ENDEUA

Внедрение ISO 27001, VDA, TISAX, GDPR, НД ТЗИ КСЗИ и т. д. и получение официального сертификата

Введение

Международный стандарт ISO/IEC 27001:2013

Международный стандарт ISO/IEC 27001:2013 “Information technology — Security techniques — Information security management systems — Requirements” является наиболее распространённой и общепризнанной на планете структурной основой для построения современных Систем Управления Информационной Безопасностью (СУИБ) и их официальной сертификации.

Сертификат соответствия ISO 27001 может не только требоваться вашими регуляторами или потенциальными крупными партнёрами. Соответствие вашей организации ISO 27001 даёт существенные рыночные и конкурентные преимущества, потому что показывает зрелость вашего менеджмента, следование современным лучшим практикам, а также реальную заботу о конфиденциальности информации, устойчивости ИТ-систем, непрерывности бизнеса, ответственности, управляемости и других требованиях бизнеса, связанных с безопасностью.

Опираясь на наш опыт многочисленных проектов внедрения ISO 27001, мы с удовольствием поможем вам достичь реальной управляемости процессами безопасности в вашей организации и получить соответствующий официальный статус. Мы стараемся делать проекты не «для галочки», и разработанные нами документы не пылятся на полках. Мы считаем, что СУИБ строится прежде всего в головах вашего персонала, и только потом это набор документов и записей. Построение реальных СУИБ, приносящих добавленную стоимость вашей организации, а не просто «отмазок» от аудиторов, – в этом наше отличие от других поставщиков услуг.

При построении СУИБ мы опираемся не только на ISO 27001/27002, а активно используем также другие стандарты и фреймворки, если это целесообразно в данной конкретной организации, или если это в явном виде требуется нашими заказчиками или их партнёрами: ISF SoGP (Information Security Forum Standard of Good Practice for Information Security), COBIT (Control Objectives for Information and Related Technologies), VDA ISA (Verband der Automobilindustrie Information Security Assessment), TISAX (Trusted Information Security Assessment Exchange), GDPR (General Data Privacy Regulation), КСЗИ (комплексная система защиты информации) согласно НД ТЗИ (нормативные документы технической защиты информации) и т. д.

Порядок внедрения ISO 27001

Наш подход к внедрению – мы начинаем с простых и понятных работ, давая вам первую ценность бесплатно, вводя вас в курс дела и позволяя вам чётко понять суть работ по внедрению и ваше участие в них:

  1. Подготовка к внедрению. Подготовка опросника самооценки текущего состояния СУИБ. Разработка и документирование области охвата (бизнес-процессы, подразделения, офисы и т. д.). Детализация плана работ по первичному аудиту и гэп-анализу.

    Данный этап мы выполняем для вас бесплатно. Затем, если вы понимаете, что вам интересно с нами работать дальше, мы направляем вам коммерческое предложение и подписываем сервисное соглашение.
  2. Первичный аудит, гэп-анализ и разработка плана внедрения. Выполняется нашими специалистами на протяжении 2-5 недель, в зависимости от утверждённой области охвата. Работы проводятся методами интервьюирования, верификации документов, наблюдений, оценок и проверок физической безопасности и периметра.

    Этот этап включает анализ текущего (исходного) состояния процессов и средств управления информационной безопасностью, бизнес-процессов, технологических процессов, анализ физической безопасности офиса, персонала, ИТ-инфраструктуры и т. д. Результатом этого этапа является отчёт по первичному аудиту, гэп-анализу и подробный календарный план внедрения СУИБ.

    По желанию заказчика, план внедрения учитывает возможность выполнения части задач по внедрению силами самого заказчика.
  3. Cyber security Внедрение СУИБ. Выполняется на протяжении 2-9 месяцев, в зависимости от утверждённой области охвата, исходного состояния, требований к СУИБ и результатов предыдущего этапа. Этот этап включает в себя:
    • организацию работы СУИБ, внедрение политики безопасности и управления рисками;
    • организацию безопасности управления персоналом, физической безопасности и безопасности отношений с поставщиками;
    • внедрение управления активами и доступом;
    • организацию безопасности операций и коммуникаций;
    • построение безопасного жизненного цикла систем;
    • внедрение управления инцидентами безопасности;
    • планирование непрерывности бизнеса и восстановления после аварий;
    • управление соответствием нормам;
    • измерение эффективности СУИБ.
    В ходе проекта мы постоянно обучаем ваш персонал, что и как нужно делать для построения, поддержания и развития СУИБ. Результатом этого этапа является не просто набор документов и записей, соответствующих вашим реальным процессам, но и новая культура безопасности вашей организации, и высшая степень готовности к официальной сертификации.
  4. ISO 27001 certificate example Сертификация. Выполняется на протяжении 1-2 месяцев, в зависимости от утверждённой области охвата. Этот этап включает в себя выбор сертифицирующей организации, сопровождение пред-аудита, внедрение корректирующих действий и сопровождение сертификационного аудита.

    К сожалению, из-за недостаточно строгого регулирования на рынке сертификации ISO 27001 в последнее время появились сомнительные мелкие организации, предлагающие сертификацию по низкой цене и проводящие аудиты сугубо номинально или вообще не проводящие их. Сертификаты этих организаций признаются далеко не везде. Мы не работаем с такими организациями.

