сертификации СУИБ
Подготовка к сертификации СУИБ состоит из 6 основных шагов:
Шаг 1. Инициирование процедуры сертификации
- Определение и документирование границ проведения обследования и сертификации, наиболее критичных для организации бизнес процессов и информационных подсистем
- Подготовка интервью с сотрудниками организации
- Подготовка исходных данных для проведения обследования
- Планирование ресурсов и сроков проведения работ
- Заключение договоров, разработка технического задания и планов работ по аудиту, подготовке и проведению сертификации
Шаг 2. Оценка текущего состояния СУИБ и анализ расхождений
-
Сбор и анализ исходных данных по объекту обследования
-
Сбор и анализ действующих организационно-распорядительных документов по обеспечению информационной безопасности
-
Проведение интервью с сотрудниками организации, отвечающими за обеспечение информационной безопасности, с использованием специально разработанных опросных листов
-
Определение и документирование статуса механизмов контроля, определяемых Стандартом
-
Определение применимости конкретных механизмов безопасности, описанных в Стандарте, в данной организации
-
Определение действующей законодательной базы применимой к деятельности организации
-
Подготовка отчетных документов по результатам обследования, содержащий оценку степени несоответствия СУИБ организации требованиям Стандарта (Отчет о расхождениях)
Шаг 3. Оценка рисков
- Анализ информационных, программных и технических ресурсов организации, оценка их стоимости, построение модели ресурсов
- Идентификация угроз и уязвимостей, оценка вероятности осуществления угроз и величины уязвимостей, разработка модели угроз и модели нарушителя безопасности
- Оценка величины рисков для каждой тройки: угроза – группа ресурсов – уязвимость
- Определение комплекса механизмов безопасности, адекватных существующим рискам
- Идентификация механизмов контроля BS 7799, применимых в данной организации, и дополнительных механизмов контроля, необходимых для минимизации рисков
Шаг 4. Подготовка программы совершенствования СУИБ
На данном этапе, на основании результатов оценки текущего состояния СУИБ и оценки рисков, осуществляется:
- Разработка программы совершенствования СУИБ и устранения существующих недостатков
- Разработка детального плана мероприятий по реализации программы и подготовке к сертификации
- Выделение ресурсов для внедрения недостающих механизмов контроля
Шаг 5. Внедрение механизмов контроля, необходимых для обеспечения соответствия СУИБ организации требованиям ISO 27001:2005
- Разработка политики информационной безопасности организации
- Разработка и внедрение недостающих документов по обеспечению информационной безопасности, доработка действующей документации (инструкций, процедур, регламентов, политик, стандартов и т.п.)
- Определение и документирование организационной структуры управления информационной безопасностью (назначение ответственных, распределение ролей)
- Устранение недостатков и несоответствий, выявленных на этапе оценки текущего состояния
- Проектирование и внедрение недостающих механизмов контроля организационного и программно-технического уровня
- Проведение мероприятий по обучению сотрудников организации вопросам применения ISO/IEC 17799:2000
Шаг 6. Подготовка финального аудита
- Подготовка всей необходимой документации по СУИБ
- Выбор органа сертификации, аккредитованного UKAS, и заключение с ним соглашения на проведение сертификации