Пару недель назад я прошел 5-дневное обучение по курсу ISMS ISO 27001:2013 Lead Auditor (Ведущий аудитор систем управления информационной безопасностью по стандарту ISO 27001) и сегодня расскажу вам о нем.
Что это такое и зачем это надо?
По сути, это обучение является обязательным шагом для получения статуса ведущего аудитора по ISO 27001. Соответствующий статус необходим аудиторам для проведения сертификационных аудитов СУИБ (это может быть довольно неплохой работой / подработкой для специалистов по ИБ), а также часто требуется для внутренних аудиторов, внешних аудиторов (при аудитах второй стороны (подрядчиков и партнеров)) или внешних консультантов. Однако он заточен именно на стандарт ISO 27001, а если вы проводите аудиты по другим критериям, то ценнее, на мой взгляд, обладать сертификатом CISA .
Обычно статус ведущего аудитора по ISO 27001 получают ведущие аудиторы по другим стандартам и системам управления (например, по управлению качеством), или консультанты, которые активно работают со стандартом ISO 27001. Но если вы занимаетесь внедрением СУИБ, то вместо "аудиторского" лучше присмотреться к довольно редкому курсу и статусу Lead Implementer. Я в свое время хотел получить именно его, но у меня с ним как-то не сложилось, то группа не набралась, то я был в командировке, то в отпуске... Ну, в общем, года 3 я не мог состыковать даты и потом уже перестал за ним гоняться...
По результатам обучения на ведущего аудитора обещают понимание стандартов ISO 27001 и 19011, а также готовность к самостоятельному проведению аудитов СУИБ:
On successfully completing the course, students will be able to:
- Audit as per the requirements of ISO/IEC 27001:2013 standard
- Understand key elements of ISO 19011 and ISO/IEC 17021Standards
- Understand key information security issues
- Plan an audit against a set of audit criteria
- Successfully execute an Information Security Management system audit
- Create clear, concise and relevant audit reports
- Communicate the audit findings to a client
Лучше всего ориентироваться на курсы от компаний, которые аккредитованы на проведение сертификационных аудитов СУИБ. Также обращайте внимание, чтобы курс был аккредитован IRCA (International Register of Certificated Auditors) . Тогда итоговые знания и "бумажки" будут цениться и в России и в Мире. На мой взгляд, самые известные и хороший курсы в России проводят BSI и Bureau Veritas , но есть и другие варианты. Я проходил обучение в Bureau Veritas.
Чаще всего обучение в России проводит зарубежный тренер на английском языке, экзамен тоже на английском. Цена курса "кусается", обычно 1500 - 3000 евро.
Для получения статуса Ведущего аудитора не достаточно просто пройти курс и сдать экзамен, надо еще подтвердить аудиторский опыт. Но об этом чуть позже.
Как проходит обучение?
Обычно такой курс проходит офлайн, он включает 40 часов обучения и экзамен. Группа от 4 до 20 человек. Но в этом году мы с коллегами обучались онлайн в группе из 8 человек (это максимум для онлайн).
При онлайн обучении необходимо держать камеру постоянно включенной и активно участвовать в обсуждении и решении кейсов, в противном случае курс могут не засчитать даже при положительном результате экзамена. Это, кстати, действительно проверяют, после курса мне прислали детальный отчет о моих успехах во время курса и итоговую оценку, получил 9 из 10. Для прохождения этой части достаточно 6+ баллов по каждому из критериев оценки (они завязаны на темы курса).
Участники курса уже должны иметь опыт работы с системами управления и понимать смысл цикла PDCA, разбираться в процессах управления ИБ и хорошо знать стандарт ISO 27001 (желательно пройти дополнительные курсы). И, что удивительно, нам даже дали домашнее задание, которое мы должны были сделать ДО курса и проверить во время.
Оно состояло из True/False теста (надо ответить правда или нет на утверждение) и письменной работы.
