ENDERU

Аудит безпеки. Впровадження стандартів. Керована безпека

Впровадження та підтримка ISO 27001, VDA, TISAX, GDPR, НД ТЗІ КСЗІ, інших стандартів та вимог. Офіційна сертифікація
Рекомендуємо вам Онлайн-майстер оцінки відповідності ISO 27001. Перевірте за 10 хвилин, наскільки ваша компанія відповідає ISO 27001, а також що та скільки часу вам потрібно для досягнення повної відповідності та сертифікації.

Дізнайтеся також, як ми впроваджували ISO 27001 в компанії, яка розробляє медичне програмне забезпечення.

Вступ

Міжнародний стандарт ISO/IEC 27001:2013

Міжнародний стандарт ISO/IEC 27001:2013 “Information technology — Security techniques — Information security management systems — Requirements” є найбільш поширеною та загальновизнаною на планеті структурною основою для побудови сучасних Систем Управління Інформаційною Безпекою (СУІБ) та їхньої офіційної сертифікації.

Сертификат відповідності ISO 27001 може не тільки вимагатися вашими регуляторами або потенційними великими партнерами. Відповідність вашої організації ISO 27001 дає суттєві ринкові та конкурентні переваги, тому що показує зрілість вашого менеджменту, слідування сучасним кращим практикам, а також реальну турботу про конфіденційність інформації, стійкість ІТ-систем, безперервність бізнесу, відповідальність, керованість та інші вимоги бізнесу, пов'язані з безпекою.

Спираючись на наш досвід численних проектів впровадження ISO 27001, ми із задоволенням допоможемо вам досягти реальної керованості процесів безпеки у вашій організації та отримати відповідний офіційний статус. Ми намагаємося робити проекти не «для галочки», і розроблені нами документи не припадають пилом на полицях. Ми вважаємо, що СУІБ будується перш за все в головах вашого персоналу, і тільки потім це набір документів і записів. Побудова реальних СУІБ, що приносять додану вартість вашій організації, а не просто «відмазок» від аудиторів, – в цьому наша відмінність від інших постачальників послуг.

При побудові СУІБ ми спираємося не тільки на ISO 27001/27002, але й активно використовуємо також інші стандарти та фреймворки, якщо це доцільно у даній конкретній організації, або якщо це в явному вигляді вимагається нашими замовниками або їхніми партнерами: ISF SoGP (Information Security Forum Standard of Good Practice for Information Security), COBIT (Control Objectives for Information and Related Technologies), VDA ISA (Verband der Automobilindustrie Information Security Assessment), TISAX (Trusted Information Security Assessment Exchange), GDPR (General Data Privacy Regulation), КСЗИ (комплексна система захисту інформації) згідно НД ТЗИ (нормативні документи технічного захисту інформації), тощо.

Порядок впровадження ISO 27001

Наш підхід до впровадження – ми починаємо з простих та зрозумілих робіт, даючи вам першу цінність безкоштовно, вводячи вас у курс справи та дозволяючи вам чітко зрозуміти суть робіт з впровадження та вашу участь в них:

  1. Підготовка до впровадження. Підготовка опитувальника самооцінки поточного стану СУІБ. Розробка та документування області охоплення (бізнес-процеси, підрозділи, офіси, тощо). Деталізація плану робіт з первинного аудиту та геп-аналізу.

    Даний етап ми виконуємо для вас безкоштовно. Потім, якщо ви розумієте, що вам цікаво з нами працювати далі, ми направляємо вам комерційну пропозицію та підписуємо сервісну угоду.
  2. Первинний аудит, геп-аналіз і розробка плану впровадження. Виконується нашими фахівцями протягом 2-5 тижнів, у залежності від затвердженої області охоплення. Роботи проводяться методами інтерв'ювання, верифікації документів, спостережень, оцінок і перевірок фізичної безпеки та периметра.

    Цей етап включає аналіз поточного (вихідного) стану процесів і засобів управління інформаційною безпекою, бізнес-процесів, технологічних процесів, аналіз фізичної безпеки офісу, персоналу, ІТ-інфраструктури, тощо. Результатом цього етапу є звіт з первинного аудиту та геп-аналізу, а також детальний календарний план впровадження СУІБ.

