ENDEUA

Аудит безопасности. Внедрение стандартов. Управляемая безопасность

Внедрение и поддержка ISO 27001, VDA, TISAX, GDPR, НД ТЗИ КСЗИ, других стандартов и требований. Официальная сертификация
Рекомендуем Онлайн-мастер оценки соответствия ISO 27001. Проверьте за 10 минут, насколько ваша компания соответствует ISO 27001, а также что и сколько времени вам нужно для достижения полного соответствия и сертификации.

Узнайте также, как мы внедряли ISO 27001 в компании, которая разрабатывает медицинское программное обеспечение.

Введение

Международный стандарт ISO/IEC 27001:2013

Международный стандарт ISO/IEC 27001:2013 “Information technology — Security techniques — Information security management systems — Requirements” является наиболее распространённой и общепризнанной на планете структурной основой для построения современных Систем Управления Информационной Безопасностью (СУИБ) и их официальной сертификации.

Сертификат соответствия ISO 27001 может не только требоваться вашими регуляторами или потенциальными крупными партнёрами. Соответствие вашей организации ISO 27001 даёт существенные рыночные и конкурентные преимущества, потому что показывает зрелость вашего менеджмента, следование современным лучшим практикам, а также реальную заботу о конфиденциальности информации, устойчивости ИТ-систем, непрерывности бизнеса, ответственности, управляемости и других требованиях бизнеса, связанных с безопасностью.

Опираясь на наш опыт многочисленных проектов внедрения ISO 27001, мы с удовольствием поможем вам достичь реальной управляемости процессами безопасности в вашей организации и получить соответствующий официальный статус. Мы стараемся делать проекты не «для галочки», и разработанные нами документы не пылятся на полках. Мы считаем, что СУИБ строится прежде всего в головах вашего персонала, и только потом это набор документов и записей. Построение реальных СУИБ, приносящих добавленную стоимость вашей организации, а не просто «отмазок» от аудиторов, – в этом наше отличие от других поставщиков услуг.

При построении СУИБ мы опираемся не только на ISO 27001/27002, а активно используем также другие стандарты и фреймворки, если это целесообразно в данной конкретной организации, или если это в явном виде требуется нашими заказчиками или их партнёрами: ISF SoGP (Information Security Forum Standard of Good Practice for Information Security), COBIT (Control Objectives for Information and Related Technologies), VDA ISA (Verband der Automobilindustrie Information Security Assessment), TISAX (Trusted Information Security Assessment Exchange), GDPR (General Data Privacy Regulation), КСЗИ (комплексная система защиты информации) согласно НД ТЗИ (нормативные документы технической защиты информации) и т. д.

Порядок внедрения ISO 27001

Наш подход к внедрению – мы начинаем с простых и понятных работ, давая вам первую ценность бесплатно, вводя вас в курс дела и позволяя вам чётко понять суть работ по внедрению и ваше участие в них:

  1. Подготовка к внедрению. Подготовка опросника самооценки текущего состояния СУИБ. Разработка и документирование области охвата (бизнес-процессы, подразделения, офисы и т. д.). Детализация плана работ по первичному аудиту и гэп-анализу.

    Данный этап мы выполняем для вас бесплатно. Затем, если вы понимаете, что вам интересно с нами работать дальше, мы направляем вам коммерческое предложение и подписываем сервисное соглашение.
  2. Первичный аудит, гэп-анализ и разработка плана внедрения. Выполняется нашими специалистами на протяжении 2-5 недель, в зависимости от утверждённой области охвата. Работы проводятся методами интервьюирования, верификации документов, наблюдений, оценок и проверок физической безопасности и периметра.

    Этот этап включает анализ текущего (исходного) состояния процессов и средств управления информационной безопасностью, бизнес-процессов, технологических процессов, анализ физической безопасности офиса, персонала, ИТ-инфраструктуры и т. д. Результатом этого этапа является отчёт по первичному аудиту и гэп-анализу, а также подробный календарный план внедрения СУИБ.

