Управляемая безопасность и соответствие стандартам
Аудит, внедрение и поддержка ISO 27001, PCI DSS, VDA ISA, ENX TISAX®, ISO 16949, ASPICE, HIPAA, GDPR, SOC2, НД ТЗИ КСЗИ, других стандартов и требований. Официальная сертификация
Узнайте также, как мы внедряли ISO 27001 в компании, которая разрабатывает медицинское программное обеспечение.
Введение

Международный стандарт ISO/IEC 27001:2013 “Information technology — Security techniques — Information security management systems — Requirements” является наиболее распространённой и общепризнанной на планете структурной основой для построения современных Систем Управления Информационной Безопасностью (СУИБ) и их официальной сертификации. Этот стандарт является ключевым в семействе стандартов ISO 27000.
Сертификат соответствия ISO 27001 может не только требоваться вашими регуляторами или потенциальными крупными партнёрами. Соответствие вашей организации ISO 27001 даёт существенные рыночные и конкурентные преимущества, потому что показывает зрелость вашего менеджмента, следование современным лучшим практикам, а также реальную заботу о конфиденциальности информации, устойчивости ИТ-систем, непрерывности бизнеса, ответственности, управляемости и других требованиях бизнеса, связанных с безопасностью.
Опираясь на наш опыт многочисленных проектов внедрения ISO 27001, мы с удовольствием поможем вам достичь реальной управляемости процессами безопасности в вашей организации и получить соответствующий официальный статус. Мы стараемся делать проекты не «для галочки», и разработанные нами документы не пылятся на полках. Мы считаем, что СУИБ строится прежде всего в головах вашего персонала, и только потом это набор документов и записей. Построение реальных СУИБ, приносящих добавленную стоимость вашей организации, а не просто «отмазок» от аудиторов, – в этом наше отличие от других поставщиков услуг.
Реализация и соответствующий процесс сертификации для ISO 27001 и PCI DSS, с точки зрения предоставления услуг, аналогичны. Соответствие играет формальную роль, в то время как фактическая безопасность не всегда отвечает статусу соответствия. Так как мы являемся практическими специалистами по безопасности и хакерами в «белых шляпах», мы помогаем нашим клиентам создавать не только формальное соответствие, но и реальную защиту от современных угроз. Настоящая безопасность — это не только набор решений, политик и процедур. Это также культура безопасности, безопасного мышления и поведения вашего персонала.
Наши сертификаты (CISSP, ISO 27001 Lead Auditor, CISA, OSCP, CEH и т. д.) позволяют нам охватывать как формальные, так и практические аспекты соответствия требованиям безопасности и управления безопасностью.
При построении СУИБ мы опираемся не только на ISO 27001/27002, а активно используем также другие стандарты и фреймворки, если это целесообразно в данной конкретной организации, или если это в явном виде требуется нашими заказчиками или их партнёрами:
- VDA ISA (Verband der Automobilindustrie Information Security Assessment), ENX TISAX® (Trusted Information Security Assessment Exchange), ISO/TS 16949, ASPICE (Automotive Software Performance Improvement and Capability dEtermination);
- PCI DSS (Payment Card Industry Data Security Standard), SWIFT Customer Security Controls Framework (CSCF);
- HIPAA (Health Insurance Portability and Accountability Act), HITECH (Health Information Technology for Economic and Clinical Health), HITRUST (Health Information Trust Alliance);
- GDPR (General Data Privacy Regulation);
- SOC 2 (System and Organization Control);
- ISF SoGP (Information Security Forum Standard of Good Practice for Information Security);
- COBIT (Control Objectives for Information and Related Technologies);
- КСЗИ (комплексная система защиты информации) согласно НД ТЗИ (нормативные документы технической защиты информации) и т. д.
Порядок внедрения СУИБ
Наш подход к внедрению – мы начинаем с простых и понятных работ, давая вам первую ценность бесплатно, вводя вас в курс дела и позволяя вам чётко понять суть работ по внедрению и ваше участие в них:
- Подготовка к внедрению. Подготовка опросника самооценки текущего состояния СУИБ. Разработка и документирование области охвата (бизнес-процессы, подразделения, офисы и т. д.). Детализация плана работ по первичному аудиту и гэп-анализу.
