Управляемая безопасность и соответствие стандартам

Аудит, внедрение и поддержка ISO 27001, PCI DSS, VDA ISA, TISAX, ISO 16949, ASPICE, HIPAA, GDPR, НД ТЗИ КСЗИ, других стандартов и требований. Официальная сертификация

Введение

Международный стандарт ISO/IEC 27001:2013 “Information technology — Security techniques — Information security management systems — Requirements” является наиболее распространённой и общепризнанной на планете структурной основой для построения современных Систем Управления Информационной Безопасностью (СУИБ) и их официальной сертификации. Этот стандарт является ключевым в семействе стандартов ISO 27000.

Сертификат соответствия ISO 27001 может не только требоваться вашими регуляторами или потенциальными крупными партнёрами. Соответствие вашей организации ISO 27001 даёт существенные рыночные и конкурентные преимущества, потому что показывает зрелость вашего менеджмента, следование современным лучшим практикам, а также реальную заботу о конфиденциальности информации, устойчивости ИТ-систем, непрерывности бизнеса, ответственности, управляемости и других требованиях бизнеса, связанных с безопасностью.

Опираясь на наш опыт многочисленных проектов внедрения ISO 27001, мы с удовольствием поможем вам достичь реальной управляемости процессами безопасности в вашей организации и получить соответствующий официальный статус. Мы стараемся делать проекты не «для галочки», и разработанные нами документы не пылятся на полках. Мы считаем, что СУИБ строится прежде всего в головах вашего персонала, и только потом это набор документов и записей. Построение реальных СУИБ, приносящих добавленную стоимость вашей организации, а не просто «отмазок» от аудиторов, – в этом наше отличие от других поставщиков услуг.

Реализация и соответствующий процесс сертификации для ISO 27001 и PCI DSS, с точки зрения предоставления услуг, аналогичны. Соответствие играет формальную роль, в то время как фактическая безопасность не всегда отвечает статусу соответствия. Так как мы являемся практическими специалистами по безопасности и хакерами в «белых шляпах», мы помогаем нашим клиентам создавать не только формальное соответствие, но и реальную защиту от современных угроз. Настоящая безопасность — это не только набор решений, политик и процедур. Это также культура безопасности, безопасного мышления и поведения вашего персонала.

Наши сертификаты (CISSP, ISO 27001 Lead Auditor, CISA, OSCP, CEH и т. д.) позволяют нам охватывать как формальные, так и практические аспекты соответствия требованиям безопасности и управления безопасностью.

При построении СУИБ мы опираемся не только на ISO 27001/27002 и PCI DSS, а активно используем также другие стандарты и фреймворки, если это целесообразно в данной конкретной организации, или если это в явном виде требуется нашими заказчиками или их партнёрами: ISF SoGP (Information Security Forum Standard of Good Practice for Information Security), COBIT (Control Objectives for Information and Related Technologies), VDA ISA (Verband der Automobilindustrie Information Security Assessment), TISAX (Trusted Information Security Assessment Exchange), ISO/TS 16949, ASPICE (Automotive Software Performance Improvement and Capability dEtermination), HIPAA (Health Insurance Portability and Accountability Act), GDPR (General Data Privacy Regulation), КСЗИ (комплексная система защиты информации) согласно НД ТЗИ (нормативные документы технической защиты информации) и т. д.

Порядок внедрения ISO 27001

Наш подход к внедрению – мы начинаем с простых и понятных работ, давая вам первую ценность бесплатно, вводя вас в курс дела и позволяя вам чётко понять суть работ по внедрению и ваше участие в них:

1. Подготовка к внедрению. Подготовка опросника самооценки текущего состояния СУИБ. Разработка и документирование области охвата (бизнес-процессы, подразделения, офисы и т. д.). Детализация плана работ по первичному аудиту и гэп-анализу.
   
   Данный этап мы выполняем для вас бесплатно. Затем, если вы понимаете, что вам интересно с нами работать дальше, мы направляем вам коммерческое предложение и подписываем сервисное соглашение.
   
2. Первичный аудит, гэп-анализ и разработка плана внедрения. Выполняется нашими специалистами на протяжении 2-5 недель, в зависимости от утверждённой области охвата. Работы проводятся методами интервьюирования, верификации документов, наблюдений, оценок и проверок физической безопасности и периметра.
   