    Вначале мы помогаем вам выбрать сертифицирующую организацию из набора солидных, проверенных организаций, например, аккредитованных UKAS. Мы проводим консультации с сертифицирующей организацией от вашего имени, сообщаем им о проделанной работе по внедрению и получаем их предварительное одобрение на проведение сертификации. Затем вы заключаете с ними напрямую договор о сертификации. Они проводят пред-аудит и находят несоответствия, которые бывают всегда. Таков уж характер работы настоящих профессиональных аудиторов. Далее, на протяжении нескольких дней мы с вами выполняем корректирующие действия.

    Наконец, проводится финальный сертификационный аудит, на котором мы официально представляем вас и защищаем перед аудиторами то, что мы с вами построили. После этого вы получаете сертификат ISO 27001.

Результаты внедрения ISO 27001

Ниже приведён пример набора документов и записей, отражающих некоторую СУИБ. Содержание этих документов и их соответствие реальным практиками, процессам и операциям проверяется на сертификационном аудите.

Мы предостерегаем вас от прямого копирования и применения этого списка, поскольку структура и наименование документации должны соответствовать требованиям и традициям именно вашей организации. Например, бывают случаи, когда в организации принято вести всего 3-4 документа по безопасности со сложной структурой вместо трёх десятков простых. К примеру, Политика безопасности, Инструкция по безопасности для пользователей, Инструкция по безопасности для ИТ-персонала, Инструкция для отдела безопасности, Единый реестр записей по безопасности. Такой подход к структурированию не запрещается стандартами ISO.

Plan-Do-Check-Act cycle in security management

Обязательные документы, требуемые ISO 27001:2013:

  1. Scope of the ISMS (clause 4.3)
  2. Information security policy and objectives (clauses 5.2 and 6.2)
  3. Risk assessment and risk treatment methodology (clause 6.1.2)
  4. Statement of Applicability (clause 6.1.3 d)
  5. Risk treatment plan (clauses 6.1.3 e and 6.2)
  6. Risk assessment report (clause 8.2)
  7. Definition of security roles and responsibilities (clauses A.7.1.2 and A.13.2.4)
  8. Inventory of assets (clause A.8.1.1)
  9. Acceptable use of assets (clause A.8.1.3)
  10. Access control policy (clause A.9.1.1)
  11. Operating procedures for IT management (clause A.12.1.1)
  12. Secure system engineering principles (clause A.14.2.5)
  13. Supplier security policy (clause A.15.1.1)
  14. Incident management procedure (clause A.16.1.5)
  15. Business continuity procedures (clause A.17.1.2)
  16. Statutory, regulatory, and contractual requirements (clause A.18.1.1)

Обязательные записи, требуемые ISO 27001:2013:

  1. Records of training, skills, experience and qualifications (clause 7.2)
  2. Monitoring and measurement results (clause 9.1)
  3. Internal audit program (clause 9.2)
  4. Results of internal audits (clause 9.2)
  5. Results of the management review (clause 9.3)
  6. Results of corrective actions (clause 10.1)
  7. Logs of user activities, exceptions, and security events (clauses A.12.4.1 and A.12.4.3)

Необязательные, но полезные распространённые документы:

  1. Procedure for document control (clause 7.5)
  2. Controls for managing records (clause 7.5)
  3. Procedure for internal audit (clause 9.2)
  4. Procedure for corrective action (clause 10.1)
  5. Bring your own device (BYOD) policy (clause A.6.2.1)
  6. Mobile device and teleworking policy (clause A.6.2.1)
  7. Information classification policy (clauses A.8.2.1, A.8.2.2, and A.8.2.3)
  8. Password policy (clauses A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, and A.9.4.3)
  9. Disposal and destruction policy (clauses A.8.3.2 and A.11.2.7)
  10. Procedures for working in secure areas (clause A.11.1.5)
  11. Clear desk and clear screen policy (clause A.11.2.9)
  12. Change management policy (clauses A.12.1.2 and A.14.2.4)
  13. Backup policy (clause A.12.3.1)
  14. Information transfer policy (clauses A.13.2.1, A.13.2.2, and A.13.2.3)
  15. Business impact analysis (clause A.17.1.1)
  16. Exercising and testing plan (clause A.17.1.3)
  17. Maintenance and review plan (clause A.17.1.3)
  18. Business continuity strategy (clause A.17.2.1)

Внедрённую СУИБ нужно постоянно поддерживать, ежегодно проходить короткие аудиты, и раз в три года – полные аудиты. Мы помогаем вам поддерживать СУИБ и готовиться к любым аудитам, как со стороны сертифицирующего органа, так и со стороны регуляторов или ваших партнёров.

Информационная безопасность - это как охрана здоровья

Если сравнивать инциденты безопасности с болезнями человека, то нормально работающая СУИБ – это здоровый образ жизни + своевременная диагностика. Это не гарантирует отсутствие инцидентов, но кардинально снижает их количество, ущерб от них и бизнес-риски, связанные с безопасностью, такие как риски утечки конфиденциальной или персональной информации, сбоев критически важных систем, искажения или подделки важной информации, действий вирусов, хакеров, обиженных сотрудников, риски штрафов регуляторов за несоблюдение требований безопасности и так далее.



Кто мы, что делаем и что предлагаем.

О тестах на проникновение.


Наши сертификаты:

(ISC)2
CISSP
ISACA
CISA
CISM
Offensive Security
OSCP
PECB
LPTP
Microsoft
Qualys
BSI