    По желанию заказчика, план внедрения учитывает возможность выполнения части задач по внедрению силами самого заказчика.
  3. Cyber security Внедрение СУИБ. Выполняется в среднем на протяжении 4-9 месяцев, в зависимости от утверждённой области охвата, исходного состояния, требований к СУИБ и результатов предыдущего этапа. Этот этап включает в себя:
    • организацию работы СУИБ, внедрение политики безопасности и управления рисками;
    • организацию безопасности управления персоналом, физической безопасности и безопасности отношений с поставщиками;
    • внедрение управления активами и доступом;
    • организацию безопасности операций и коммуникаций;
    • построение безопасного жизненного цикла систем;
    • внедрение управления инцидентами безопасности;
    • планирование непрерывности бизнеса и восстановления после аварий;
    • управление соответствием нормам;
    • измерение эффективности СУИБ.
    В ходе проекта мы постоянно обучаем ваш персонал, что и как нужно делать для построения, поддержания и развития СУИБ. Результатом этого этапа является не просто набор документов и записей, соответствующих вашим реальным процессам, но и новая культура безопасности вашей организации, и высшая степень готовности к официальной сертификации.
  4. ISO 27001 certificate example Сертификация. Выполняется на протяжении 1-2 месяцев, в зависимости от утверждённой области охвата. Этот этап включает в себя выбор сертифицирующей организации, сопровождение пред-аудита, внедрение корректирующих действий и сопровождение сертификационного аудита.

    К сожалению, из-за недостаточно строгого регулирования на рынке сертификации ISO 27001 в последнее время появились сомнительные мелкие организации, предлагающие сертификацию по низкой цене и проводящие аудиты сугубо номинально или вообще не проводящие их. Сертификаты этих организаций признаются далеко не везде. Мы не работаем с такими организациями.

    Вначале мы помогаем вам выбрать сертифицирующую организацию из набора солидных, проверенных организаций, например, аккредитованных UKAS. Мы проводим консультации с сертифицирующей организацией от вашего имени, сообщаем им о проделанной работе по внедрению и получаем их предварительное одобрение на проведение сертификации. Затем вы заключаете с ними напрямую договор о сертификации. Они проводят пред-аудит и находят несоответствия, которые бывают всегда. Таков уж характер работы настоящих профессиональных аудиторов. Далее, на протяжении нескольких дней мы с вами выполняем корректирующие действия.

    Наконец, проводится финальный сертификационный аудит, на котором мы официально представляем вас и защищаем перед аудиторами то, что мы с вами построили. После этого вы получаете сертификат ISO 27001.

Результаты внедрения ISO 27001

Ниже приведён пример набора документов и записей, отражающих некоторую СУИБ. Содержание этих документов и их соответствие реальным практиками, процессам и операциям проверяется на сертификационном аудите.

Мы предостерегаем вас от прямого копирования и применения этого списка, поскольку структура и наименование документации должны соответствовать требованиям и традициям именно вашей организации. Например, бывают случаи, когда в организации принято вести всего 3-4 документа по безопасности со сложной структурой вместо трёх десятков простых. К примеру, Политика безопасности, Инструкция по безопасности для пользователей, Инструкция по безопасности для ИТ-персонала, Инструкция для отдела безопасности, Единый реестр записей по безопасности. Такой подход к структурированию не запрещается стандартами ISO.

