Pull to refresh

5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Гнев

Information SecurityData storage
Вторая стадия эмоционального реагирования на изменения – гнев. Этому соответствует наша стадия борьбы со сложностями начальной подготовки к сертификации – чему и посвящён наш сегодняшний рассказ.

image

Мы начали путь к сертификату со следующими исходными данными:

  • cроки сертификации: как можно скорее;
  • бюджет: чем меньше, тем лучше (но так, чтобы всё было прилично);
  • команда: 1,5-2 человека (менеджер проекта + периодически подключавшиеся сотрудники IT-отдела и руководство);
  • знания команды в области информационной безопасности: так себе.

image

Выглядит не очень впечатляюще, правда? Мы даже не представляли, с каким большим количеством сложностей нам придется столкнуться в процессе работы и какое серьезное количество решений нам предстоит принять.

Мы ведь совсем ничего не знаем!


Одна из основных сложностей заключалась в том, что в нашей компании никто не обладал достаточной экспертизой в области информационной безопасности. Ни у кого из сотрудников не было никаких профессиональных сертификатов и профессионального опыта внедрения системы менеджмента информационной безопасности. Это вызывало серьезные опасения: а справимся ли мы с этим? Может быть, нам сначала нужно пройти какое-то обучение? Или необходимо нанять человека, у которого уже есть такой опыт?

Спойлер:
Таких людей в принципе очень мало на рынке, так как на всю страну есть 70 действующих сертификатов.

Действительно, можно нанять консультанта, но как мы сможем оценить его профессионализм, если мы сами ничего в этом не понимаем?

Забегая вперёд, мы можем сказать: даже с такими исходными данными задача оказалась вполне решаемой. Главное – наличие у команды логики, здравого смысла и чёткого понимания того, зачем компании нужна сертификация.

Может просто «загуглить»?


У нас действительно не было экспертизы, но ведь в век современных технологий нам доступна практически любая информация – бесплатно или за совсем небольшие деньги. Поэтому в начале проекта мы полагали, что с легкостью найдем всю необходимую информацию для успешной подготовки к сертификации в Интернете, а также легко скачаем образцы всех нужных документов.

В реальности всё оказалось совершенно не так:

Во-первых, мы в принципе не совсем понимали, что конкретно нужно «гуглить».

Во-вторых, всё, что мы находили в открытом доступе, было очень размытым – никакой конкретики, никаких реальных кейсов.

В-третьих, все образцы документов, которые мы находили в Интернете, были совсем нерелевантными для нашей компании. И даже на английском языке практически отсутствовали доступные для понимания пошаговые инструкции и кейсы компаний, успешно прошедших сертификацию. Таким образом, путь к сертификату нам пришлось нащупывать самостоятельно.

С какого конца начать распутывать клубок?


После усиленного поиска информации в Интернете мы поняли, что для начала нам следует определиться с:

  • сертифицирующим органом;
  • консультантом по сертификации (ведь у нас реально нет экспертизы – и нужно найти кого-то, у кого она уже есть);
  • технологические средства для разработки и ведения системы (в последующих статьях мы более детально раскроем этот немаловажный пункт).

Первые два – это ключевые контрагенты при проведении сертификации, к их выбору стоит отнестись очень внимательно (что мы и сделали). Таким образом, первое, на чём мы решили сфокусироваться – это проведение двух тендеров для выбора этих ключевых контрагентов.

Как выбрать сертифицирующий орган?


Безусловно, выбор сертифицирующего органа зависит от причин, побудивших вас заняться подготовкой к сертификации. Если Вы дошли до этого места в статье, то, вероятно, сертификат вам нужен не просто для галочки – иначе бы вы уже воспользовались услугами компаний, которые предлагают сделать сертификат за час и 10 тысяч рублей. Соответственно, вам стоит сосредоточить свое внимание на сертифицирующих органах, имеющих обширную международную практику и аккредитованных в интересующих Вас странах.

Компаний, готовых сертифицировать вас в России по стандарту ISO 27001, не так уж много – мы отобрали около 10 приличных участников для тендера. Ключевыми критериями для выбора были:

  • наличие международных аккредитаций,
  • портфолио клиентов и их рекомендации,
  • цена.

Удивительно, что по последнему пункту мы получили разброс почти в 10 раз! При этом некоторые из участников тендера заявили, что могут предоставить нам только аудитора-иностранца. Это автоматически означало прохождение сертификационного аудита на английском языке, что для нас, в принципе, не представляло большой проблемы, так как все ключевые сотрудники знают его на высоком уровне, но для кого-то это определенно может стать проблемой.

Позже мы узнали, что специалистов, которые могут проводить сертификационный аудит по этому стандарту, в нашей стране очень немного. Почти все они работают на несколько сертифицирующих органов и знакомы друг с другом.

Как выбрать консультанта по подготовке к сертификации?


Компаний, предлагающих свои услуге по подготовке к сертификации, сейчас довольно много. Однако, не все из них реально могут помочь – некоторые из них, по сути, просто вышлют вам шаблоны политик, где нужно вставить имя вашей компании, не вникая при этом в ваши бизнес-процессы. Естественно, такой подход мало поможет вам при сертификации.

