GAP-анализ или диагностика соответствия требованиям по информационной безопасности

В последнее время тема информационной безопасности (ИБ) активно развивается, а вместе с тем и законодательство, требования регулирующих органов, партнеров и клиентов в области ИБ. Требований становится так много, что иногда кажется, что они накроют лавиной, из-под завала которой уже не удастся выбраться. Отовсюду мы слышим про штрафы, про потерю имиджа, про снижение конкурентоспособности и даже про невозможность ведения бизнеса.

И тогда встает вопрос – выполнение чьих требований по ИБ необходимо для ведения конкурентоспособного бизнеса? Правильный ответ – всех заинтересованных сторон. Но этих заинтересованных сторон может быть огромное количество для любой компании!!! У каждой из таких заинтересованных сторон будут свои требования по информационной безопасности в компании. Нам необходимо им соответствовать для того, чтобы вести свой бизнес либо даже иногда для того, чтобы начать сотрудничества. Но как узнать какова текущая степень соответствия применимым требованиям в области ИБ? Какие инвестиции и в каких областях, размерах потребуются? Поможет в этом проведение GAP-анализа или диагностики соответствия требованиям по информационной безопасности.

В рамках GAP-анализа проводится оценка соответствия системы управления и обеспечения информационной безопасности заказчика на соответствие применимым требованиям по ИБ.

Что может являться требованиями, на соответствие которым проводится GAP-анализ?

• Международные стандарты и лучшие практики в области информационной безопасности (ISO 27001, ISO 27018, ISO 27031 и др.);
• Требования законодательства и регулирующих органов;
• Требования акционеров и головных компаний холдингов (корпоративные требования и стандарты).
• Требования клиентов и партнеров в части ИБ.
• Внутренние требования по ИБ.

Для кого особенно актуально проведение GAP-анализа?

• Вы планируете внедрять систему управления ИБ и планируете ее сертифицировать в будущем на соответствие международным стандартам, и вам необходимо понять степень текущего соответствие требованиям выбранных стандартов.
• Вы уже ведете проект по построению системы управления ИБ в соответствии с требованиями международных стандартов и не уверены в дизайне некоторых процессов или степени их соответствия выбранным стандартам и требованиям.
• Вы начинаете взаимодействовать с новыми клиентами и партнерами, которые предъявляют к вам свои требования по информационной безопасности.
• У вас происходит реорганизация и/или акционеры и головные компании начинают предъявлять новые требования по информационной безопасности.
• Вы новый человек в компании и хотите оценить степень соответствия существующих процессов управления и обеспечения ИБ внутренним требованиям по информационной безопасности.

Во всех этих случаях результаты GAP-анализа позволят определить степень текущего соответствия актуальным для вас требованиям, и уже на основе этих результатов определить план мероприятий, направленных на достижение соответствия применимому набору требований.

Как проводится GAP-анализ?

Прежде всего, определяется состав требований по ИБ, на соответствие которым будет проводиться GAP-анализ. Это может быть, как один из стандартов, так и целый набор требований по ИБ.

Вместе с тем, определяются область проведения GAP-анализа (территориальные площадки, бизнес-процессы, подразделения и т.д.), методы и длительности проведения аудита. Будет ли это организационная или техническая проверка, какова будет выборка? Все эти вопросы решаются на старте проекта. Как результат – формируется план проведения GAP-анализа.

GAP-анализ проводится очно, по результатам проверки формируется подробный отчет степени соответствия заявленным требованиям по ИБ. Отчет о GAP-анализе служит хорошей основой для корректировки процессов обеспечения и управления ИБ и достижения соответствия применимым требованиям по ИБ.

Преимущества внешнего GAP-анализа от органа по сертификации:

• Объективность и независимость при проведении проверки. Всегда есть возможность проводить GAP-анализ силами внутренних сотрудников или привлеченных консультантов. Однако и тех, и тех нельзя в полной мере считать независимыми – одних связывают неформальные отношения с участниками GAP-анализа, других – интерес в продаже дополнительных консалтинговых услуг. Нашей же основной деятельностью, как органа по сертификации, является проведение оценки соответствия. Независимость – один из основополагающих принципов нашей работы. Вместе это позволяет нам проводить беспристрастную и объективную оценку степени соответствия систем обеспечения и управления ИБ применимым требованиям по ИБ.
• Компетентность аудиторов. Мы предъявляем высокие требования к квалификации наших аудиторов, проводим их регулярную оценку и аттестацию.
• «Тест-драйв» сертификации. Если говорить о международных стандартах в области ИБ, например, об ISO/IEC 27001, то процедура GAP-анализа незначительно отличается от процедуры сертификационного аудита. Это позволяет провести своеобразную репетицию сертификационного аудита, понять нюансы этой проверки и ожидания органа по сертификации в части реализации конкретных требований стандартов.

Подробнее об информационной безопасности: tuev@tuev-sued.ru