В прошлый раз я публиковал рекомендации по внедрению СУИБ, а сейчас хочу поделиться своими мыслями про подготовку и прохождение сертификационного аудита. Держите!
1. Выберите хороший орган по сертификации. Мне понравилось работать с BSI и Bureau Veritas.
2. Постарайтесь сделать (запланировать) так чтобы между первой стадией аудита (анализ документации) и второй (анализ процессов) у вас был запас времени в несколько недель. В прошлый раз у нас был месяц, мы успели поправить и устранить несколько потенциальных несоответствий.
3. Помните, что аудиторы в первую очередь будут смотреть Процедуры (и Записи, подтверждающие их выполнение), а не Политики/Стандарты. Основная задача показать аудиторам, что СУИБ управляема и постоянно совершенствуется.
4. Внимательно изучите ISO 27006 и ISO 27007 чтобы понимать, что будут смотреть аудиторы и как будут проверять. Об этом писал тут - http://80na20.blogspot.com/2018/11/iso-27001.html
5. Изучите и поработайте с подробным чек-листом «Подготовка к внешнему аудиту ИБ», который я недавно выкладывал - http://80na20.blogspot.com/2019/02/blog-post.html
6. Когда получите план аудита, то расширьте его поименным перечнем ответственных лиц со стороны вашей организации и утвердите его внутренним приказом. Перечень лиц согласуйте заранее с непосредственными руководителями.
7. Полезно сделать отдельную папку с копиями документов и записей, которые вы будете показывать на аудите (но вы все равно должны знать где хранятся оригиналы). Рекомендую документы из doc перевести в формат pdf. Также рекомендую в названии указывать «copy» (особенно для больших экселек)
8. Моя структура папки для аудита такая:
• 00. Context
• 01. IS Committee + Orders
• 02. ISMS Policy and Plan
• 03. Document and Records Management
• 04. Risk Management
• 05. IS Awareness and HR
• 06. IS Audits
• 07. Incident Management
• 08, ISMS Monitoring, Measurement and Review
• 09. Corrective Actions and Non-Conformity Management
• 10. BCM
• 11. Supplier Relationships
• 12. Information Classification and Handling
• All Standards and Procedures
• By Data Center
• For audit
9. Обязательно проверьте наличие проставленных версий и дат утверждения документов и записей. Желательно показать аудитору, что все документы СУИБ актуальные (срок их пересмотра еще не пришел), а некоторые документы были обновлены. Если у всех наших документов ревизия 1 – это наталкивает на мысль о плохом внедрении документов и процессов…
10. Большую часть документов вы будете показывать на месте во время аудита, но некоторые у вас запросят. В прошлый раз мы передавали аудитору следующие:
• Копия Устава организации;
• Копия лицензии на вид деятельности;
• Копия документа о регистрации организации;
• Структурная схема организации с подразделениями, включенными в сферу сертификации;
• Перечень законодательных и нормативных требований, применимых к деятельности организации;
• Перечень документов организации по информационной безопасности;
• Копия Заявления о применимости (SoA);
• Письмо на имя руководителя аудита с указанием:
- наименования организации (русский и английский язык),
- адреса организации (русский и английский язык),
- области сертификации (русский и английский язык),
- количества сертификатов (обычно в стоимость аудита включен один сертификат на русском языке и один сертификат на английском языке).
11. В целом, постарайтесь ограничиться в передаче документов аудиторам, лучше их показывать на своей площадке и на своем оборудовании.
12. Что будут смотреть особенно пристально:
• Описание (границы) области сертификации;
• Описание ролей и ответственности;
• Перечень активов;
• Отчеты по рискам;
• Отчеты по аудитам;
• Отчеты по измерениям ИБ;
• Процедуру предоставления и изменения прав доступа;
• BCP / DRP;
• Отчеты о тестировании резервного копирования и восстановления;
• Отчеты о тестировании BCP / DRP.
13. Если что-то не успели сделать / внедрить до аудита, то задокументируйте План этих действий… Это может помочь избежать несоответствий.
14. За пару дней до аудита напишите на всех сотрудников письмо о том, что будет проходить аудит, что стоит вспомнить основные положения документов СУИБ и постараться во время аудита «не косячить» хотя бы с выполнением политики чистых столов и экранов.
15. За 1-2 дня до аудита проведите совещание – инструктаж сотрудников, которых будут интервьюировать в ходе аудита. Обсудите план аудита, возможные вопросы и желательные ответы, сильные и слабые стороны, правила взаимодействия с аудиторами и прочее. Разошлите участникам краткую памятку про СУИБ (у нас она в виде презентации).
16. Важная мысли, стратегия общения с аудиторами: не спрашивают – не говорить, не просят – не показывать…
17. Довольно странно будет выглядеть, если вы на аудит привлечете еще и консультантов, которые вам помогали внедрять СУИБ. Вы что, не знаете свои процессы и документы? Может вы их плохо внедрили?
18. Перед аудитом пройдите и осмотрите все помещения, особое внимание уделите общим местам (коридоры, переговорные комнаты, помещение с МФУ и пр.). Сейфы и запираемые шкафы должны быть заперты, оставленных ключей быть не должно, документы (особенно с пометками о конфиденциальности) должны быть убраны, использованные листы на флипчатах должны быть утилизированы, маркерные доски – почищены.
19. Сделайте большую вводную презентацию про компанию и СУИБ, которую будете показывать аудитору. Отразите в ней:
• Правильное наименование организации (юридическое);
• Адрес;
• Веб-сайт;
• Краткое описание компании (чем вы занимаетесь?);
• Структура управления компанией;
• Основные заинтересованные стороны и их ожидания;
• Основные требования к СУИБ;
• Scope СУИБ;
• Политика СУИБ;
• Цели СУИБ;
• Ключевые вехи и события СУИБ;
• Команда ИБ (лучше с фото);
• Перечень документов СУИБ;
• Перечень процессов СУИБ;
• Результаты прошлых аудитов и перечень открытых NCR.
20. Будьте добры и заботливы к аудиторам, организуйте им комфортную среду для работы. Запланируйте и организуйте для них:
• Пропуск на территорию;
• Постоянное сопровождение;
• Парковку (при необходимости);
• Переговорные комнаты;
• WiFi;
• Воду, чай/кофе, легкие закуски;
• Обед (от ужина аудиторы обычно отказываются);
• Переводчика (при необходимости);
• Трансфер (при необходимости).
21. Хорошая практика – присутствие представителя руководства на первом вводном и заключительном совещаниях. Чем выше будет его уровень, тем лучше.
22. Ведите заметки во время аудита, от хорошего аудитора можно получить много полезных идей…
23. Что необходимо посмотреть и проверить в отчете аудитора, который вы получите:
• Наименование и адрес организации;
• Даты аудита;
• Область действия СУИБ;
• Список несоответствий;
• Наименования и версии документов СУИБ;
• Рекомендации по улучшению.
24. Несущественные несоответствия можно будет закрыть планом, реализацию которого проверят через год в ходе надзорного аудита.
25. При выявлении существенных несоответствий у вас будет 90 дней на их исправление.
26. В целом, выявленные несоответствия можно попробовать оспорить…
Успешного аудита!
