Современные аспекты внедрения системы менеджмента информационной безопасности. Роль иопыт специалистов по проведению аудита и сертификации на соответствие требованиям ISO 27001 Одной из ключевых проблем последних десятилетий в области обеспечения качества продукции современным требованиям является сертификация, как форма подтверждения соответствия объектов сертификации требованиям технических регламентов, положениям стандартов или условиям договоров. Именно проведение сертификационных обследований и испытаний позволяют реализовать на федеральном уровне правовое регулирование отношений в области установления, применения и исполнения необходимых требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, защитить интересы пользователя.
Основной причиной наличия потерь, связанных с ограниченной надёжностью систем обработки и защиты информации, следует считать наряду с факторами технического происхождения также недостаточную образованность в области информационной безопасности. Только наличие систематизированных знаний в области информационной безопасности (ИБ), а также в целом сертификации современных сложных систем и объектов может обеспечить эффективное применение мер защиты, предотвратить преступление или своевременно обнаружить соответствующие угрозы.
Начиная с осени 2005 г. на российском рынке информационной безопасности все большую известность при построении корпоративных систем управления информационной безопасностью (СУИБ) завоевывает международный стандарт ISO/IEC 27001:2005 "Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования". Это обусловлено в том числе процедурой постепенного вхождения России во Всемирную торговую организацию и желанием крупных предприятий выйти на фондовые рынки, реализовав процедуру первоначального публичного размещения своих акций на международных биржах, а также ростом уровня сервиса большинства консалтинговых фирм, предлагающих свои услуги в области построения СУИБ на базе ISO/IEC 27001:2005 с последующей сертификацией.
Среди конкурентных преимуществ внедрения систем управления информационной безопасностью и сертификации на соответствие стандарту ISO/IEC 27001:2005 могут быть названы: лучшая управляемость и надежность бизнеса; защита ключевых бизнес-процессов; повышение доверия к компании как к партнеру и клиенту; упрощение выхода на внешние рынки - при наличии систем управления информационной безопасностью; получение сертификата, выдаваемого органами по сертификации BSI Management Systems (BSI - British Standards Institution, Британский институт стандартов), TUV CERT (Германия); систематизация процессов обеспечения информационной безопасности; эффективное управление рисками, их своевременное выявление и нейтрализация; снижение рисков от внешних и внутренних угроз; оптимизация управленческих процессов; совместимость с другими стандартами; определённая комфортность в порядке прохождения сертификации, предоставлении консалтинговых услуг и подготовке собственных кадров.
Наиболее ответственный этап реализации проектов по разработке систем управления информационной безопасностью и их сертификации - выбор консалтинговой компании, обеспечивающей возможность получения сертификата, успех дальнейшего развития бизнеса компании-заказчика. Этому способствуют: её опыт в области аудита и реализации проектов; высокий квалификационный статус, подтвержденный качеством выполненных проектов, отзывами клиентов и деловых партнеров; наличие и адаптация собственных комплексных методик аудита, построения систем управления информационной безопасностью, методик анализа и управления рисками и т. д., не только включающих в себя директивы ISO в области ИБ, но и расширенных за счет использования других стандартов и методик; наличие сертифицированных специалистов по направлениям информационных технологий, соответствующих областей деятельности компании; поддержка консалтинговой фирмы сертифицирующей организацией (например, BSI, TÜV CERT, TopS Business Integrator).
Рассмотрены технология и опыт подготовки специалистов по подготовке к проведению аудита и сертификации на соответствие требований положениям ISO/IEC 27001:2005, в том числе в части: аудита организационно-распорядительной и нормативно-методической документации компании; определения направлений и планирование работ по сертификации; подготовки ключевых бизнес-процессов компании; аналитического и инструментального анализа информационных рисков; квалиметрического контроля информационной защищённости; правильного выбора уполномоченных организаций по сертификации; оформления заявки на сертификацию; разработки предложений по методике проведения сертификационных испытаний и сертификационному аудиту.
| 
Главная 