Управляемая безопасность и комплаенс (ISO 27001 и т. д.)

К нам обратилась норвежская компания, которая разрабатывает расширения для продуктов и сервисов Microsoft Office, с запросом на соответствие (комплаенс) международному стандарту безопасности ISO 27001. Необходимость этого комплаенса была вызвана тем, что клиенты были обеспокоены вопросами безопасности: насколько безопасно хранить личные данные в расширениях, какие данные хранятся и т. д. Чтобы удовлетворить растущий спрос клиентов на безопасность своих решений, компания решила внедрить стандарт безопасности ISO 27001.

В процессе выбора они обратились к нескольким компаниям, которые занимаются внедрением данного стандарта, и по соотношению цена-качество выбрали в процессе переговоров нашу компанию. Мы предоставили наглядную информативную презентацию, провели несколько созвонов, в ходе которых объяснили наши конкурентные преимущества, а также наш комплексный системный подход.

Мы провели gap analysis в главном офисе заказчика (Осло, Норвегия), в ходе которого были проверены все контроли стандарта ISO 27001 и были выявлены слабые места. Эти пробелы были обусловлены тем, что компания небольшая и многие процессы, в IT и не только (операционные процессы, физическая безопасность и т.д.), не дотягивали до уровня ISO 27001.

Далее мы разработали план внедрения и начали работу по внедрению стандарта. На этапе внедрения мы разработали несколько десятков политик и процессов информационной безопасности. В частности, скорректировали процесс hiring and termination, благодаря которому теперь IT-отдел узнает своевременно о найме и увольнении сотрудников. Это дало возможность своевременно создавать и удалять аккаунты с минимально необходимыми привилегиями. Теперь новые сотрудники получают вводные тренинги по информационной безопасности, а уже в процессе работы ‒ более специализированные тренинги.

Также требования информационной безопасности были внедрены в проекты. При разработке проектов учитываются вопросы защиты информации, проводится анализ рисков и выполняются все остальные требования стандарта безопасности ISO 27001.

Обычно в других компаниях анализ взаимодействия с третьими сторонами ‒ это отдельная большая работа. Здесь же эта работа была сведена к минимуму, поскольку для всех целей используются только продукты и онлайн-сервисы компании Microsoft, у которой есть полный набор сертификатов по безопасности, включая ISO 27001, VDA ISA, SOC 2 и т. д.

Процесс согласования внедрения новых документов проходил гладко, без лишних формальностей и бюрократии. Далее сотрудники прошли тренинги, и политики начали работать.

После того, как процесс внедрения был закончен, мы приступили к выбору независимого сертификационного аудитора. Вот здесь мы столкнулись со сложностями, вызванными очень медленным ответом аудиторов. Возможно это было связано с карантином или с сезонными пиками. Ответа одного из аудиторов мы ждали несколько месяцев, а от второго вообще не дождались. Поэтому мы нашли третью аудиторскую компанию, которая является представительством немецкого сертификационного органа, аккредитованного DAkkS.

В результате клиент успешно прошёл независимый аудит и получил официальный сертификат ISO 27001.

Небольшая компания-разработчик программного обеспечения в медицинской сфере столкнулась с требованиями своих клиентов. Они хотели, чтобы компания была сертифицирована по ISO 27001. При этом сертифицирующий орган должен иметь высший международный уровень аккредитации UKAS.

Ранее в компании принимались только поверхностные меры и велись лишь эпизодические работы, связанные с информационной безопасностью, и только в области защиты серверов и рабочих станций. Мы незамедлительно начали работу по анализу области охвата и детализации плана работ по первичному аудиту и гэп-анализу. Мы выполнили эту работу для клиента бесплатно. После этого компания увидела, что мы понимаем её проблематику, и умеем строить реальные планы, и подписала с нами договор на аудит, гэп-анализ и разработку плана внедрения. За 3 недели мы завершили эту работу. Заказчик очередной раз убедился, что наш опыт и скорость работы превышают его ожидания.

После этого заказчик заключил с нами договор на внедрение ISO 27001. За 6 месяцев мы разработали все контроли, требуемые стандартом, описали их в 18 нормативных документах, внедрили ряд реестров по управлению безопасностью, провели обучение персонала. Особое внимание мы уделили безопасному жизненному циклу разработки программного обеспечения.

