Оценка соответствия рекомендациям международных стандартов ISO 27001 и ISO 27002

Оценка соответствия рекомендациям международного стандарта ISO/IEC 27001:2005 позволяет оценить насколько система управления информационной безопасности компании соответствует требованиям данного нормативного документа. В процессе аудита дополнительно проводится оценка степени выполнения рекомендаций, описанных в стандарте ISO 27002 (ISO 17799).

В рамках проекта проводятся следующие работы:

• определение области действия (рамок) проекта;
• сбор необходимой информации;
• оценка соответствия рекомендациям стандартов ISO 27001 и ISO 27002 (ISO 17799);
• разработка отчета с описанием выявленных недостатков и рекомендаций по их устранению.

В процессе аудита выполняется сбор и анализ информации, включающей в себя: существующую организационно-распорядительную документацию, касающуюся вопросов информационной безопасности; сведения о программно-аппаратном обеспечении автоматизированной системы (далее – АС); информацию о средствах защиты, установленных в АС и т.д.

Сбор необходимых данных может осуществляться с использованием следующих методов:

• интервьюирование сотрудников Заказчика, обладающих необходимой информацией. При этом интервью, как правило, проводится как с техническими специалистами, так и с представителями руководящего звена Компании. Привлечение представителей руководящего звена обусловлено необходимостью сбора информации не только технического характера, но и определения бизнес-процессов организации. Необходимо отметить, что перечень вопросов, которые планируется обсудить в процессе интервью, согласовывается заранее;
• предоставление опросных листов по определённой тематике, самостоятельно заполняемых сотрудниками Заказчика. В тех случаях, когда представленные материалы не полностью дают ответы на необходимые вопросы, проводится дополнительное интервьюирование;
• анализ существующей организационно-технической документации, используемой в Компании. К такой документации относится действующая Политика информационной безопасности, ИТ-стратегия Компании, регламенты работы с информационными ресурсами, должностные инструкции персонала и т.д.

В процессе обследования проводится идентификация информационных активов компании, в качестве которых могут рассматриваться:

• информационные ресурсы, которые обеспечивают выполнение бизнес-процессов, заданных рамками проекта;
• прикладное и общесистемное программное обеспечение;
• аппаратное обеспечение;
• телекоммуникационное обеспечение;
• персонал компании.

На основе собранной информации проводится документальная и инструментальная проверка выполнения рекомендаций стандартов ISO 27001 и ISO 27002 (ISO 17799). Документальная проверка позволяет проверить наличие необходимых документов – политик, регламентов, инструкций, приказов и т.д. Инструментальная же проверка позволяет оценить степень выполнения требований существующих документов на практике.

В результате выполнения работ разрабатывается отчет, содержащий следующие основные разделы:

• описание рамок проекта;
• описание методики проведения аудита безопасности;
• выявленные недостатки и несоответствия рекомендациям ISO 27002 (ISO 17799) и ISO 27001;
• рекомендации по устранению выявленных недостатков.

В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или со страницы « Контакты », адресовав вопрос в «Коммерческий отдел».