   Этот этап включает анализ текущего (исходного) состояния процессов и средств управления информационной безопасностью, бизнес-процессов, технологических процессов, анализ физической безопасности офиса, персонала, ИТ-инфраструктуры и т. д. Результатом этого этапа является отчёт по первичному аудиту и гэп-анализу, а также подробный календарный план внедрения СУИБ.
   
   По желанию заказчика, план внедрения учитывает возможность выполнения части задач по внедрению силами самого заказчика.
   
3. Внедрение СУИБ. Выполняется в среднем на протяжении 4-9 месяцев, в зависимости от утверждённой области охвата, исходного состояния, требований к СУИБ и результатов предыдущего этапа. Этот этап включает в себя:
   • организацию работы СУИБ, внедрение политики безопасности и управления рисками;
   • организацию безопасности управления персоналом, физической безопасности и безопасности отношений с поставщиками;
   • внедрение управления активами и доступом;
   • организацию безопасности операций и коммуникаций;
   • построение безопасного жизненного цикла систем;
   • внедрение управления инцидентами безопасности;
   • планирование непрерывности бизнеса и восстановления после аварий;
   • управление соответствием нормам;
   • измерение эффективности СУИБ.
   В ходе проекта мы постоянно обучаем ваш персонал, что и как нужно делать для построения, поддержания и развития СУИБ. Результатом этого этапа является не просто набор документов и записей, соответствующих вашим реальным процессам, но и новая культура безопасности вашей организации, и высшая степень готовности к официальной сертификации.
   
4. Сертификация. Выполняется на протяжении 1-2 месяцев, в зависимости от утверждённой области охвата. Этот этап включает в себя выбор сертифицирующей организации, сопровождение пред-аудита, внедрение корректирующих действий и сопровождение сертификационного аудита.
   
   К сожалению, из-за недостаточно строгого регулирования на рынке сертификации ISO 27001 в последнее время появились сомнительные мелкие организации, предлагающие сертификацию по низкой цене и проводящие аудиты сугубо номинально или вообще не проводящие их. Сертификаты этих организаций признаются далеко не везде. Мы не работаем с такими организациями.
   
   Вначале мы помогаем вам выбрать сертифицирующую организацию из набора солидных, проверенных организаций, например, аккредитованных UKAS. Мы проводим консультации с сертифицирующей организацией от вашего имени, сообщаем им о проделанной работе по внедрению и получаем их предварительное одобрение на проведение сертификации. Затем вы заключаете с ними напрямую договор о сертификации. Они проводят пред-аудит и находят несоответствия, которые бывают всегда. Таков уж характер работы настоящих профессиональных аудиторов. Далее, на протяжении нескольких дней мы с вами выполняем корректирующие действия.
   
   Наконец, проводится финальный сертификационный аудит, на котором мы официально представляем вас и защищаем перед аудиторами то, что мы с вами построили. После этого вы получаете сертификат ISO 27001.

Результаты внедрения ISO 27001

Ниже приведён пример набора документов и записей, отражающих некоторую СУИБ. Содержание этих документов и их соответствие реальным практиками, процессам и операциям проверяется на сертификационном аудите.

Мы предостерегаем вас от прямого копирования и применения этого списка, поскольку структура и наименование документации должны соответствовать требованиям и традициям именно вашей организации. Например, бывают случаи, когда в организации принято вести всего 3-4 документа по безопасности со сложной структурой вместо трёх десятков простых. К примеру, Политика безопасности, Инструкция по безопасности для пользователей, Инструкция по безопасности для ИТ-персонала, Инструкция для отдела безопасности, Единый реестр записей по безопасности. Такой подход к структурированию не запрещается стандартами ISO.

