Готовность фирм Великобритании к сертификации.




16 Готовность фирм Великобритании к сертификации.

повысить уровень ИБ, то есть большинство руководителей уверено в действенности подобного мероприятия.


Следует отметить, что приведенные цифры отражают положение дел в Великобритании. В этой стране имеется длительный опыт (с 1993 года) добровольного применения стандарта по управлению информационной безопасностью [9], который в настоящее время применяет более 60 % организаций. Добровольная сертификация на соответствие этим стандартам логичное продолжение установившейся практики.


В других странах желающих пройти добровольную сертификацию меньше, но тенденция та же: независимый аудит ИБ начинают рассматривать как весьма действенное средство обеспечения режима ИБ. Кроме национальных институтов стандартов, работы по выполнению аудита выполняет ряд независимых международных организаций, например, Ассоциация аудита и управления информационными системами (The Information Systems Audit and Control Association & Foundation ISACA) [11].


Ниже рассматриваются основные особенности проведения аудита в соответствии с Британским стандартом [11] и стандартами ассоциации аудита и управления информационными системами.


Организация, решившая провести аудит ИБ, должна провести подготовительные мероприятия, привести в соответствие с требованиями стандарта документацию и систему управления ИБ. После этого приглашается аудитор. Процедура аудита рассматривается ниже, ее трудоемкость для крупных организаций может достигать 25-30 человеко-дней работы аудитора. Сертификаты выдаются после проведения аудита подсистемы ИБ на соответствие стандартам BS7799 [12] и действительны в течение 3 лет.


Задачи аудита состоит в том, что аудиторы должны проанализировать все существенные аспекты с учетом размера проверяемой организации и специфики ее деятельности, а также ценности информации, подлежащей защите. Как следствие, опыт и компетентность аудитора являются очень существенными факторами.


В результате проведения аудита создается список замечаний, выявленных несоответствий требованиям стандартов, а также рекомендаций по их исправлению. Аудиторы должны гарантировать, что были выполнены все требования процедуры сертификации.



Начало Назад Вперед