Раз практикой ИБ называют перепечатку книг, практические советы давать как-то неловко. Пусть будут ключи.
1. Если есть возможность, читайте стандарт в оригинале. Кто не знает старый одесский анекдот про Карузо, тот гуглит и знает.
2. Не перегружайте себя информацией - достаточно самих 27тыщ, это и так нехилый объем (и к ним потом 19011, и еще пару раз отправят подглядеть в 18044 и 13335). Чем больше будет вроде бы родственных источников, тем больше все будет только запутываться.
3. Если многократное перечитывание пункта не дает понимания, поищите параллель в 9тыщах (например, инциденты - несоответствующая продукция), они хорошо проработаны. Да, это помогает только с управленческими вопросами, но с техническими Вы и так разберетесь.
4. Не думайте, что при ограниченности в деньгах, времени, иных ресурсах, можно сертифицировать не всю организацию, а любую ее часть. Можно, но не любую.
Чтобы смочь обосновать выбор области сертификации, продемонстрировать связь с бизнесом, отстоять свою оценку рисков и т.п., нужно ИБшить то, что для организации является одним из источников дохода - производство продукта или сервиса (группы продуктов или сервисов). В отсутствие коммерческой деятельности, сгодится безвозмездная услуга, а в отсутствие внешних клиентов - внутренняя, но все равно нечто с потребителями, и чем оно для организации важнее, тем лучше.
В область действия придется взять всех, кто принимает участие в ИБ этой услуги - если обучением занимается работник кадровой службы, скажем, то его тоже. Поэтому когда говорят, что некто сертифицировал сервис-деск, знайте: речь не о подразделении с таким названием, а об услуге сервис-деска.
Очерченные границы будут проверяться и должны быть материальными - либо толстая воздушная прослойка (между питерским офисом, в котором находится часть процессов, и идущим на сертификацию пермским датацентром / казанским отделением / уфимским филиалом), либо заглушка в виде договора ("А это другая услуга, мы получаем ее от телефонистов - вот регламент и внутренний SLA").
Наибольшая экономия ресурсов будет на количестве людей, подготавливаемых к встрече с аудиторами, небольшая на стоимости услуг аудиторов, на документировании незначительная.
5. Требуется, чтобы от провозглашения области в локальном нормативном до выхода на сертификацию прошло хотя бы полгода. На самом деле, от вас ожидают хотя бы единожды пройденный системой менеджмента цикл PDCA, поэтому если за созданием и внедрением СМИБ не последовала оценка руководством (на основе метрик, статистики инцидентов и т.п.) с принятием соответствующих решений, то возраст не поможет.
6. Те же документальные следы четырех фаз, что и для СМИБа в целом, нужны для каждого "контрола": установление правил и порядка (в политиках и процедурах), свидетельства функционирования (журналы), свидетельства проверки (отчеты внутреннего аудита), свидетельства устранения несоответствий между регламентацией и реализацией (карточки внесения изменений или превентивных/корректирующих мер), далее по кругу.
7. В первую очередь запускайте главное колесо: политика ИБ организации и заявление руководства (в эту политику обычно и включают упоминание области действия СМИБ, отвечающей 27 тыщам), положение об управляющем органе СМИБа и все остальные параграфы из бывшей второй части, которая теперь 27001. Ибо пробелы в реализации 27001 - это "мейджоры", т.е. недостатки, несовместимые с сертификацией, а пробелы в реализации 27002 и других 2700х (кроме пунктов, совпадающих с 27001) - это просто несоответствия, которые, если их не бешеные десятки, будете устранять уже после благополучного получения сертификата.
8. Все потребные аудиторам документы, кроме почему-то Положения о применимости,упомянуты в 27001 и 27002 - просто обращайте внимания на слова documented, established, written и formal (и это еще один аргумент в пользу оригинала, т.к. в русском варианте на этом месте может стоять что угодно - от "актировка" до "самовар").
9. Требуйте предсертификационного аудита: те же самые люди, которые сертифицируют, расскажут Вам, что требуется подтянуть, чтобы соответствовало. Идеально, если на предсертификационный вдруг удастся заполучить того же руководителя аудиторской группы, который будет на сертификационном, ибо сколько я их уже перевидел - все по-разному читают стандарт (а связано это, в-основном, с их прошлым, т.к. чем раньше занимался, в том лучше разбирается и на то больше внимания обращает).
10. Не перевыполняйте план, это плохо аукнется при сопровождении (сертификационный аудит - не последний, для поддержания сертификации предстоит регулярно принимать у себя контрольные и ресертификационные). Поэтому гоните консультантов: они построят излишне навороченную систему менеджмента, причем не на имеющемся фундаменте, а рядом отдельно - сертификацию-то пройдете, но эксплуатировать замучаетесь. Поэтому же не заимствуйте реализацию "контролов" у крутых дядек, а ищите подобие у себя и переделывайте.
