Этот вид сертификации направлен не на конкретную продукцию, а на деятельность компании в целом. Подтверждение соответствия процессов, функционирующих в компании, какой-либо известной модели (например, ISO серии 9000 или SEI SW-CMM) позволит вашим клиентам быть уверенными в заявленном уровне качества вашей продукции (или услуги). Внедрение в организации модели обеспечения качества (ISO серии 9000) и/или улучшения уровня зрелости процессов (SEI SW-CMM)гарантирует бесперебойное функционирование процессов, ориентацию на клиента и, как следствие, стабильное качество вашей продукции, которое определяется требованиями к внутренним производственным и обеспечивающим процессам. Кроме того, система качества также предусматривает постоянное самосовершенствование, что дает клиенту дополнительную уверенность в надежности вашей фирмы.
Подготовка организации к аудиту
Подготовительные мероприятия включают подготовку документации и проведение внутренней проверки соответствия системы управления ИБ требованиям стандарта. Документация должна содержать:
· политику безопасности;
· границы защищаемой системы;
· оценки рисков;
· управление рисками;
· описание инструментария управления ИБ;
· ведомость соответствия — документ, в котором оценивается соответствие требованиям стандартов поставленных целей в области ИБ и средств управления ИБ.
Внутренняя проверка соответствия системы управления ИБ требованиям стандарта состоит в проверке выполнения каждого положения стандарта. Проверяющие должны ответить на два вопроса: выполняется ли данное требование, и если нет, то каковы точные причины невыполнения?
На основе ответов составляется ведомость соответствия. Основная цель этого документа — дать аргументированное обоснование имеющим место отклонениям от требований стандарта.
После завершения внутренней проверки устраняются выявленные несоответствия, которые организация сочтет нужным устранить.
Категории несоответствий
И аудиторам, и проверяемой организации необходимо иметь четкое представление о степени серьезности обнаруженных недостатков, их категориях и способах исправления. Используются следующие категории несоответствия:
· Существенное несоответствие. Не выполняется одно или несколько базовых требований стандартов, либо установлено, что используются неадекватные меры по защите конфиденциальности, целостности или доступности критически важной информации.
· Несущественное несоответствие. Не выполняются некоторые второстепенные требования, что несколько повышает риски или снижает эффективность защитных мер.
Каждое несоответствие должно иметь ссылку на соответствующее требование стандартов.
В случае, если выявлено значительное количество несущественных несоответствий, аудитор должен рассмотреть вопрос о возможном появлении существенного несоответствия.
После выявления несоответствий аудитор и представители организации должны наметить пути их устранения.
Если аудитор считает, что подсистему ИБ возможно усовершенствовать, то он может составить замечание. Организации сами определяют, какие действия им следует предпринять в ответ на замечание. замечания фиксируются, и при последующих проверках аудиторы должны выяснить, что было сделано.
Организация аудита
Подготовка и планирование аудита
Процедура проведения аудита планируется заранее. План проведения аудита должен быть подготовлен для всех первоначальных и контрольных проверок, продолжающихся более одного дня. Аудиторы должны быть ознакомлены с законодательными и нормативными требованиями, используемыми в проверяемой организации.
Проверка документации
Сертификация начинается с того, что аудитор получает и анализирует документы, имеющие отношение к подсистеме ИБ. Организация должна представить следующие документы:
1. концепцию политики ИБ, границы подсистемы ИБ, документы по оценке рисков;
2. руководство по реализации политики безопасности, содержащее общую схему подсистемы ИБ и документированные процедуры обеспечения ИБ;
3. ведомость соответствия — документ, составленный аудитором при предыдущей проверке. Содержание этого документа будет рассмотрено ниже.
По окончании проверки представляется отчет, в котором должны быть отражены следующие моменты:
1. декларируемые цели в области ИБ достижимы (являются реалистичными);
2. ведомость соответствия не противоречит стандартам в области ИБ и политике безопасности;
3. должным ли образом описаны все соответствующие аспекты в процедурах обеспечения ИБ.
Подготовительный этап — планирование проведения аудита
План проведения аудита должен определять подлежащие проверке сферы деятельности организации. В плане должно быть указано, какие требования стандарта будут проверяться (согласно Ведомости соответствия). Этот план, вместе со всеми изменениями, внесенными в процессе выполнения аудита, прилагается к отчету о проведении аудита.
План составляется на основе следующих документов:
1. Руководство по реализации политики безопасности;
2. Ведомость соответствия.
Организация должна представить сведения о собственной структуре, текущей деятельности, проектах и т.д. Кроме того, потребуется описание используемых информационных технологий, включающее схему сети, а также список всего прикладного программного обеспечения, используемого в организации.