Визначення рівня відповідності систем менеджменту інформаційної безпеки міжнародномустандарту ІSО/ІЕС 27001.

Впровадження СМІБ залежить від розмірів, галузевої специфіки і персоналу організації. Важливим завданням є усвідомлення того, що необхідно зробити для побудови ефективної СМІБ. Після цього зовсім не складно зрозуміти, як це робити. Для чіткого усвідомлення змісту стандарту ІSО/ІЕС 27001 можна самостійно вивчити стандарт, пройти відповідний навчальний курс, прочитати книгу або просто поспілкуватися з фахівцем. Найнадійнішою у цьому випадку є участь у навчальному курсі [26].

Серед етапів впровадження СМІБ найважливішим є первинний аналіз СМІБ. Виконання цього аналізу - це основа для побудови чіткого і зрозумілого плану робіт. Лише після проведення первинного аналізу СМІБ можна говорити про конкретний алгоритм робіт, який належить реалізувати.

Завдання-мінімум: після закінчення цього етапу необхідно отримати такі результати; уявлення про існуючий рівень управління інформаційної безпеки організації; перелік робіт з доопрацювання СМІБ на відповідність стандартуІSО/ІЕС 27001.

Скориставшись рекомендаціями стандарту ІSО/ІЕС 27001, організація отримує цей результат у зручному вигляді з мінімальними затратами. Метою всіх робіт спочатку має бути максимізація прибутку і мінімізація витрат. Тому основним завданням організації є побудова СМІБ, яка відповідає вимогам ІSО/ІЕС 27001 і приносить користь організації як функціонуюча система. При цьому необхідно вкластися в максимально короткий проміжок часу і витратити якомога менше коштів [26].

Для того, щоб визначити реальний рівень СМІБ, необхідно мати чіткі критерії. На перший погляд цими критеріями є вимоги стандарту ІSО/ІБС 27001. Вимоги стандарту – це критерії, проте у них багато загальних фраз. Часто складно відповісти на запитання: виконано конкретну вимогу чи ні. Для того, щоб це можна було зробити, необхідно мати чіткий перелік запитань З варіантами відповідей. Лише такий перелік дає змогу з певною точністю визначити рівень відповідності СМІБ міжнародному стандарту ІSО/ІЕС 27001. Це зумовлює актуальність створення " анкет". Така анкета повинна враховувати всі розділи і пункти стандарту. Анкета має містити чіткі, зрозумілі і прості запитання. Наприклад: " Чи існує документована методика управління ризиками? ". У цьому випадку можуть бути варіанти відповідей «Так» або «НІ». Якщо існує документ з такою назвою, то відповідаємо " так".

У списку можуть бути наведені варіанти відповідей " ТАК" або " НІ", що відповідно означає " Виконано" або " Не виконано". Також зустрічаються складніші варіанти відповідей, що дають можливість отримати точнішу оцінку. Наприклад: " Виконується та документується", " Виконується, але не документується", " Буде виконано", " Буде виконано протягом 12 місяців", " Не виконано". Це є прикладом п'яти градацій відповіді. Від позитивного (виконується і документується) до негативного (не виконано). Такі варіанти відповідей і відповідно різні оцінки рівня виконання вимог стандарту закладають певну точність у результат аналізу. Вибираючи варіанти відповідей, можна користуватися мишкою. Під кожним запитанням можна залишити коментарі, які будуть використані для опису та побудови СМІБ. Кожне запитання чітко ідентифікується з конкретним пунктом стандарту. Пересуваючись по анкеті, можна бачити зміну переліку параметрів. Це зокрема відсоток виконання вимог конкретного розділу стандарту (показник 1) і відсоток виконання всіх вимог стандарту (показник 2). Якщо показник 2 менший за 25 %, тоді говорити про існування хоча б натяків на реальну СМІБ не доводиться. З іншого боку, значення показника 2 на рівні 100 % не означає виконання абсолютно всіх вимог стандарту. Тобто допускається, що деякі внутрішні завдання інформаційної безпеки можуть бути не виконані. Отже, автори анкети знімають з себе відповідальність за неправильні висновки, які може зробити організація, ґрунтуючись на результатах цієї анкети. Інакше кажучи, цей інструмент не підходить для того, щоб зробити об'єктивний висновок про повну відповідність СМІБ вимогам ІSО/ІЕС 27001. Для цього існує інший інструмент - аудит незалежним сертифікаційним органом [26].

Після використання анкети організація вже знає, що саме необхідно з'ясовувати. Тапер необхідно з'ясувати, де саме, вякому підрозділі ставити ті чи інші запитання, насампереднеобхідно розуміти, що на деякі запитання працівники служби захистуінформаціїорганізації й самі можуть дати відповідь.

Зауваження:

- не рекомендується розсилати анкету за відділеннями з проханням її заповнити. Необхідно самостійно озвучувати запитання в підрозділах. За необхідності рекомендується наводити додаткові запитання;

- не рекомендується створювати умови, коли заповнення анкети пройде в режимі " для позначки". Можна заручитися для цього підтримкою вищого керівництва і в деяких випадках попередити про відповідальність у випадку подання неправдивих даних;

- не рекомендується афішувати результати обстеження, особливо для органі­зацій з великим значенням іміджевої складової (банки, страхові компанії тощо), тобто для організацій, в яких функціонування ґрунтується на інформації. Конкуренти, рейдери, ЗМІ можуть використовувати цю інформацію проти організації.

Варто згадати про необхідність забезпечення інформаційної безпеки для самої анкети. Анкета є засобом аудиту та аналізу. Згідно з вимогою стандарту ІSО/IEС 27001 (пункт А.15.3.2) організація зобов'язана обмежити доступ до усіх засобів аудиту, зокрема й до анкети. Це обмеження насамперед стосується власного персоналу. Крім того, важливою є акуратність під час роботи з анкетою. Акуратне занесення даних надасть можливість забезпечити максимально можливу об'єктивність аналізу СМІБ [26].