Данный этап мы выполняем для вас бесплатно. Затем, если вы понимаете, что вам интересно с нами работать дальше, мы направляем вам коммерческое предложение и подписываем сервисное соглашение. - Первичный аудит, гэп-анализ и разработка плана внедрения. Выполняется нашими специалистами на протяжении 2-5 недель, в зависимости от утверждённой области охвата. Работы проводятся методами интервьюирования, верификации документов, наблюдений, оценок и проверок физической безопасности и периметра.
Этот этап включает анализ текущего (исходного) состояния процессов и средств управления информационной безопасностью, бизнес-процессов, технологических процессов, анализ физической безопасности офиса, персонала, ИТ-инфраструктуры и т. д. Результатом этого этапа является отчёт по первичному аудиту и гэп-анализу, а также подробный календарный план внедрения СУИБ.
По желанию заказчика, план внедрения учитывает возможность выполнения части задач по внедрению силами самого заказчика. -
Внедрение СУИБ. Выполняется в среднем на протяжении 4-9 месяцев, в зависимости от утверждённой области охвата, исходного состояния, требований к СУИБ и результатов предыдущего этапа. Этот этап включает в себя:
- организацию работы СУИБ, внедрение политики безопасности и управления рисками;
- организацию безопасности управления персоналом, физической безопасности и безопасности отношений с поставщиками;
- внедрение управления активами и доступом;
- организацию безопасности операций и коммуникаций;
- построение безопасного жизненного цикла систем;
- внедрение управления инцидентами безопасности;
- планирование непрерывности бизнеса и восстановления после аварий;
- управление соответствием нормам;
- измерение эффективности СУИБ.
-
Сертификация. Выполняется на протяжении 1-2 месяцев, в зависимости от утверждённой области охвата. Этот этап включает в себя выбор сертифицирующей организации, сопровождение пред-аудита, внедрение корректирующих действий и сопровождение сертификационного аудита.
К сожалению, из-за недостаточно строгого регулирования на рынке сертификации ISO 27001 в последнее время появились сомнительные мелкие организации, предлагающие сертификацию по низкой цене и проводящие аудиты сугубо номинально или вообще не проводящие их. Сертификаты этих организаций признаются далеко не везде. Мы не работаем с такими организациями.
Вначале мы помогаем вам выбрать сертифицирующую организацию из набора солидных, проверенных организаций, например, аккредитованных UKAS. Мы проводим консультации с сертифицирующей организацией от вашего имени, сообщаем им о проделанной работе по внедрению и получаем их предварительное одобрение на проведение сертификации. Затем вы заключаете с ними напрямую договор о сертификации. Они проводят пред-аудит и находят несоответствия, которые бывают всегда. Таков уж характер работы настоящих профессиональных аудиторов. Далее, на протяжении нескольких дней мы с вами выполняем корректирующие действия.
Наконец, проводится финальный сертификационный аудит, на котором мы официально представляем вас и защищаем перед аудиторами то, что мы с вами построили. После этого вы получаете сертификат ISO 27001.
Результаты внедрения ISO 27001
Ниже приведён пример набора документов и записей, отражающих некоторую СУИБ. Содержание этих документов и их соответствие реальным практиками, процессам и операциям проверяется на сертификационном аудите.
Мы предостерегаем вас от прямого копирования и применения этого списка, поскольку структура и наименование документации должны соответствовать требованиям и традициям именно вашей организации. Например, бывают случаи, когда в организации принято вести всего 3-4 документа по безопасности со сложной структурой вместо трёх десятков простых. К примеру, Политика безопасности, Инструкция по безопасности для пользователей, Инструкция по безопасности для ИТ-персонала, Инструкция для отдела безопасности, Единый реестр записей по безопасности. Такой подход к структурированию не запрещается стандартами ISO.