з.ы. Ну и да, стандарт где-нибудь раздобудьте ;)
1. Если есть возможность, читайте стандарт в оригинале. Кто не знает старый одесский анекдот про Карузо, тот гуглит и знает.
2. Не перегружайте себя информацией - достаточно самих 27тыщ, это и так нехилый объем (и к ним потом 19011, и еще пару раз отправят подглядеть в 18044 и 13335). Чем больше будет вроде бы родственных источников, тем больше все будет только запутываться.
3. Если многократное перечитывание пункта не дает понимания, поищите параллель в 9тыщах (например, инциденты - несоответствующая продукция), они хорошо проработаны. Да, это помогает только с управленческими вопросами, но с техническими Вы и так разберетесь.
4. Не думайте, что при ограниченности в деньгах, времени, иных ресурсах, можно сертифицировать не всю организацию, а любую ее часть. Можно, но не любую.
Чтобы смочь обосновать выбор области сертификации, продемонстрировать связь с бизнесом, отстоять свою оценку рисков и т.п., нужно ИБшить то, что для организации является одним из источников дохода - производство продукта или сервиса (группы продуктов или сервисов). В отсутствие коммерческой деятельности, сгодится безвозмездная услуга, а в отсутствие внешних клиентов - внутренняя, но все равно нечто с потребителями, и чем оно для организации важнее, тем лучше.
В область действия придется взять всех, кто принимает участие в ИБ этой услуги - если обучением занимается работник кадровой службы, скажем, то его тоже. Поэтому когда говорят, что некто сертифицировал сервис-деск, знайте: речь не о подразделении с таким названием, а об услуге сервис-деска.
Очерченные границы будут проверяться и должны быть материальными - либо толстая воздушная прослойка (между питерским офисом, в котором находится часть процессов, и идущим на сертификацию пермским датацентром / казанским отделением / уфимским филиалом), либо заглушка в виде договора ("А это другая услуга, мы получаем ее от телефонистов - вот регламент и внутренний SLA").
Наибольшая экономия ресурсов будет на количестве людей, подготавливаемых к встрече с аудиторами, небольшая на стоимости услуг аудиторов, на документировании незначительная.
5. Требуется, чтобы от провозглашения области в локальном нормативном до выхода на сертификацию прошло хотя бы полгода. На самом деле, от вас ожидают хотя бы единожды пройденный системой менеджмента цикл PDCA, поэтому если за созданием и внедрением СМИБ не последовала оценка руководством (на основе метрик, статистики инцидентов и т.п.) с принятием соответствующих решений, то возраст не поможет.
6. Те же документальные следы четырех фаз, что и для СМИБа в целом, нужны для каждого "контрола": установление правил и порядка (в политиках и процедурах), свидетельства функционирования (журналы), свидетельства проверки (отчеты внутреннего аудита), свидетельства устранения несоответствий между регламентацией и реализацией (карточки внесения изменений или превентивных/корректирующих мер), далее по кругу.
7. В первую очередь запускайте главное колесо: политика ИБ организации и заявление руководства (в эту политику обычно и включают упоминание области действия СМИБ, отвечающей 27 тыщам), положение об управляющем органе СМИБа и все остальные параграфы из бывшей второй части, которая теперь 27001. Ибо пробелы в реализации 27001 - это "мейджоры", т.е. недостатки, несовместимые с сертификацией, а пробелы в реализации 27002 и других 2700х (кроме пунктов, совпадающих с 27001) - это просто несоответствия, которые, если их не бешеные десятки, будете устранять уже после благополучного получения сертификата.
8. Все потребные аудиторам документы
9. Требуйте предсертификационного аудита: те же самые люди, которые сертифицируют, расскажут Вам, что требуется подтянуть, чтобы соответствовало. Идеально, если на предсертификационный вдруг удастся заполучить того же руководителя аудиторской группы, который будет на сертификационном, ибо сколько я их уже перевидел - все по-разному читают стандарт (а связано это, в-основном, с их прошлым, т.к. чем раньше занимался, в том лучше разбирается и на то больше внимания обращает).
10. Не перевыполняйте план, это плохо аукнется при сопровождении (сертификационный аудит - не последний, для поддержания сертификации предстоит регулярно принимать у себя контрольные и ресертификационные). Поэтому гоните консультантов: они построят излишне навороченную систему менеджмента, причем не на имеющемся фундаменте, а рядом отдельно - сертификацию-то пройдете, но эксплуатировать замучаетесь. Поэтому же не заимствуйте реализацию "контролов" у крутых дядек, а ищите подобие у себя и переделывайте.
з.ы. Ну и да, стандарт где-нибудь раздобудьте ;)
