Основные этапы и процедура сертификации систем менеджмента

↑

▷ Содержание

⇐ ПредыдущаяСтр 2 из 5Следующая ⇒

• 1 этап. Подготовка к сертификации;
• 2 этап. Аудит 1-й ступени (проверка готовности к сертификации);
• 3 этап. Аудит 2-й ступени (сертификационный аудит);
• 4-ый этап. Выдача сертификата и надзор.

Аудит информационной безопасности – оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия определенным критериям и позволяющая систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.

Задачи, которые решаются в ходе аудита защищенности информационной системы:

– анализ структуры, функций, используемых технологий автоматизированной обработки и передачи информации в информационной системе, анализ бизнес–процессов, нормативно–распорядительной и технической документации;

– выявление значимых угроз информационной безопасности и путей их реализации, выявление и ранжирование по степени опасности существующих уязвимостей технологического и организационного характера в информационной системе;

– составление неформальной модели нарушителя, применение методики активного аудита для проверки возможности реализации нарушителем выявленных угроз информационной безопасности;

– проведение теста на проникновение по внешнему периметру IP–адресов, проверка возможности проникновения в информационную систему при помощи методов социальной инженерии;

– анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов;

– оценка системы управления информационной безопасностью на соответствие требованиям стандарта ГОСТ Р ИСО/МЭК 27001–2006 и разработка рекомендаций по совершенствованию системы управления информационной безопасностью;

– разработка предложений и рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения информационной безопасности.

Аудит информационной безопасности состоит из следующих этапов:

– инициирование работ и планирование;

– обследование и сбор информации;

– поиск уязвимостей и несоответствий;

– выработка рекомендаций и подготовка отчетных документов.

Результатом аудита информационной безопасности является создание документа, который содержит детальную информацию о:

– всех выявленных уязвимостях объекта аудита;

– критичности найденных уязвимостях;

– последствие в случае реализации угроз;

– рекомендации по устранению уязвимостей.

На основании результатов аудита информационной безопасности, организация сможет выстроить грамотную систему безопасности, минимизировать возможные риски информационной безопасности, а также повысить свой авторитет в глазах партнеров и клиентов.

Аудит информационной безопасности позволит руководству организации увидеть реальное состояние информационных активов и оценить их защищенность.

Эксплуатация СУИБ

Создание и эксплуатация СУИБ требует применения такого же подхода, как и любая другая система управления. Используемая в ISO 27001 для описания СУИБ процессная модель предусматривает непрерывный цикл мероприятий: планирование, реализация, проверка, действие (ПРПД).

Процесс непрерывного совершенствования обычно требует первоначального инвестирования: документирование деятельности, формализация подхода к управлению рисками, определение методов анализа и выделение ресурсов. Эти меры используются для приведения цикла в действие. Они не обязательно должны быть завершены, прежде чем будут активизированы стадии пересмотра.

На стадии планирования обеспечивается правильное задание контекста и масштаба СУИБ, оцениваются рисков информационной безопасности, предлагается соответствующий план обработки этих рисков. В свою очередь, на стадии реализации внедряются принятые решения, которые были определены на стадии планирования. На стадиях проверки и действия усиливают, исправляют и совершенствуют решения по безопасности, которые уже были определены и реализованы.

На вершине СУИБ находится директор по ИБ, возглавляющий управляющий комитет по ИБ — коллегиальный орган, предназначенных для решения стратегических вопросов, связанных с обеспечением ИБ. Директор по ИБ несет ответственность за все процессы управления ИБ, в число которых входят: управление инцидентами и мониторинг безопасности, управление изменениями и контроль защищенности, инфраструктура безопасности (политики, стандарты, инструкции, процедуры, планы и программы), управление рисками, контроль соответствия требованиям, обучение (программа повышения осведомленности).

Создание подобной структуры управления является целью внедрения ISO 27001/17799 в организации. Один из основных принципов здесь - «приверженность руководства». Это означает, что такая структура может быть создана только руководством компании, которое распределяет должности, ответственность и контролирует выполнение обязанностей. Другими словами руководство организации строит соответствующую вертикаль власти, а точнее модифицирует существующую для удовлетворения потребностей организации в безопасности. СУИБ может создаваться только сверху вниз.

Сертификации СУИБ

Подготовка к сертификации СУИБ состоит из 6 основных шагов:

Познавательные статьи:



Техника прыжка в длину с разбега

Тактические действия в защите

История Олимпийских игр

История развития права интеллектуальной собственности