Услуги по предварительной оценке соответствия системы управления информационной безопасностью требованиям ISO/IEC 27001:2013

В наличии

 

1         Предсертификационный аудит

Цели предсертификационного аудита:                
  • определение степени готовности СУИБ Заказчика к сертификации по стандарту ISO/IEC 27001:2013;

  • выявление несоответствий СУИБ Заказчика требованиям стандарта;

  • разработка плана устранения выявленных несоответствий.

Концепция внедрения СУИБ предполагает следующий подход. В рамках Компании проводится выбор области действия СУИБ (далее - ОД СУИБ). В ОД СУИБ целесообразно включать критичные бизнес-процессы Компании, в рамках которых осуществляется взаимодействие и информационный обмен с клиентами, партнерами или другими заинтересованными сторонами, для которых критично обеспечение безопасности. Для целей сертификации, как правило, выбирается один или два критичных бизнес-процесса. Выбор области действия СУИБ на первоначальном этапе внедрения СУИБ позволяет оценить специфику бизнеса, опробировать разрабатываемые процессы СУИБ, запустить СУИБ в короткие сроки, вывести СУИБ на сертификацию на соответствие требованиям ISO/IEC 27001:2013.

1.1         Анализ соответствия требованиям (GAP-анализ)

Целью данного этапа является определение степени соответствия процессов управления и обеспечения ИБ Заказчика требованиям стандарта ISO/IEC 27001:2013.

На данном этапе проводятся следующие работы:             

  • является определение степени готовности СУИБ Заказчика и оценке, соответствия анализ основных документов СУИБ (Политика, область действия, анализ и обработка рисков, заявление о применимости);
  •  анализ основных бизнес процессов Заказчика и бизнес-процессов, существенно влияющих на основные;
  • анализ организационной структуры в рамках области действия СУИБ;
  • сбор и анализ информации о существующих регламентах, процедурах и средствах обеспечения ИБ, используемых в рамках границ проведения работ;
  • проведение интервью с руководством;
  •  проведение интервью с владельцами бизнес-процессов, входящих в ОД СУИБ;
  •  проведение интервью с представителями подразделений ИТ и ИБ по вопросам: антивирусной защиты, разработки и сопровождения информационных систем, обеспечения криптографической       защиты, резервного копирования информации, мониторинга систем и пользователей, управления инцидентами ИТ и/или ИБ, обеспечения непрерывности бизнеса, управления уязвимостями,         управления сетями, управления доступом к ресурсам Компании, внутренних аудитов ИТ и ИБ, физической безопасности и т.д.;
  • проведение интервью с владельцами вспомогательных процессов;
  • определение уровня зрелости процессов обеспечения и управления ИБ, определение степени соответствия требованиям стандарта ISO/IEC 27001:2013;
  • формирование документа «Отчет о степени соответствия», содержащего:

  1.    заключение о степени соответствия рассмотренной области требованиям стандарта ISO/IEC 27001:2013;

  2.    оценку зрелости процессов по обеспечению ИБ;

  3.    перечень документов СУИБ, которые требуется разработать;

  4.    рекомендации по достижению соответствия требованиям стандарта ISO/IEC 27001:2013;

  5.    перечень всех проверенных требований Стандарта и приложения А, с указанием для каждого требования обнаруженных несоответствий, степени выполнения требования и ссылками на документы и          записи, подтверждающие выполнение;

  6.    перечень и градацию всех выявленных несоответствий.
Результатом этапа является документ «Отчет о степени соответствия».

1.2         Разработка плана мероприятий

Целью данного этапа является определение плана мероприятий, выполнение которых позволит внедрить СУИБ, соответствующую требованиям стандарта ISO/IEC 27001:2013.


На данном этапе представители Заказчика при поддержке консультантов Исполнителя должны разработать план, содержащий:

  • перечень мероприятий, необходимых для устранения несоответствий, указанных в «Отчет о степени соответствия» и причин возникновения;
  • перечень ресурсов, необходимых для реализации каждого мероприятия;
  •  сроки реализации и ответственных для реализации каждого мероприятия;


Исполнитель подтверждает план после проверки на соответствие цели достижения требований Стандарта.

