Внедрение процессов суиб и подготовка суиб к сертификации
Внедрение процессов СУИБ и подготовка СУИБ к сертификации производится за счет реализации следующих работ:
-
консультации по выполнению персоналом заказчика, вовлеченным в процесс функционирования СУИБ, своих должностных обязанностей в соответствии с изданной организационно-распорядительной и нормативной документацией;
-
контроль и первичный запуск всех процессов СУИБ;
-
помощь в документировании записей СУИБ в соответствии с подготовленными процедурами;
-
обучение персонала заказчика, ответственного за разработку и внедрение СУИБ, с учетом разработки курса обучения, программы обучения, и с предоставлением специалистов исполнителя в качестве ключевых преподавателей;
-
оказание консультаций по функционированию и взаимосвязям всех вновь разработанных процессов СУИБ.
Результатами данного этапа являются:
-
утвержденный набор документации, необходимой для прохождения сертификационного аудита;
-
персонал, обученный вопросам СУИБ в рамках области деятельности;
-
набор записей, необходимый для прохождения сертификационного аудита (при этом сотрудники заказчика также будут обучены самостоятельному сбору и ведению записей);
-
материалы для обучения персонала в части ИБ и тесты по ИБ.
Данный этап продолжается до второй стадии сертификационного аудита.
Сертификация СУИБ
Сертификация СУИБ по сути является итоговой проверкой формального соответствия ISO/IEC 27001:2005 (см. Рис. 4 ), производится сертификационными органами, которые владеют эксклюзивным правом выдачи сертификатов и имеют аккредитацию при UKAS (United Kingdom Accreditation Service) – уполномоченном государственном органе Великобритании. Такой компанией в России, например, является BSI Management Systems.
Сертификационный аудит, проводимый BSI Management Systems, как правило, включает в себя две стадии. На первой стадии проводится аудит документации. Он представляет собой изучение ключевых элементов СУИБ и осуществляется на территории организации.
Рис. 4 Пример программы по созданию СУИБ и ее сертификации. Стадии и временные рамки.
Вторая стадия – аудит внедрения, который заключается в изучении и анализе политик, процедур и процессов. Главная его цель – это подтверждение эффективности внедренного в организации СУИБ. Также проводится на территории организации.
- Практическое занятие № 4 Тема: Консалтинг в области информационной безопасности.
- План практического занятия
- Указания по проведению практического занятия
- 2. Основная часть Консалтинг в области информационной безопасности
- Определение консалтинга в области иб
- Актуальность услуг по консалтингу в области иб
- Виды консалтинга в области информационной безопасности
- Формы оказания услуг по консалтингу в области информационной безопасности
- Определение уровня информационной безопасности
- Обследование состояния информационной безопасности с разработкой рекомендаций
- Информационное обследование
- Анализ полученной информации
- Предложение компании «Инфосистемы Джет»: «Обследование состояния иб с разработкой рекомендаций по повышению уровня защищенности организации»
- Подготовка рекомендаций
- Анализ рисков информационной безопасности
- Идентификация и оценка критичности активов
- Разработка методики анализа рисков
- Предложения компании «Инфосистемы Джет»: «Внедрение процесса управления рисками иб»
- Идентификация рисков
- Оценка рисков
- Выбор мер противодействия рискам
- Результаты анализа рисков иб
- Обеспечение требований бизнеса к информационной безопасности
- Разработка стратегии информационной безопасности
- Обеспечение требований законодательства
- Требования к защите персональных данных
- Предложение Компании «Инфосистемы Джет» по приведению процессов обработки персональных данных в соответствии с требованиями Закона о персональных данных
- Отраслевые требования по информационной безопасности Стандарт Банка России по обеспечению иб
- Обеспечение соответствия безопасности платежных систем требованиям стандарта pci dss
- Предложение компании «Инфосистемы Джет»: «Консалтинг в области сто бр» Целевая аудитория
- Назначение услуги
- Состав работ:
- Оптимизация системы обеспечения иб Построение системы управления иб
- Предложение Компании «Инфосистемы Джет» по консалтингу в области pci dss
- Назначение услуги
- Задачи, решаемые в ходе проведения работ по данной услуге:
- Обследование, обнаружение и анализ соответствия требованиям стандарта iso/iec 27001:2005
- Создание суиб в соответствии с требованиями стандарта iso/iec 27001:2005
- Внедрение процессов суиб и подготовка суиб к сертификации
- Подход компании «Инфосистемы Джет» к построению суиб
- Внедрение процесса управления непрерывностью бизнеса
- Внедрение процесса управления инцидентами иб
- Выводы или Как не ошибиться с выбором консультанта?!