Обязательные документы, требуемые ISO 27001:2013:

1. Описание сферы применения СУИБ (п. 4.3)
2. Политика и цели информационной безопасности (пункты 5.2 и 6.2)
3. Оценка рисков информационной безопасности и методология обработки рисков информационной безопасности (пункт 6.1.2)
4. Заявление о применимости контролей ISO 27001 (Statement of Applicability, пункт 6.1.3d)
5. План обработки рисков информационной безопасности (пункты 6.1.3e и 6.2)
6. Отчет об оценке рисков информационной безопасности (пункт 8.2)

Обязательные документы, требуемые ISO 27002:2013 (приложением A ISO 27001:2013):

1. Политика личных портативных устройств (Bring Your Own Device, BYOD, пункт A.6.2.1)
2. Политика в отношении мобильных устройств и удалённой работы (пункт A.6.2.1)
3. Определение ролей и обязанностей по безопасности (пункты A.7.1.2 и A.13.2.4)
4. Политика приемлемого использования активов (пункт A.8.1.3)
5. Политика классификации информации (пункты A.8.2.1, A.8.2.2 и A.8.2.3)
6. Процедуры утилизации и уничтожения носителей информации и оборудования (пункты A.8.3.2 и A.11.2.7)
7. Политика управления доступом (пункт A.9.1.1)
8. Политика паролей (пункты A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 и A.9.4.3)
9. Процедуры для работы в безопасных зонах (пункт A.11.1.5)
10. Политика чистого стола и чистого экрана (пункт A.11.2.9)
11. Операционные процедуры для управления ИТ (пункт A.12.1.1)
12. Процедуры управления изменениями (пункты A.12.1.2 и A.14.2.4)
13. Политика резервного копирования (пункт A.12.3.1)
14. Политика передачи информации (пункты A.13.2.1, A.13.2.2 и A.13.2.3)
15. Принципы разработки безопасных систем (пункт A.14.2.5)
16. Политика безопасности при отношениях с поставщиками (пункт A.15.1.1)
17. Процедура управления инцидентами безопасности (пункт A.16.1.5)
18. Процедуры обеспечения непрерывности бизнеса (пункт A.17.1.2)
19. Уставные, нормативные и договорные требования по безопасности (пункт A.18.1.1)

Обязательные записи, требуемые ISO 27001:2013 и ISO 27002:2013:

1. Записи об обучении, навыках, опыте и квалификации (пункт 7.2)
2. Результаты мониторинга и измерений (пункт 9.1)
3. Программа внутреннего аудита (пункт 9.2)
4. Результаты внутренних аудитов (пункт 9.2)
5. Результаты анализа со стороны руководства (пункт 9.3)
6. Результаты корректирующих действий (пункт 10.1)
7. Инвентаризация активов (пункт A.8.1.1)
8. Журналы действий пользователей, исключений и событий безопасности (пункты A.12.4.1 и A.12.4.3)

Рекомендуемые документы:

1. Порядок управления документами по безопасности (пункт 7.5)
2. Элементы управления записями по безопасности (пункт 7.5)
3. Порядок внутреннего аудита безопасности (пункт 9.2)
4. Порядок выполнения корректирующих действий по несоответствиям требованиям безопасности (пункт 10.1)
5. Анализ влияния на бизнес инцидентов безопасности (пункт A.17.1.1)
6. План тренировок и испытаний непрерывности бизнеса (пункт A.17.1.3)
7. План технического обслуживания и проверок средств обработки информации (пункт A.17.1.3)
8. Стратегия обеспечения непрерывности бизнеса (пункт A.17.2.1)

Внедрённую СУИБ нужно постоянно поддерживать, ежегодно проходить короткие аудиты, и раз в три года – полные аудиты. Мы помогаем вам поддерживать СУИБ и готовиться к любым аудитам, как со стороны сертифицирующего органа, так и со стороны регуляторов или ваших партнёров.

Если сравнивать инциденты безопасности с болезнями человека, то нормально работающая СУИБ – это здоровый образ жизни + своевременная диагностика. Это не гарантирует отсутствие инцидентов, но кардинально снижает их количество, ущерб от них и бизнес-риски, связанные с безопасностью, такие как риски утечки конфиденциальной или персональной информации, сбоев критически важных систем, искажения или подделки важной информации, действий вирусов, хакеров, обиженных сотрудников, риски штрафов регуляторов за несоблюдение требований безопасности и так далее.

Выберите, пожалуйста, что вам интереснее: бесплатно оценить соответствие вашей организации ISO 27001 онлайн за несколько минут:

Кто мы, что делаем и что предлагаем.

О тестах на проникновение.