- All information security risks identified throughout an organisation shall be eliminated. True or False?
- Statement of Applicability shall include justification for exclusion of controls. True or False?
А в письменной работе, например, в одном из заданий попросили перечислить все виды обязательных “Documented Information” с указанием их типа (документ или запись) и ссылкой на соответствующее требование стандарта ISO 27001. Ну, или вот еще пару вопросов, на которые просили подготовить письменные ответы:
- How will you audit the effectiveness of the Management Review Process (Cl 9.3)?
- What are the means by which an organization can improve the performance of its ISMS Continually?
Курс состоял из коротких презентаций и огромного количества заданий и воркшопов (14 заданий, 6 воркшопов). И именно практическими упражнениями и был ценен этот курс. Мы разбирали возможные вопросы и свидетельства по каждому пункту стандарта ISO 27001, разрабатывали планы аудитов и опросники, готовились к вводному и закрывающему совещанию, заполняли NCR и все такое. И еще нам каждый день давали домашние задания. Да, все на английском. В общем, это был, пожалуй, самый тяжелый и изнурительный курс и всех, что я когда-либо посещал.
Но пользы от него было много, даже с моим многолетним опытом построения СУИБов, я узнал много нового, да и просто лучше систематизировал свои знания. Кстати, по результатам обучения я наконец-то закончил подготовку и выложил на Патреон тулкит аудитора - https://80na20.blogspot.com/p/my-auditors-toolkit.html и особенно полезным инструментом стала итоговая майндкарта "Guidelines for ISMS auditing" - https://www.patreon.com/posts/44005904 .
Но, в целом, курс мне показался чуть подзатянутым, его бы сократить до 3-4 дней вместо 5...
Как проходит экзамен?
После курса необходимо сдать экзамен. Он проходит в письменной форме (надо писать краткие и развернутые ответы) на английском языке. На экзамен отводится 2 часа, но иностранцам добавляют еще 30 минут. Можно пользоваться выданной копией стандарта ISO 27001 и словарем. А вот стандартами ISO 27000 и ISO 19011 пользоваться нельзя, хотя по ним тоже были вопросы...
Экзамен состоит из 4 секций. Всего можно набрать 90 баллов, проходной - 63, но в каждой секции надо набрать не менее 50%. В первой секции можно набрать 10 баллов (5 вопросов с кратким ответом, например, "Identify two ways in which an auditor can verify that agreed corrective actions have been effectively implemented"), во второй - 20 (требуют более развернутые ответы на вопросы) в третьей и четвертой по 30. В третьей части просят разобрать кейсы или детально объяснить сложные модели и процессы, а в четвертой части надо решать кейсы, выявлять несоответствия и оформлять их отчетами (NCR).
В этом году экзамен проходил удаленно. Необходимо было расшарить экран, включить веб-камеру и звук, все сторонние приложения и вкладки должны были быть закрыты. Пользоваться можно было только присланной версией стандарта, дополнительные материалы и даже веб-переводчики были запрещены. Это проверялось строго, за любые нарушения могут экзамен не засчитать.
Письменную работу проверяет преподаватель, а потом еще и какой-то сторонний специалист. Нам обещали дать результаты уже через неделю, но потом написали, что на проверку уйдет до 45 дней (они еще пересматривают видеозапись с экзамена). Свой результат я не до сих пор не знаю, и мне прислали сертификат пока только о том, что я прошел обучение. Если экзамен не сдам, то у меня будет 12 месяцев на его пересдачу.
Письменный экзамен на английском - это очень тяжело. Сложно и писать и контролировать время.
Что дальше?
При успешной сдаче экзамена можно пойти дальше по CQI-IRCA ISMS Auditor Certification scheme и подать документы на проверку опыта и регистрацию в реестре сертифицированных аудиторов. Подача документов и первый год членства стоит £225. Также придется заполнять различные анкеты и подтверждать опыт. Если я пойду по этому пути, то отдельно расскажу об этом в блоге...