    За бажанням замовника, план впровадження враховує можливість виконання частини завдань з впровадження силами самого замовника.
  3. Cyber security Впровадження СУІБ. Виконується в середньому протягом 4-9 місяців, у залежності від затвердженої області охоплення, вихідного стану, вимог до СУІБ і результатів попереднього етапу. Цей етап включає в себе:
    • організацію роботи СУІБ, впровадження політики безпеки та управління ризиками;
    • організацію безпеки управління персоналом, фізичної безпеки та безпеки відносин з постачальниками;
    • впровадження управління активами та доступом;
    • організацію безпеки операцій та комунікацій;
    • побудова безпечного життєвого циклу систем;
    • впровадження управління інцидентами безпеки;
    • планування безперервності бізнесу та відновлення після аварій;
    • управління відповідністю нормам;
    • вимір ефективності СУІБ.
    В ході проекту ми постійно навчаємо ваш персонал, що і як потрібно робити для побудови, підтримки та розвитку СУІБ. Результатом цього етапу є не просто набір документів і записів, які відповідають вашим реальним процесам, а й нова культура безпеки вашої організації, та вищий ступінь готовності до офіційної сертифікації.
  4. ISO 27001 certificate example Сертифікація. Виконується протягом 1-2 місяців, у залежності від затвердженої області охоплення. Цей етап включає в себе вибір організації, що сертифікує, супровід пред-аудиту, впровадження коригувальних дій та супровід сертифікаційного аудиту.

    На жаль, через недостатньо суворе регулювання на ринку сертифікації ISO 27001 останнім часом з'явилися сумнівні дрібні організації, що пропонують сертифікацію за низькою ціною та проводять аудити суто номінально або взагалі не проводять їх. Сертифікати цих організацій визнаються далеко не скрізь. Ми не працюємо з такими організаціями.

    Спочатку ми допомагаємо вам вибрати сертифікуючу організацію з набору солідних, перевірених організацій, наприклад, акредитованих UKAS. Ми проводимо від вашого імені консультації з організацією, що сертифікує, повідомляємо їм про виконану роботу з впровадження та отримуємо їхнє попереднє схвалення на проведення сертифікації. Потім ви укладаєте з ними безпосередньо договір про сертифікацію. Вони проводять перед-аудит і знаходять невідповідності, які бувають завжди. Такий вже характер роботи справжніх професійних аудиторів. Далі, протягом декількох днів ми з вами виконуємо коригувальні дії.

    Нарешті, проводиться фінальний сертифікаційний аудит, на якому ми офіційно представляємо вас і захищаємо перед аудиторами те, що ми з вами побудували. Після цього ви отримуєте сертифікат ISO 27001.

Результати впровадження ISO 27001

Нижче наведено приклад набору документів і записів, що відображають деяку СУІБ. Зміст цих документів та їхня відповідність реальним практиками, процесам і операціям перевіряється на сертифікаційному аудиті.

Ми застерігаємо вас від прямого копіювання та застосування цього списку, оскільки структура та найменування документації повинні відповідати вимогам і традиціям саме вашої організації. Наприклад, бувають випадки, коли в організації прийнято вести всього 3-4 документи з безпеки зі складною структурою замість трьох десятків простих. Наприклад, Політика безпеки, Інструкція з безпеки для користувачів, Інструкція з безпеки для ІТ-персоналу, Інструкція для відділу безпеки, Єдиний реєстр записів з безпеки. Такий підхід до структурування не забороняється стандартами ISO.