Концептуально, есть 2 решения поставленной задачи:

  • Подготовка консультантом всех документов «под ключ». Этот подход, несомненно, позволит не сильно загружать своих сотрудников подготовкой к сертификации. Однако, здесь риск того, что ваши процессы и процедуры будут задокументированы недостаточно достоверно.
  • Проверка консультантом документов, подготовленных вашими сотрудниками. Здесь, вероятно, качество документации будет лучше, поскольку её будут готовить те сотрудники, которые хорошо знакомы с процессами.

При подготовке к сертификации мы действовали по второму сценарию. Исходя из нашего опыта, можно дать несколько советов по поводу выбора консультанта для сертификации:

image

  • Просите рекомендации компаний-консультантов у сертифицирующих органов, среди которых вы проводите тендер – именно так мы нашли своего.
  • Заранее обговаривайте и фиксируйте в договоре объем и состав работ, а также ответственность каждой стороны.
  • Поддерживайте связь с консультантом регулярно на протяжении всего периода подготовки к сертификации – это позволит сэкономить время и избежать необходимости переделывать большие куски документации.

Окей, но теперь-то всё нормально?


В процессе сбора материалов, необходимых для подготовки к сертификации, выяснились удивительные вещи. Например, тот факт, что ISO 27001 завязан на некоторое количество смежных стандартов (с которыми следует ознакомиться хотя бы поверхностно).

Это, например, такие стандарты, как:

  • ISO 19011 – Руководящие указания по аудиту систем менеджмента
  • ISO 22301 – Системы менеджмента непрерывности бизнеса
  • ISO 31000 – Менеджмент рисков. Принципы и руководящие указания
  • ISO 27003 – Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности

Вышеперечисленный список является основополагающим, но не всеобъемлющим. Каждая компания формирует его исходя из собственной потребности. Мы предпочли не «изобретать велосипед» и, например, в вопросах управления рисками и проведения аудита систем менеджмента опирались на ISO 31000 и ISO 19011 соответственно. Вспомогательный стандарт ISO 27003 помог нам своей сопутствующей информацией по внедрению 27001. Но больше всего мы работали с ISO 22301, который необходим для описания той части политик, которые отвечают за business continuity plan (BCP).

Спойлер:
Если в своих политиках вы ссылаетесь на конкретный стандарт, текст данного стандарта должен быть приобретен вами и быть в наличии.

«Вишенкой» на торте стало отсутствие актуальных текстов этих стандартов в открытом доступе. Хочешь ознакомиться с содержанием – покупай официальный текст на сайте ISO за ~10 тысяч рублей.

А сколько это будет стоить?


В рамках подготовки к старту проекта мы, естественно, решили посчитать, во сколько нам обойдётся сертификация.

Спойлер
На компанию из 100 человек с 3 офисами мы потратили приблизительно 1 миллион рублей (и это без учёта стоимости часов сотрудников – эту страшную цифру мы просто решили не считать).
Общая структура затрат на сертификацию в нашем случае выглядела так:

— затраты на гонорар сертифицирующему органу,
— затраты на гонорар консультанту для подготовки к сертификации,
— командировочные расходы аудитора,
— представительские расходы,
— затраты на маркировку документов (на все папки с документами, коих в бухгалтерской компании невероятно много, пришлось наклеить наклейки разных цветов),
— затраты на покупку официальных текстов стандартов,
— затраты на оборудование всех помещений, выходящих на общую территорию бизнес-центров, СКУД (системами контроля и управления доступом),
— затраты на софт (DLP-система, внедрение двухфакторной авторизации и т.д.),
— модернизация «железа» компании (как серверного, так и «операционного»),
— дополнительные затраты на ЦОД(ы),
— человеко-часы сотрудников, вовлеченных в сертификацию.

image

Очень советуем заложить в бюджете запас, так как все необходимые затраты перед стартом проекта спрогнозировать крайне сложно.

Таким образом, на старте проекта по сертификации мы испытали очень большое количество гнева – к счастью, в итоге нам удалось справиться и с этим. :)

Читайте также:

5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Гнев: С чего начать? Исходные данные. Затраты. Выбор провайдера.
5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Отрицание: заблуждения о сертификации ISO 27001:2013, целесообразность получения сертификата/
5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Торг: подготовка плана внедрения, оценка рисков, написание политик.
Tags:информационная безопасностьISO 27001СМИБсертификацияконфиденциальность
Hubs: Information Security Data storage
Total votes 3: ↑3 and ↓0 +3
Views3.1K

Popular right now

Cyber Security Engineer[Security team]
from 4,000 to 5,500 $Coins.phRemote job
Security engineer
from 150,000 to 300,000 ₽PleskНовосибирскRemote job
Sr. Mobile App Engineer (iOS) Russian-speaker (cryptocurrency)
from 250,000 to 600,000 ₽PointPayRemote job
Senior Android Mobile App Engineer (cryptocurrency)
from 250,000 to 600,000 ₽PointPayRemote job