Этапы построения и сертификации системы управления информационной безопасностью (СУИБ) | ||||
|
этап |
результат |
t (недели) |
$ тыс. |
1 |
Утверждение плана внедрения СУИБ: - Согласование с руководством плана по внедрению СУИБ на основании международного стандарта ISO/IEC 27001 |
План внедрения СУИБ Рабочая группа |
1 |
- |
2 |
Предварительное обследование: - Определение области применения и границ СУИБ - Аудит на соответствие существующих механизмов управления стандарту ISO/IEC 27001 |
Отчет + рекомендации по внедрению |
3 – 5 |
20 – 40 |
3 |
Постановка процесса управления рисками: - Разработка и согласование методологии по оценке рисков - Выявление и разработка модели угроз - Разработка матрицы рисков, ее ранжирование - Выбор целей управления и средств для минимизации рисков - Согласование с руководством предложенных остаточных рисков |
Методика управления рисками, перечень защищаемых активов, модель угроз, матрица рисков, перечень остаточных рисков |
2 – 3 |
10 – 20 |
4 |
Разработка Политики и подполитик ИБ (BCP/DRP): - Разработка Политики СУИБ - Разработка подполитик, положений, руководств, процедур - Разработка Плана по восстановлению (Business Continuity Plan – BCP/DRP) |
Политика, под – политики, процедуры, руководства, BCP, DRP. |
4 – 6 |
25 – 50 |
5 |
Внедрение механизмов контроля: - Проектирование механизмов контроля СУИБ - Разработка рекомендаций по внедрению механизмов контроля СУИБ |
Проект внедрения Рекомендации по внедрению |
1 – 3 |
10 – 15 |
6 |
Пред- сертификационный аудит: - Контроль (мониторинг) механизмов на соответствие стандарта и соответствующим нормативным и установочным актам |
Отчет по мониторингу реализованных механизмов |
1 – 3 |
20 – 30 |
7 |
Внесение изменений корректирующие мероприятия: - Разработка плана корректирующих мер |
План корректирующих мероприятий
|
2 – 3 |
10 – 20 |
8 |
*Аудит документации: - Проведение проверки соответствия построенной СУИБ проектной, технической документации, разработанной архитектурной модели - Планирование аудита внедрения |
Формальный отчет по документации
План аудита внедрения |
3 |
5 – 10 |
9 |
*Аудит внедрения: - Проверка функционирования и степени внедрения СУИБ |
Рекомендации к регистрации Сертификат соответствия требованиям стандарта |
4 |
5 – 15 |
10 |
*Ресертификация (каждые 3 года): - Подготовка к ре- сертификации (сбор требуемой документации, опрос специалистов, проведение внутреннего аудита) - Проведение повторной сертификации |
Продление действия сертификата |
2 (каждые три года) |
5 – 10 |
∑ = 110 — 210
* п. 8-10 – этапы проводит сертификационный орган (BSI MC).
п. 1-7 – этапы построения СУИБ одобренные и согласованные с экспертами BSI MC