СУИБ: Рекомендации по подготовке и прохождению сертификационного аудита

СУИБ: Рекомендации по подготовке и прохождению сертификационного аудита
В прошлый раз я публиковал рекомендации по внедрению СУИБ, а сейчас хочу поделиться своими мыслями про подготовку и прохождение сертификационного аудита. Держите!

1. Выберите хороший орган по сертификации. Мне понравилось работать с BSI и Bureau Veritas. 

2. Постарайтесь сделать (запланировать) так чтобы между первой стадией аудита (анализ документации) и второй (анализ процессов) у вас был запас времени в несколько недель. В прошлый раз у нас был месяц, мы успели поправить и устранить несколько потенциальных несоответствий.

3. Помните, что аудиторы в первую очередь будут смотреть Процедуры (и Записи, подтверждающие их выполнение), а не Политики/Стандарты. Основная задача показать аудиторам, что СУИБ управляема и постоянно совершенствуется.

4. Внимательно изучите ISO 27006 и ISO 27007 чтобы понимать, что будут смотреть аудиторы и как будут проверять. Об этом писал тут  - http://80na20.blogspot.com/2018/11/iso-27001.html  

5. Изучите и поработайте с подробным чек-листом «Подготовка к внешнему аудиту ИБ», который я недавно выкладывал - http://80na20.blogspot.com/2019/02/blog-post.html  

6. Когда получите план аудита, то расширьте его поименным перечнем ответственных лиц со стороны вашей организации и утвердите его внутренним приказом. Перечень лиц согласуйте заранее с непосредственными руководителями.

7. Полезно сделать отдельную папку с копиями документов и записей, которые вы будете показывать на аудите (но вы все равно должны знать где хранятся оригиналы). Рекомендую документы из doc перевести в формат pdf. Также рекомендую в названии указывать «copy» (особенно для больших экселек)

8. Моя структура папки для аудита такая:
00. Context
01. IS Committee + Orders
02. ISMS Policy and Plan
03. Document and Records Management
04. Risk Management
05. IS Awareness and HR
06. IS Audits
07. Incident Management
08, ISMS Monitoring, Measurement and Review
09. Corrective Actions and Non-Conformity Management
10. BCM
11. Supplier Relationships
12. Information Classification and Handling
All Standards and Procedures
By Data Center
For audit

9. Обязательно проверьте наличие проставленных версий и дат утверждения документов и записей. Желательно показать аудитору, что все документы СУИБ актуальные (срок их пересмотра еще не пришел), а некоторые документы были обновлены. Если у всех наших документов ревизия 1 – это наталкивает на мысль о плохом внедрении документов и процессов…

10. Большую часть документов вы будете показывать на месте во время аудита, но некоторые у вас запросят. В прошлый раз мы передавали аудитору следующие:
Копия Устава организации;
Копия лицензии на вид деятельности; 
Копия документа о регистрации организации; 
Структурная схема организации с подразделениями, включенными в сферу сертификации; 
Перечень законодательных и нормативных требований, применимых к деятельности организации; 
Перечень документов организации по информационной безопасности; 
Копия Заявления о применимости (SoA);
Письмо на имя руководителя аудита с указанием: 
- наименования организации (русский и английский язык), 
- адреса организации (русский и английский язык), 
- области сертификации (русский и английский язык), 
- количества сертификатов (обычно в стоимость аудита включен один сертификат на русском языке и один сертификат на английском языке). 

11. В целом, постарайтесь ограничиться в передаче документов аудиторам, лучше их показывать на своей площадке и на своем оборудовании. 

12. Что будут смотреть особенно пристально:
Описание (границы) области сертификации;
Описание ролей и ответственности;
Перечень активов;
Отчеты по рискам;
Отчеты по аудитам;
Отчеты по измерениям ИБ;
Процедуру предоставления и изменения прав доступа;
BCP / DRP;
Отчеты о тестировании резервного копирования и восстановления;
Отчеты о тестировании BCP / DRP.

13. Если что-то не успели сделать / внедрить до аудита, то задокументируйте План этих действий… Это может помочь избежать несоответствий. 

14. За пару дней до аудита напишите на всех сотрудников письмо о том, что будет проходить аудит, что стоит вспомнить основные положения документов СУИБ и постараться во время аудита «не косячить» хотя бы с выполнением политики чистых столов и экранов.

15. За 1-2 дня до аудита проведите совещание – инструктаж сотрудников, которых будут интервьюировать в ходе аудита. Обсудите план аудита, возможные вопросы и желательные ответы, сильные и слабые стороны, правила взаимодействия с аудиторами и прочее. Разошлите участникам краткую памятку про СУИБ (у нас она в виде презентации). 

16. Важная мысли, стратегия общения с аудиторами: не спрашивают – не говорить, не просят – не показывать…

17. Довольно странно будет выглядеть, если вы на аудит привлечете еще и консультантов, которые вам помогали внедрять СУИБ. Вы что, не знаете свои процессы и документы? Может вы их плохо внедрили?

18. Перед аудитом пройдите и осмотрите все помещения, особое внимание уделите общим местам (коридоры, переговорные комнаты, помещение с МФУ и пр.). Сейфы и запираемые шкафы должны быть заперты, оставленных ключей быть не должно, документы (особенно с пометками о конфиденциальности) должны быть убраны, использованные листы на флипчатах должны быть утилизированы, маркерные доски – почищены.

19. Сделайте большую вводную презентацию про компанию и СУИБ, которую будете показывать аудитору. Отразите в ней:
Правильное наименование организации (юридическое);
Адрес;
Веб-сайт;
Краткое описание компании (чем вы занимаетесь?);
Структура управления компанией;
Основные заинтересованные стороны и их ожидания;
Основные требования к СУИБ;
Scope СУИБ;
Политика СУИБ;
Цели СУИБ;
Ключевые вехи и события СУИБ;
Команда ИБ (лучше с фото);
Перечень документов СУИБ;
Перечень процессов СУИБ;
Результаты прошлых аудитов и перечень открытых NCR.

20. Будьте добры и заботливы к аудиторам, организуйте им комфортную среду для работы. Запланируйте и организуйте для них:
Пропуск на территорию;
Постоянное сопровождение;
Парковку (при необходимости);
Переговорные комнаты;
WiFi;
Воду, чай/кофе, легкие закуски;
Обед (от ужина аудиторы обычно отказываются);
Переводчика (при необходимости);
Трансфер (при необходимости).

21. Хорошая практика – присутствие представителя руководства на первом вводном и заключительном совещаниях. Чем выше будет его уровень, тем лучше. 

22. Ведите заметки во время аудита, от хорошего аудитора можно получить много полезных идей…

23. Что необходимо посмотреть и проверить в отчете аудитора, который вы получите:
Наименование и адрес организации;
Даты аудита;
Область действия СУИБ;
Список несоответствий;
Наименования и версии документов СУИБ;
Рекомендации по улучшению.

24. Несущественные несоответствия можно будет закрыть планом, реализацию которого проверят через год в ходе надзорного аудита. 

25. При выявлении существенных несоответствий у вас будет 90 дней на их исправление. 

26. В целом, выявленные несоответствия можно попробовать оспорить…

Успешного аудита!
Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

Andrey Prozorov

Информационная безопасность в России и мире