Plan-Do-Check-Act cycle in security management
Обов'язкові документи, що вимагаються ISO 27001:2013:
  1. Опис сфери застосування СУІБ (п. 4.3)
  2. Політика та цілі інформаційної безпеки (пункти 5.2 та 6.2)
  3. Оцінка ризиків інформаційної безпеки та методологія обробки ризиків інформаційної безпеки (пункт 6.1.2)
  4. Заява про застосування контролів ISO 27001 (Statement of Applicability, пункт 6.1.3d)
  5. План обробки ризиків інформаційної безпеки (пункти 6.1.3e та 6.2)
  6. Звіт про оцінку ризиків інформаційної безпеки (пункт 8.2)
Обов'язкові документи, що вимагаються ISO 27002:2013 (додатком A ISO 27001:2013):
  1. Політика особистих портативних пристроїв (Bring Your Own Device, BYOD, пункт A.6.2.1)
  2. Політика щодо мобільних пристроїв і віддаленої роботи (пункт A.6.2.1)
  3. Визначення ролей та обов'язків з безпеки (пункти A.7.1.2 та A.13.2.4)
  4. Політика прийнятного використання активів (пункт A.8.1.3)
  5. Політика класифікації інформації (пункти A.8.2.1, A.8.2.2 та A.8.2.3)
  6. Процедури утилізації та знищення носіїв інформації та обладнання (пункти A.8.3.2 та A.11.2.7)
  7. Політика управління доступом (пункт A.9.1.1)
  8. Політика паролів (пункти A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 та A.9.4.3)
  9. Процедури для роботи в безпечних зонах (пункт A.11.1.5)
  10. Політика чистого стола та чистого екрана (пункт A.11.2.9)
  11. Операційні процедури для управління ІТ (пункт A.12.1.1)
  12. Процедури управління змінами (пункти A.12.1.2 та A.14.2.4)
  13. Політика резервного копіювання (пункт A.12.3.1)
  14. Політика передачі інформації (пункти A.13.2.1, A.13.2.2 та A.13.2.3)
  15. Принципи розробки безпечних систем (пункт A.14.2.5)
  16. Політика безпеки при відносинах з постачальниками (пункт A.15.1.1)
  17. Процедура управління інцидентами безпеки (пункт A.16.1.5)
  18. Процедури забезпечення безперервності бізнесу (пункт A.17.1.2)
  19. Статутні, нормативні та договірні вимоги з безпеки (пункт A.18.1.1)
Обов'язкові записи, що вимагаються ISO 27001:2013 та ISO 27002:2013:
  1. Записи про навчання, навички, досвід і кваліфікації (пункт 7.2)
  2. Результати моніторингу та вимірювальної техніки (пункт 9.1)
  3. Програма внутрішнього аудиту (пункт 9.2)
  4. Результати внутрішніх аудитів (пункт 9.2)
  5. Результати аналізу з боку керівництва (пункт 9.3)
  6. Результати коригувальних дій (пункт 10.1)
  7. Інвентаризація активів (пункт A.8.1.1)
  8. Журнали дій користувачів, винятків і подій безпеки (пункти A.12.4.1 та A.12.4.3)
Рекомендовані документи:
  1. Порядок управління документами з безпеки (пункт 7.5)
  2. Елементи управління записами з безпеки (пункт 7.5)
  3. Порядок внутрішнього аудиту безпеки (пункт 9.2)
  4. Порядок виконання коригувальних дій щодо невідповідностей вимогам безпеки (пункт 10.1)
  5. Аналіз впливу на бізнес інцидентів безпеки (пункт A.17.1.1)
  6. План тренувань і випробувань безперервності бізнесу (пункт A.17.1.3)
  7. План технічного обслуговування та перевірок засобів обробки інформації (пункт A.17.1.3)
  8. Стратегія забезпечення безперервності бізнесу (пункт A.17.2.1)
Інформаційна безпека - це як охорона здоров'я

СУІБ, що було впроваджено, потрібно постійно підтримувати, щорічно проходити короткі аудити, та раз у три роки – повні аудити. Ми допомагаємо вам підтримувати СУІБ і готуватися до будь-яких аудитів, як з боку органа, що сертифікує, так і з боку регуляторів або ваших партнерів.

Якщо порівнювати інциденти безпеки з хворобами людини, то СУІБ, що нормально працює, – це здоровий спосіб життя + своєчасна діагностика. Це не гарантує відсутність інцидентів, але кардинально знижує їхню кількість, збитки від них і бізнес-ризики, пов'язані з безпекою, такі як ризики витоку конфіденційної або персональної інформації, збоїв критично важливих систем, спотворення або підробки важливої інформації, дій вірусів, хакерів, ображених співробітників, ризики штрафів регуляторів за недотримання вимог безпеки, тощо.


Виберіть, будь ласка, що вам цікавіше: безкоштовно оцінити відповідність вашої організації ISO 27001 онлайн за кілька хвилин:


або отримати безкоштовно консультацію з впровадження ISO 27001:


Хто ми, що робимо та що пропонуємо.

Про тести на проникнення.


Наші сертифікати:

(ISC)2
CISSP
ISACA
CISA
CISM
Offensive Security
OSCP
PECB
LPTP
Microsoft
Qualys
BSI