Начиная с октября 2005 года на российском рынке информационной безопасности все большую известность при построении корпоративной системы управления информационной безопасностью (СУИБ) завоевывает международный стандарт ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
Это происходит по нескольким причинам: c одной стороны большинство российских компаний становятся более зрелыми и компетентными участниками, как внутреннего торгового рынка, так и внешних рынков. С другой стороны, выросший уровень сервиса большинства российских консалтинговых компаний, которые предлагают свои услуги в области построения системы управления информационной безопасностью.
Началом разработки корпоративной СУИБ является – аудит компании на соответствие положениям ISO/IEC 27001:2005.
Многие руководители компаний считают этот этап необязательным и, как правило, аргумент прост: “Зачем нам аудит, когда и так очевидно, что у нас все плохо?!”. Но на самом деле аудит необходим как минимум по двум причинам:
- Как правило, в компании, несмотря на столь пессимистичный вывод, существуют разного рода положения, инструкции и иные организационно-распорядительные документы, которые регламентируют работу структурных подразделений компании, и аудит консалтинговой компании позволяет выявить и систематизировать такие документы в соответствии с требованиями ISO/IEC 27001:2005.
- Как следствие первой причины – определить направления работ по созданию системы управления информационной безопасностью компании.
Основная цель аудита – объективно оценить состояние существующей системы управления информационной безопасностью компании, ее адекватность поставленным целям и задачам бизнеса, а также разработать рекомендации по построению, внедрению или совершенствованию СУИБ.
Основными задачами, которые решаются во время выполнения аудиторских работ консалтинговой компанией, являются: анализ структуры организации; анализ защищаемой области деятельности компании и организационно-распорядительных документов; анализ структуры и функциональных особенностей, используемых информационных технологий автоматизированной системы сбора, обработки, передачи и хранения информации; проверка выполнения требований ISO/IEC 27001:2005 к СУИБ; разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, техническому и аппаратно-программному обеспечению для создания, построения или совершенствования СУИБ.
В большинстве случаев решение данных задач выполняется в четыре основных этапа:
Этап 1. Планирование мероприятий по аудиту. На данном этапе специалистами аудиторской компании осуществляется сбор организационно-распорядительных документов, отраслевых стандартов, недокументированных проектных решений и других рабочих материалов, касающихся вопросов создания системы управления информационной безопасностью.
Этап 2. Проверка на соответствие ISO/IEC 27001:2005. Этот этап включает: определение области деятельности и ключевые бизнес-процессы компании, которые необходимо защитить в первую очередь; проведение анкетирования и интервьюирования сотрудников компании (разных уровней), анализ организационно-распорядительных и нормативных документов.
Этап 3. Оценка рисков информационной безопасности. Аналитический и инструментальный анализ корпоративной локальной вычислительной сети и информационных ресурсов компании. Проведение консультаций со специалистами организации, оценка соответствия фактического уровня безопасности.
Этап 4. Систематизация результатов обследования и формирование отчетности. Предоставление итогового отчета руководству компании.
После выполнения аудиторских работ компания-заказчик приступает совместно с консалтинговой компанией к разработке, внедрению или совершенствованию системы управления информационной безопасностью.
Последний этап формирования СУИБ – сертификация на соответствие требованиям международного стандарта ISO/IEC 27001:2005.
Конференция АКБ 2007.