Обязательные документы, требуемые ISO 27001:2013:
- Описание сферы применения СУИБ (п. 4.3)
- Политика и цели информационной безопасности (пункты 5.2 и 6.2)
- Оценка рисков информационной безопасности и методология обработки рисков информационной безопасности (пункт 6.1.2)
- Заявление о применимости контролей ISO 27001 (Statement of Applicability, пункт 6.1.3d)
- План обработки рисков информационной безопасности (пункты 6.1.3e и 6.2)
- Отчет об оценке рисков информационной безопасности (пункт 8.2)
Обязательные документы, требуемые ISO 27002:2013 (приложением A ISO 27001:2013):
- Политика личных портативных устройств (Bring Your Own Device, BYOD, пункт A.6.2.1)
- Политика в отношении мобильных устройств и удалённой работы (пункт A.6.2.1)
- Определение ролей и обязанностей по безопасности (пункты A.7.1.2 и A.13.2.4)
- Политика приемлемого использования активов (пункт A.8.1.3)
- Политика классификации информации (пункты A.8.2.1, A.8.2.2 и A.8.2.3)
- Процедуры утилизации и уничтожения носителей информации и оборудования (пункты A.8.3.2 и A.11.2.7)
- Политика управления доступом (пункт A.9.1.1)
- Политика паролей (пункты A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 и A.9.4.3)
- Процедуры для работы в безопасных зонах (пункт A.11.1.5)
- Политика чистого стола и чистого экрана (пункт A.11.2.9)
- Операционные процедуры для управления ИТ (пункт A.12.1.1)
- Процедуры управления изменениями (пункты A.12.1.2 и A.14.2.4)
- Политика резервного копирования (пункт A.12.3.1)
- Политика передачи информации (пункты A.13.2.1, A.13.2.2 и A.13.2.3)
- Принципы разработки безопасных систем (пункт A.14.2.5)
- Политика безопасности при отношениях с поставщиками (пункт A.15.1.1)
- Процедура управления инцидентами безопасности (пункт A.16.1.5)
- Процедуры обеспечения непрерывности бизнеса (пункт A.17.1.2)
- Уставные, нормативные и договорные требования по безопасности (пункт A.18.1.1)
Обязательные записи, требуемые ISO 27001:2013 и ISO 27002:2013:
- Записи об обучении, навыках, опыте и квалификации (пункт 7.2)
- Результаты мониторинга и измерений (пункт 9.1)
- Программа внутреннего аудита (пункт 9.2)
- Результаты внутренних аудитов (пункт 9.2)
- Результаты анализа со стороны руководства (пункт 9.3)
- Результаты корректирующих действий (пункт 10.1)
- Инвентаризация активов (пункт A.8.1.1)
- Журналы действий пользователей, исключений и событий безопасности (пункты A.12.4.1 и A.12.4.3)
Рекомендуемые документы:
- Порядок управления документами по безопасности (пункт 7.5)
- Элементы управления записями по безопасности (пункт 7.5)
- Порядок внутреннего аудита безопасности (пункт 9.2)
- Порядок выполнения корректирующих действий по несоответствиям требованиям безопасности (пункт 10.1)
- Анализ влияния на бизнес инцидентов безопасности (пункт A.17.1.1)
- План тренировок и испытаний непрерывности бизнеса (пункт A.17.1.3)
- План технического обслуживания и проверок средств обработки информации (пункт A.17.1.3)
- Стратегия обеспечения непрерывности бизнеса (пункт A.17.2.1)

Внедрённую СУИБ нужно постоянно поддерживать, ежегодно проходить короткие аудиты, и раз в три года – полные аудиты. Мы помогаем вам поддерживать СУИБ и готовиться к любым аудитам, как со стороны сертифицирующего органа, так и со стороны регуляторов или ваших партнёров.
Если сравнивать инциденты безопасности с болезнями человека, то нормально работающая СУИБ – это здоровый образ жизни + своевременная диагностика. Это не гарантирует отсутствие инцидентов, но кардинально снижает их количество, ущерб от них и бизнес-риски, связанные с безопасностью, такие как риски утечки конфиденциальной или персональной информации, сбоев критически важных систем, искажения или подделки важной информации, действий вирусов, хакеров, обиженных сотрудников, риски штрафов регуляторов за несоблюдение требований безопасности и так далее.
Выберите, пожалуйста, что вам интереснее: бесплатно оценить соответствие вашей организации ISO 27001 онлайн за несколько минут:
или получить бесплатно консультацию по внедрению ISO 27001:
Кто мы, что делаем и что предлагаем.