Сертификация

Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех стадий:

• Стадия 1 изучение аудитором ключевых документов Системы Менеджмента Информационной Безопасности — Положение о применимости (SoA), План Обработки Рисков (RTP), и др. Может выполняться как на территории организации так и путём высылки этих документов внешнему аудитору.

• Стадия 2 детальный, глубокий аудит включая тестирование внедренных мер и оценка их эффективности. Включает полное изучение документов, которые требует стандарт.

• Стадия 3 выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.

Внедрение стандарта

Алгоритм внедрения системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта ISO/IEC 27001

Первый этап. Управленческий

1. Осознать цели и выгоды внедрения СМИБ

2. Получить поддержку руководства на внедрение и ввод в эксплуатацию системы менеджмента информационной безопасности (СМИБ)

3. Распределить ответственность по СМИБ

Второй этап. Организационный

1. Создать группу по внедрению и поддержке СМИБ

2. Обучить группу по внедрению и поддержке СМИБ

3. Определить область действия СМИБ

Третий этап. Первоначальный анализ СМИБ

1. Провести анализ существующей СМИБ

2. Определить перечень работ по доработке существующей СМИБ

Четвертый этап. Определение политики и целей СМИБ

1. Определить политику СМИБ

2. Определить цели СМИБ по каждому процессу СМИБ

Пятый этап. Сравнение текущей ситуации со стандартом

1. Провести обучение ответственных за СМИБ требованиям стандарта

2. Проработать требования стандарта

3. Сравнить требования стандарта с существующим положением дел

Шестой этап. Планирование внедрения СМИБ

1. Определить перечень мероприятий для достижения требований стандарта

2. Разработать руководство по информационной безопасности

Седьмой этап. Внедрение системы управления рисками

1. Разработать процедуру по идентификации рисков

2. Идентифицировать и ранжировать активы

Каталог «Модули»

1. Определить ответственных за активы

2. Оценить активы

3. Идентифицировать угрозы и уязвимости активов

Каталог «Угрозы»

4. Рассчитать и ранжировать риски

5. Разработать план по снижению рисков

Каталог «Меры защиты»

6. Определить неприменимые контроли (направления) безопасности из приложения А

7. Разработать положение о применимости контролей

Восьмой этап. Разработка документации СМИБ

1. Определить перечень документов (процедур, записей, инструкций) для разработки

2. Разработка процедур и других документов

• управленческие процедуры (стандарт на разработку документов, управление документацией, записями; корректирующие и предупреждающие мероприятия; внутренний аудит; управление персоналом и др.)

• технические процедуры (приобретение, развитие и поддержка информационных систем; управление доступом; регистрация и анализ инцидентов; резервное копирование; управление съемными носителями и др.)

• записи управленческие (отчеты о внутренних аудитах; анализ СМИБ со стороны высшего руководства; отчет об анализе рисков; отчет о работе комитета по информационной безопасности; отчет о состоянии корректирующих и предупреждающих действий; договора; личные дела сотрудников и др.)

• записи технические (реестр активов; план предприятия; план физического размещения активов; план компьютерной сети; журнал регистрации резервного копирования; журнал регистрации факта технического контроля после изменений в операционной системе; логи информационных систем; логи системного администратора; журнал регистрации инцидентов; журнал регистрации тестов по непрерывности бизнеса и др.)

• инструкции, положения (правила работы с ПК, правила работы с информационной системой, правила обращения с паролями, инструкция по восстановлению данных из резервных копий, политика удаленного доступа, правила работы с переносным оборудованием и др.)

3. Разработка и введение в действие документов СМИБ

Девятый этап. Обучение персонала

1. Обучение руководителей подразделений требованиям ИБ

2. Обучение всего персонала требованиям ИБ

Десятый этап. Разработка и принятие мер по обеспечению работы СМИБ

1. Внедрение средств защиты

• административных

• учебных

• технических

Одиннадцатый этап. Внутренний аудит СМИБ

1. Подбор команды внутреннего аудита СМИБ

2. Планирование внутреннего аудита СМИБ

3. Проведение внутреннего аудита СМИБ

Двенадцатый этап. Анализ СМИБ со стороны высшего руководства

1. Проведение анализа СМИБ со стороны высшего руководства

Тринадцатый этап. Официальный запуск СМИБ

1. Приказ о введении в действие СМИБ

Четырнадцатый этап. Оповещение заинтересованных сторон

1. Информирование клиентов, партнеров, СМИ о запуске СМИБ

NOTES (ПРИМЕЧАНИЯ)

*Международная электротехническая комиссия (МЭК; англ. International Electrotechnical Commission, IEC; фр. Commission électrotechnique internationale, CEI) — международная некоммерческая организация по стандартизации в области электрических, электронных и смежных технологий. Некоторые из стандартов МЭК разрабатываются совместно с Международной организацией по стандартизации (ISO).

*Международная организация по стандартизации, ИСО (International Organization for Standardization, ISO) — международная организация, занимающаяся выпуском стандартов.

*Аудит, аудиторская проверка — процедура независимой оценки деятельности организации, системы, процесса, проекта или продукта. Чаще всего термин употребляется применительно к проверке бухгалтерской отчётности компаний.

Различают операционный, технический, экологический, качества и прочие разновидности аудита. Отдельные виды аудита близки по значению к сертификации.

*Система менеджмента информационной безопасности (СМИБ) — та часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности.

В случае построения в соответствии с требованиями ISO/IEC 27001 основывается на PDCA модели:

• Plan (Планирование) — фаза создания СМИБ, создание перечня активов, оценки рисков и выбора мер;

• Do (Действие) — этап реализации и внедрения соответствующих мер;

• Check (Проверка) — фаза оценки эффективности и производительности СМИБ. Обычно выполняется внутренними аудиторами.

• Act (Улучшения) — выполнение превентивных и корректирующих действий;

Для обозначения СМИБ, так же используется сокращение СУИБ (Система управления информационной безопасности). В России планируется принятие ГОСТ Р ИСО/МЭК 27001 «МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ».

*PCDA — («Plan-Do-Check-Act») циклически повторяющийся процесс принятия решения, используемый в управлении качеством. Также известен как Deming Cycle, Shewhart cycle, Deming Wheel, или Plan-Do-Study-Act.

*Лог — (англ. log) журнал событий, дневник, запись, протокол;

*СВТ – средства вычислительной техники. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

*НСД – несанкционированный доступ.

*РД – Руководящие Документы.

*Объединённый технический комитет №1 ISO/МЭК (англ. ISO/IEC Joint Technical Committee 1, ISO/IEC JTC 1) — подразделение Международной организации по стандартизации (англ. International Organization for Standardization, ISO) и Международной электротехнической комиссии (МЭК,англ. International Electrotechnical Commission, IEC), которое занимается всеми вопросами связанными со стандартами в области информационных технологий.

13	Метрология и Стандартизация