На главную страницу
На главную страницу Карта сайта Поиск по сайту Обратная связь
На страницы учебного центра
Организационно-правовые вопросы
Экономическая безопасность
Безопасность КИС
Защита речевой информации
Техническая защита объектов
Сертификация и лицензирование
Кадровая безопасность
Преступления в сфере высоких технологий
Нормативные документы
Полезные ресурсы

BSI и BS 7799 – взгляд разработчиков

 

Н. И. Горобец ,

директор BSI MS Russia

 

Окончание. Начало см. в № 2 2005.

 

Если вы приступили к использованию стандарта BS 7799-2:2002 в качестве основы вашей СУИБ, ваша система менеджмента может быть аудирована и сертифицирована независимой авторитетной и аккредитованной стороной. Этот процесс значительно увеличивает оценку текущей эффективности вашей системы.

Сертификация проводится органами сертификации, имеющими аккредитацию UKAS (United Kingdom Accreditation Service). Они выдают сертификаты соответствия установленного образца организациям, успешно прошедшим процедуру сертификации, и регистрацию этих организаций в специальном реестре.

Основная цель аудита – не только дать независимую объективную оценку текущего состояния СУИБ компании, но и возможность эффективного обеспечения и управления системой безопасности в реальных условиях эксплуатации корпоративной системы.

Проведение аудита СУИБ компании позволит обосновать затраты на эту систему, проверить ее эффективность, пересмотреть акценты в информационной безопасности. Например, часто уровень безопасности можно значительно повысить организационными мерами (при помощи аудита, анализа рисков, процедур и регламентов), не прибегая при этом к существенным капиталовложениям.

Чтобы получить сертификацию по стандарту BS 7799-2:2002 через компанию BSI, требуется пройти несколько этапов.

Шаг 1. Первоначальный запрос

Специалисты BSI окажут вам в этом всестороннюю поддержку и помощь.

Шаг 2. Предоставление калькуляции

BSI направляет вам расценки как на сертификацию СУИБ вашего предприятия на соответствие требованиям BS 7799-2:2002, так и на поддержание вашей регистрации.

Шаг 3. Подача заявки

Вы предоставляете официальную заявку в компанию BSI по установленной форме.

Шаг 4. Назначение команды аудиторов

Ответственные эксперты BSI, номинированные на проведение аудита вашей СУИБ, будут оказывать вам поддержку в процессе регистрации и по его завершении. Они будут обладать необходимыми знаниями о сфере деятельности вашей организации, о смежных предприятиях, будут иметь зарегистрированную техническую компетенцию, соответствующую вашей отрасли, и окажут поддержку в процессе налаживания работы вашей системы.

Предварительная оценка

Предварительный аудит – это факультативная услуга, предоставляемая BSI, являющаяся по своему назначению тренировочным, репетиционным аудитом, который проводится с целью обеспечения готовности вашей организации для сертификационного аудита.

Во время предварительной оценки аудитор сосредоточивается на тех областях СУИБ, где его время может быть потрачено с максимальной пользой для вас. Предварительный аудит должен рассматриваться как проведение оценки, контролируемой клиентом. Аудитор будет готов помочь вам выявить любые области, требующие усовершенствования.

По завершении предварительного аудита проводится собрание для обсуждения его результатов и представляется отчет BSI, в котором подробно описываются все отмеченные положительные стороны системы и выявленные несоответствия.

Продолжительность предварительного аудита зависит от вашего выбора.

Шаг 5. Сертификационный аудит

Фаза 1. Проведение анализа

BSI проводит анализ работы системы оценки рисков, политики компании, объемов информации, состояния соответствия и имеющихся процедур. В результате будут выявлены все слабые точки и упущения, которые потребуется устранить.

Фаза 2. Проведение полного аудита

Оценочная команда компании BSI проводит проверку (аудит) внедренной СУИБ и в тот же день представляет полноценный отчет BSI, содержащий выявленные в ходе оценки сильные и слабые стороны вашей СУИБ, а также официальные рекомендации. Каждый отчет обязательно содержит подробный план последующих визитов в рамках поддержания регистрации.

Шаг 6. Регистрация

В случае положительного результата сертификационного аудита выдается сертификат соответствия.

Шаг 7. Последующая периодическая оценка

Действительность вашего сертификата, который остается в силе на протяжении трех лет, подтверждается посредством выполнения программы визитов последующей периодической оценки.

По итогам трехгодичного цикла ваш сертификат будет продлен при условии положительных результатов ре-сертификационного аудита.