Затем стал вопрос о выборе независимого аудитора. Мы порекомендовали нашему клиенту одну из крупнейших немецких аудиторских компаний. Мы связались с этой аудиторской компанией, а также заблаговременно провели с ним обсуждение и подготовку к сертификации нашего клиента. Клиент заключил с компанией-аудитором договор на аудит и сертификацию.

В ходе аудита мы защищали нашего клиента и построенную нами систему управления информационной безопасностью перед аудиторами. Они сделали незначительные замечания, как это бывает обычно. Мы учли эти замечания, и через 2 недели наш клиент получил официальный сертификат ISO 27001.

С целью поддержки внедрённой системы и ежегодного подтверждения сертификата, компания воспользовалась нашей услугой «Удалённый менеджер безопасности».

Также нашего клиента заинтересовали наши компетенции не только в процессном управлении, но и в ИТ-безопасности. Компания заказала у нас расширенные услуги безопасности приложений, анализа безопасности исходных кодов и тестирования на проникновение своих программных продуктов.

Полученные сертификаты соответствия ISO 27001 и успешного прохождения оценки безопасности компания разместила на своём веб-сайте и в маркетинговых материалах. Свой новый статус компания прорекламировала и получила значительные конкурентные преимущества, которые выразились в увеличении количества заказов и продаж.

Узнать больше о стандарте ISO 27001.

Представитель немецкой автомобильной промышленности, занимающийся разработкой бортовых автомобильных систем, обратился к нам с целью внедрения соответствия ISO 27001 и ENX Trusted Information Security Assessment Exchange (ENX TISAX®) в сжатые сроки. Высокая конкуренция на рынке автомотив-систем (систем безопасности, пилотирования, навигационных и развлекательных систем и т. д.) заставляет ведущих производителей автомобилей и их подрядчиков (Volkswagen-Audi Group, Porsche, Daimler AG, BMW, Bosch и т.д.) форсировать выведение новых продуктов на рынок при сохранении уровня качества и безопасности. Это обусловило высокую мотивацию нашего клиента.

До этого клиент пытался самостоятельно заполнять формы соответствия ENX TISAX®, но отсутствие необходимых компетенций не позволило ему даже начать процесс внедрения должным образом.

Соответствие ENX TISAX®, хотя и построено на основе ISO 27001, имеет свою специфику. Например, в отличие от аудита ISO 27001, который может проходить несколько дней, аудитор ENX TISAX® проводит всего один день в офисе заказчика. Зато потом около 3 месяцев требует и собирает доказательства по каждому процессу безопасности. Аудиторская отчётность ENX TISAX® подразумевает высокую степень автоматизации с использованием современных систем класса GRC (Governance, Risk management and Compliance).

В течение первых 3 месяцев после подписания договора с нашим клиентом мы детально изучили его бизнес-процессы и разработали около 50 документов, необходимых для соответствия ISO 27001 и ENX TISAX®. В ходе внедрения и аудиторской отчётности мы использовали системы Redmine и Goriscon.

Всего от момента старта проекта до получения метки соответствия ENX TISAX® прошло 6 месяцев напряжённой совместной работы наших консультантов и персонала нашего клиента. Мы провели несколько тренингов, выполнили ряд оценок безопасности серверов и приложений, усилили сетевую безопасность, безопасность жизненного цикла систем, внедрили управление рисками, ключевые индикаторы эффективности (KPI) безопасности, процессы управления изменениями, инцидентами и т. д.

Внедрённые процессы, операции и системы безопасности необходимо поддерживать постоянно, чтобы они не теряли эффективность, и поэтому наш клиент заказал у нас услугу «Удалённый менеджер информационной безопасности». Мы продолжили проводить регулярные тренинги у клиента, отслеживать события информационной безопасности, реагировать на инциденты безопасности, выполнять ежеквартальное сканирование уязвимостей, проводить аудит исходного кода программного обеспечения, отчитываться аудиторам и клиентам нашего заказчика и т. д. То есть, полностью выполнять функции менеджера информационной безопасности.

Наш заказчик отметил не только повышение уровня безопасности в результате выполнения этого проекта. В ходе управления активами, доступом и техническими уязвимостями было обнаружено неэффективное использование систем, избыточный доступ, ошибки конфигурации, снижающие производительность сети и т. д. В качестве побочного эффекта проекта заказчик оптимизировал некоторые свои ИТ-операции.

Получение официального статуса соответствия ISO 27001 и ENX TISAX® позволило нашему клиенту получить новые долговременные контракты у одного из гигантов немецкого автопрома.

Узнать больше о внедрении и сертификации VDA ISA и ENX TISAX®.