Шаг 1. Инициирование процедуры сертификации

• Определение и документирование границ проведения обследования и сертификации, наиболее критичных для организации бизнес процессов и информационных подсистем
• Подготовка интервью с сотрудниками организации
• Подготовка исходных данных для проведения обследования
• Планирование ресурсов и сроков проведения работ
• Заключение договоров, разработка технического задания и планов работ по аудиту, подготовке и проведению сертификации

Шаг 2. Оценка текущего состояния СУИБ и анализ расхождений

• Сбор и анализ исходных данных по объекту обследования
• Сбор и анализ действующих организационно-распорядительных документов по обеспечению информационной безопасности
• Проведение интервью с сотрудниками организации, отвечающими за обеспечение информационной безопасности, с использованием специально разработанных опросных листов
• Определение и документирование статуса механизмов контроля, определяемых Стандартом
• Определение применимости конкретных механизмов безопасности, описанных в Стандарте, в данной организации
• Определение действующей законодательной базы применимой к деятельности организации
• Подготовка отчетных документов по результатам обследования, содержащий оценку степени несоответствия СУИБ организации требованиям Стандарта (Отчет о расхождениях)

Шаг 3. Оценка рисков

• Анализ информационных, программных и технических ресурсов организации, оценка их стоимости, построение модели ресурсов
• Идентификация угроз и уязвимостей, оценка вероятности осуществления угроз и величины уязвимостей, разработка модели угроз и модели нарушителя безопасности
• Оценка величины рисков для каждой тройки: угроза – группа ресурсов – уязвимость
• Определение комплекса механизмов безопасности, адекватных существующим рискам
• Идентификация механизмов контроля BS 7799, применимых в данной организации, и дополнительных механизмов контроля, необходимых для минимизации рисков

Шаг 4. Подготовка программы совершенствования СУИБ

На данном этапе, на основании результатов оценки текущего состояния СУИБ и оценки рисков, осуществляется:

• Разработка программы совершенствования СУИБ и устранения существующих недостатков
• Разработка детального плана мероприятий по реализации программы и подготовке к сертификации
• Выделение ресурсов для внедрения недостающих механизмов контроля

Шаг 5. Внедрение механизмов контроля, необходимых для обеспечения соответствия СУИБ организации требованиям ISO 27001:2005

• Разработка политики информационной безопасности организации
• Разработка и внедрение недостающих документов по обеспечению информационной безопасности, доработка действующей документации (инструкций, процедур, регламентов, политик, стандартов и т.п.)
• Определение и документирование организационной структуры управления информационной безопасностью (назначение ответственных, распределение ролей)
• Устранение недостатков и несоответствий, выявленных на этапе оценки текущего состояния
• Проектирование и внедрение недостающих механизмов контроля организационного и программно-технического уровня
• Проведение мероприятий по обучению сотрудников организации вопросам применения ISO/IEC 17799:2000

Шаг 6. Подготовка финального аудита

• Подготовка всей необходимой документации по СУИБ
• Выбор органа сертификации, аккредитованного UKAS, и заключение с ним соглашения на проведение сертификации

 

 

Процедура сертификации СУИБ

Процедура сертификации по стандарту ISO 27001:2005 выполняется органом сертификации (Компания Аудитор), имеющим аккредитацию UKAS (United Kingdom Accreditation Service) и включает в себя следующие этапы: