В последнее время тема информационной безопасности (ИБ) активно развивается, а вместе с тем и законодательство, требования регулирующих органов, партнеров и клиентов в области ИБ. Требований становится так много, что иногда кажется, что они накроют лавиной, из-под завала которой уже не удастся выбраться. Отовсюду мы слышим про штрафы, про потерю имиджа, про снижение конкурентоспособности и даже про невозможность ведения бизнеса.
И тогда встает вопрос – выполнение чьих требований по ИБ необходимо для ведения конкурентоспособного бизнеса? Правильный ответ – всех заинтересованных сторон. Но этих заинтересованных сторон может быть огромное количество для любой компании!!! У каждой из таких заинтересованных сторон будут свои требования по информационной безопасности в компании. Нам необходимо им соответствовать для того, чтобы вести свой бизнес либо даже иногда для того, чтобы начать сотрудничества. Но как узнать какова текущая степень соответствия применимым требованиям в области ИБ? Какие инвестиции и в каких областях, размерах потребуются? Поможет в этом проведение GAP-анализа или диагностики соответствия требованиям по информационной безопасности.
В рамках GAP-анализа проводится оценка соответствия системы управления и обеспечения информационной безопасности заказчика на соответствие применимым требованиям по ИБ.
Что может являться требованиями, на соответствие которым проводится GAP-анализ?
- Международные стандарты и лучшие практики в области информационной безопасности (ISO 27001, ISO 27018, ISO 27031 и др.);
- Требования законодательства и регулирующих органов;
- Требования акционеров и головных компаний холдингов (корпоративные требования и стандарты).
- Требования клиентов и партнеров в части ИБ.
- Внутренние требования по ИБ.
Для кого особенно актуально проведение GAP-анализа?
- Вы планируете внедрять систему управления ИБ и планируете ее сертифицировать в будущем на соответствие международным стандартам, и вам необходимо понять степень текущего соответствие требованиям выбранных стандартов.
- Вы уже ведете проект по построению системы управления ИБ в соответствии с требованиями международных стандартов и не уверены в дизайне некоторых процессов или степени их соответствия выбранным стандартам и требованиям.
- Вы начинаете взаимодействовать с новыми клиентами и партнерами, которые предъявляют к вам свои требования по информационной безопасности.
- У вас происходит реорганизация и/или акционеры и головные компании начинают предъявлять новые требования по информационной безопасности.
- Вы новый человек в компании и хотите оценить степень соответствия существующих процессов управления и обеспечения ИБ внутренним требованиям по информационной безопасности.
Во всех этих случаях результаты GAP-анализа позволят определить степень текущего соответствия актуальным для вас требованиям, и уже на основе этих результатов определить план мероприятий, направленных на достижение соответствия применимому набору требований.
Как проводится GAP-анализ?
Прежде всего, определяется состав требований по ИБ, на соответствие которым будет проводиться GAP-анализ. Это может быть, как один из стандартов, так и целый набор требований по ИБ.
Вместе с тем, определяются область проведения GAP-анализа (территориальные площадки, бизнес-процессы, подразделения и т.д.), методы и длительности проведения аудита. Будет ли это организационная или техническая проверка, какова будет выборка? Все эти вопросы решаются на старте проекта. Как результат – формируется план проведения GAP-анализа.
GAP-анализ проводится очно, по результатам проверки формируется подробный отчет степени соответствия заявленным требованиям по ИБ. Отчет о GAP-анализе служит хорошей основой для корректировки процессов обеспечения и управления ИБ и достижения соответствия применимым требованиям по ИБ.
Преимущества внешнего GAP-анализа от органа по сертификации:
- Объективность и независимость при проведении проверки. Всегда есть возможность проводить GAP-анализ силами внутренних сотрудников или привлеченных консультантов. Однако и тех, и тех нельзя в полной мере считать независимыми – одних связывают неформальные отношения с участниками GAP-анализа, других – интерес в продаже дополнительных консалтинговых услуг. Нашей же основной деятельностью, как органа по сертификации, является проведение оценки соответствия. Независимость – один из основополагающих принципов нашей работы. Вместе это позволяет нам проводить беспристрастную и объективную оценку степени соответствия систем обеспечения и управления ИБ применимым требованиям по ИБ.
- Компетентность аудиторов. Мы предъявляем высокие требования к квалификации наших аудиторов, проводим их регулярную оценку и аттестацию.
- «Тест-драйв» сертификации. Если говорить о международных стандартах в области ИБ, например, об ISO/IEC 27001, то процедура GAP-анализа незначительно отличается от процедуры сертификационного аудита. Это позволяет провести своеобразную репетицию сертификационного аудита, понять нюансы этой проверки и ожидания органа по сертификации в части реализации конкретных требований стандартов.
Подробнее об информационной безопасности: info@tms-cs.ru