Plan-Do-Check-Act cycle in security management
Обязательные документы, требуемые ISO 27001:2013:
  1. Описание сферы применения СУИБ (п. 4.3)
  2. Политика и цели информационной безопасности (пункты 5.2 и 6.2)
  3. Оценка рисков информационной безопасности и методология обработки рисков информационной безопасности (пункт 6.1.2)
  4. Заявление о применимости контролей ISO 27001 (Statement of Applicability, пункт 6.1.3d)
  5. План обработки рисков информационной безопасности (пункты 6.1.3e и 6.2)
  6. Отчет об оценке рисков информационной безопасности (пункт 8.2)
Обязательные документы, требуемые ISO 27002:2013 (приложением A ISO 27001:2013):
  1. Политика личных портативных устройств (Bring Your Own Device, BYOD, пункт A.6.2.1)
  2. Политика в отношении мобильных устройств и удалённой работы (пункт A.6.2.1)
  3. Определение ролей и обязанностей по безопасности (пункты A.7.1.2 и A.13.2.4)
  4. Политика приемлемого использования активов (пункт A.8.1.3)
  5. Политика классификации информации (пункты A.8.2.1, A.8.2.2 и A.8.2.3)
  6. Процедуры утилизации и уничтожения носителей информации и оборудования (пункты A.8.3.2 и A.11.2.7)
  7. Политика управления доступом (пункт A.9.1.1)
  8. Политика паролей (пункты A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 и A.9.4.3)
  9. Процедуры для работы в безопасных зонах (пункт A.11.1.5)
  10. Политика чистого стола и чистого экрана (пункт A.11.2.9)
  11. Операционные процедуры для управления ИТ (пункт A.12.1.1)
  12. Процедуры управления изменениями (пункты A.12.1.2 и A.14.2.4)
  13. Политика резервного копирования (пункт A.12.3.1)
  14. Политика передачи информации (пункты A.13.2.1, A.13.2.2 и A.13.2.3)
  15. Принципы разработки безопасных систем (пункт A.14.2.5)
  16. Политика безопасности при отношениях с поставщиками (пункт A.15.1.1)
  17. Процедура управления инцидентами безопасности (пункт A.16.1.5)
  18. Процедуры обеспечения непрерывности бизнеса (пункт A.17.1.2)
  19. Уставные, нормативные и договорные требования по безопасности (пункт A.18.1.1)
Обязательные записи, требуемые ISO 27001:2013 и ISO 27002:2013:
  1. Записи об обучении, навыках, опыте и квалификации (пункт 7.2)
  2. Результаты мониторинга и измерений (пункт 9.1)
  3. Программа внутреннего аудита (пункт 9.2)
  4. Результаты внутренних аудитов (пункт 9.2)
  5. Результаты анализа со стороны руководства (пункт 9.3)
  6. Результаты корректирующих действий (пункт 10.1)
  7. Инвентаризация активов (пункт A.8.1.1)
  8. Журналы действий пользователей, исключений и событий безопасности (пункты A.12.4.1 и A.12.4.3)
Рекомендуемые документы:
  1. Порядок управления документами по безопасности (пункт 7.5)
  2. Элементы управления записями по безопасности (пункт 7.5)
  3. Порядок внутреннего аудита безопасности (пункт 9.2)
  4. Порядок выполнения корректирующих действий по несоответствиям требованиям безопасности (пункт 10.1)
  5. Анализ влияния на бизнес инцидентов безопасности (пункт A.17.1.1)
  6. План тренировок и испытаний непрерывности бизнеса (пункт A.17.1.3)
  7. План технического обслуживания и проверок средств обработки информации (пункт A.17.1.3)
  8. Стратегия обеспечения непрерывности бизнеса (пункт A.17.2.1)
Информационная безопасность - это как охрана здоровья

Внедрённую СУИБ нужно постоянно поддерживать, ежегодно проходить короткие аудиты, и раз в три года – полные аудиты. Мы помогаем вам поддерживать СУИБ и готовиться к любым аудитам, как со стороны сертифицирующего органа, так и со стороны регуляторов или ваших партнёров.

Если сравнивать инциденты безопасности с болезнями человека, то нормально работающая СУИБ – это здоровый образ жизни + своевременная диагностика. Это не гарантирует отсутствие инцидентов, но кардинально снижает их количество, ущерб от них и бизнес-риски, связанные с безопасностью, такие как риски утечки конфиденциальной или персональной информации, сбоев критически важных систем, искажения или подделки важной информации, действий вирусов, хакеров, обиженных сотрудников, риски штрафов регуляторов за несоблюдение требований безопасности и так далее.


Выберите, пожалуйста, что вам интереснее: бесплатно оценить соответствие вашей организации ISO 27001 онлайн за несколько минут:


или получить бесплатно консультацию по внедрению ISO 27001:


Кто мы, что делаем и что предлагаем.

О тестах на проникновение.


Наши сертификаты:

(ISC)2
CISSP
ISACA
CISA
CISM
Offensive Security
OSCP
PECB
LPTP
Microsoft
Qualys
BSI