Результатом этапа является документ «План мероприятий по устранению несоответствий».

1.3         Длительность и стоимость работ

Наименование этапа

Результат этапа

Длительность

(раб. дней)

1

Проведение обследования на соответствие требованиям стандарта ISO/IEC 27001:2013 (GAP-анализ)

·         Документ «Отчет по результатам обследования»

40

2

Формирование плана мероприятий по внедрению СУИБ

·         Документ «План мероприятий по устранению несоответствий»


2           Подготовка к сертификации

Подготовка к сертификации проводится после предсертификационного аудита и состоит из следующих этапов (необходимость и перечень работ по каждому этапу уточняются по результатам предсертификационного аудита):


2.1         Подготовка к внедрению СУИБ

Целью данного этапа является подготовка базы для внедрения СУИБ.

На данном этапе проводятся следующие работы: 
  •  определение области действия СУИБ;
  • формирование рабочей группы по внедрению и эксплуатации СУИБ из сотрудников Заказчика;
  • обучение рабочей группы;

Результатами этапа являются:

  • проект документа «Область действия СУИБ»;
  • перечень участников и их ролей в рабочей группе по внедрению и эксплуатации СУИБ;
  • отчёт о результатах тестирования участников рабочей группы после прохождения обучения.


2.2         Анализ и обработка рисков

Целью данного этапа является внедрение процесса управления рисками информационной безопасности в соответствии с требованиями стандарта ISO/IEC 27001:2013.

На данном этапе рабочая группа по внедрению и эксплуатации СУИБ, при помощи консультанв Поставщика, проводит следующие работы:

  • инвентаризация активов в области действия СУИБ
  • разработка и утверждение методологии оценки рисков
  • оценка рисков
  • выбор целей управления и средств для минимизации рисков
  • согласование с руководством предложенных остаточных рисков;


Результатами этапа являются:              

  • проект документа «Перечень активов»;
  • проект документа «Методика оценки рисков»;
  • проект документа «Анализ рисков»;
  • проект документа «Обработка рисков», содержащего перечень рисков, с указанием мероприятий по управлению рисками, с указанием начального и остаточного уровней рисков.

2.3         Внедрение контролей

Целью данного этапа является приведение документов, процедур и записей СУИБ в соответствие с требованиями стандарта ISO/IEC 27001:2013.

На данном этапе проводятся следующие работы:      
  • доработка документации СУИБ;
  • внедрение процедур СУИБ;
  • приведение записей СУИБ в соответствие с требованиями стандарта;



Результатами этапа являются:
  • проекты документов в соответствии со перечнем недостающих из «Отчета о степени соответствия»;
  • шаблоны недостающих журналов СУИБ;
  • рекомендации по изменению процедур в соответствии с требованиями стандарта.

2.4         Длительность и стоимость работ

Наименование этапа

Результат этапа

Длительность

(раб. дней)

1

Подготовка к внедрению

·         проект документа «Область действия СУИБ»;

·         перечень участников и их ролей в рабочей группе по внедрению и эксплуатации СУИБ;

отчёт о результатах тестирования участников рабочей группы после прохождения обучения.

20

2

Анализ и обработка рисков

·         проект документа «Перечень активов»;

·         проект документа «Методика оценки рисков»;

·         проект документа «Анализ рисков»;

·         проект документа «Обработка рисков», содержащего перечень рисков, с указанием мероприятий по управлению рисками, с указанием начального и остаточного уровней рисков.

30

3

Внедрение контролей

·         проекты документов в соответствии со перечнем недостающих из «Отчета о степени соответствия»;

·         шаблоны недостающих журналов СУИБ;

·         рекомендации по изменению процедур в соответствии с требованиями стандарта.

30

ИТОГО:

 



Стоимость работ по подготовке к сертификации указана справочно, из расчёта закупки работ по каждому этапу в отдельности. Возможно снижение общей стоимости работ в случае закупки комплекса работ из нескольких этапов.

Более точно стоимость работ может быть определена после предварительного согласования с Заказчиком общего объёма закупаемых услуг.

Получите техническую консультацию