В основе лидирующих позиций BSI на международном рынке сертификационных услуг лежат высочайшие квалификация и профессионализм аудиторов этого органа по сертификации. Внедрение СУИБ – это сложный и трудоемкий процесс. Однако ряд специальных отрытых и корпоративных курсов BSI по разработке и внедрению СУИБ даст вам все необходимые инструменты для успешного решения непростой задачи:

•  введение в систему управления защитой информации и BS 7799;

•  внедрение СУИБ, соответствующей требованиям BS 7799;

•  подготовка внутреннего аудитора СУИБ, соответствующей требованиям BS 7799;

•  курс ведущего аудитора BS 77992:2002.

Преимущества сертификации СУИБ

Какие преимущества получает компания, которая провела, успешно внедрила и сертифицировала свою СУИБ на соответствие требованиям BS 7799-2:2002?

Сертификация по стандарту BS 7799 независимым авторитетным органом по сертификации продемонстрирует рынку, партнерам, клиентам, конкурентам, инвесторам и самой компании, что в ней налажено эффективное управление информационной безопасностью. В свою очередь, это обеспечивает компании конкурентное преимущество, демонстрируя способность управлять информационными рисками. Это означает, что в компании:

•  выявляются основные угрозы безопасности для бизнес-процессов;

•  вырабатываются рекомендации по повышению текущего уровня защищенности для противодействия обнаруженным угрозам и недостаткам в системе безопасности и управления;

•  снижаются риски прямых потерь, связанных с нарушением конфиденциальности, неконтролируемыми изменениями данных, простоями информационной системы;

•  информация и компания становятся более защищенными;

•  обеспечивается эффективное управление системой в критичных ситуациях.

Кроме того:

•  информационная система компании приобретает большую «прозрачность» для менеджмента;

•  внедрение СУИБ оказывает благотворное влияние на общую организацию работы и профессиональный уровень сотрудников;

•  сертифицированная СУИБ является положительным фактором при слиянии компаний, а также при получении кредитов и правительственных заказов;

•  взаимодействие с партнерскими организациями и клиентами становится безопаснее;

•  возрастает уровень доверия со стороны партнеров и клиентов, поскольку они видят, что благодаря соблюдению требований к информационной безопасности компания демонстрирует стремление уменьшить их риски;

•  ваша компания получает признание на международном уровне.

И главное – в критических ситуациях обеспечивается бесперебойность работы организации.

Кроме того, говоря о сертификации, стоит принять во внимание согласованную с ВТО процедуру принятия России в данную организацию. Эта процедура потребует адекватной реакции от наиболее значимых в экономике России структур и адаптации стратегии развития в области информационных технологий с учетом международных стандартов безопасности, таких как BS 7799-2:2002.

Оценка BSI СУИБ клиентов позволяет последним наилучшим образом демонстрировать свою приверженность принципам информационной безопасности.

Аудит BSI станет основой для непрерывного совершенствования СУИБ, целью которого является снижение рисков. Большинство клиентов BSI подтверждают, что имплементация BS 7799 дает им четкое понимание роли и места информации в их бизнес-процессах, а также позволяет определить степень ее влияния на всю организацию. Это, в свою очередь, дает им необходимый контроль над информацией и внутренними процессами компании. Многие наши клиенты также отмечают дополнительную выгоду за счет интеграции систем менеджмента.

Несмотря на то что международные стандарты систем менеджмента существуют автономно, они сейчас более сравнимы, чем когда-либо раньше. Интегрирование ваших систем делает их потенциал практически беспредельным и одновременно наращивает стоимость вашего предприятия и его эффективность.

Интегрированные системы управления быстро становятся необходимым предварительным условием для участия в международной торговле, для закрепления партнерских отношений и для обеспечения лояльности со стороны клиентов. Они помогают вашему предприятию работать как единый организм с одной общей целью, способствуя его планомерному развитию.

BSI широко применяет интегрированную систему оценки, помогает предприятиям в достижении ими уровня сертификации по целому ряду стандартов систем управления с невысокими издержками для клиента и минимальными помехами текущей работе его предприятия.

Таким образом, если вы хотите продемонстрировать свою заботу об экологии (ISO 14001), о здоровье и безопасности труда персонала (OHSAS 18001), об информационной безопасности (BS 177992:2002), а также и о качестве (ISO 9001:2000), то BSI поможет вам создать у себя полную и завершенную систему управления как единое целое.

В дополнение к сертификации систем управления BSI предлагает целый набор сопутствующих услуг, которые реально увеличивают стоимость вашего предприятия. Логотип компании BSI высоко ценится и является влиятельным, авторитетным символом.

 

Защита информации. INSIDE № 3’2005

| Начало | Новости | О проекте | О ЦПР | Правовая информация | Сотрудничество | Наши партнеры | Координаты |

Copyright © 2004-2016 ЧОУ ДПО «ЦПР». Все права защищены
info@cprspb.ru