Добавить новость
Добавить компанию
Добавить мероприятие
Тесты цифровой техники
|
|
|
LETA сертифицировала свою СУИБ на соответствие стандарту ISO 27001
16.06.2011 16:27
версия для печати
Аудит и сертификацию проводило представительство Британского Института Стандартов (British Standards Institute, или BSI), одного из наиболее авторитетных органов сертификации на российском рынке. В настоящее время международное сообщество рассматривает стандарт ISO 27001 и внедрение соответствующих наилучших практик как наиболее респектабельный, системный и эффективный подход к комплексной защите информации на взаимодействующих предприятиях. Чтобы преуспеть в современном бизнесе, предприятие должно гарантировать своим клиентам и партнерам сохранность собственной и чужой конфиденциальной информации. Подтвержденное соответствие СУИБ требованиям ISO 27001 может считаться такой гарантией, но только при условии, что в область сертификации включены средства защиты действительно важных процессов, и средства эти постоянно функционируют. Естественно, это особенно важно для ИБ-компаний, которые по самому характеру своей деятельности получают доступ к такой информации о своих клиентах, как способы хранения и обработки данных различной степени конфиденциальности, реальный уровень её защищенности, применяемые технические средства и организация служб ИБ, модели угроз, уязвимости, процедуры реагирования на инциденты ИБ и др. В связи с этим подчеркнем несколько важнейших особенностей сертификации СУИБ компании LETA. Первая особенность связана с тем, что компания подтвердила защищенность ключевого участка своей основной деятельности. Заявленная зона сертификации охватывает всю работу с информацией, полученной от клиентов и созданной специалистами LETA в рамках проектов и при оказании типизированных услуг. Иными словами, сертификат удостоверяет сохранение коммерческой тайны клиентов и самой компании LETA, а также персональных данных сотрудников и партнеров в рамках основного производственного процесса «Оказание консалтинговых услуг по построению систем информационной безопасности, включая внедрение технических решений» (Providing of professional IS consulting and compliance management services including integrated solutions implementation). При этом были выделены ключевые под процессы: управление проектами, консалтинг информационной безопасности, внедрение технических средств информационной безопасности. Подчеркнем, что охват всех ключевых процессов при проведении сертификации СУИБ кардинально отличает подход компании LETA от типичной для российского рынка практики, когда сертификационный аудит проходит защищенность второстепенных процессов, например, технической поддержки клиентов или работы отдела кадров. Другая особенность связана с тем, что всю подготовку к сертификации LETA провела без привлечения сторонних специалистов. Это обусловлено с тем, что компания еще в 2007 году начала серьезно заниматься всем комплексом вопросов по построению СУИБ и внедрению стандарта ISO 27001, и в настоящее время располагает в этой сфере штатом высококвалифицированных специалистов, а также рядом оригинальных методических и технологических разработок. Особо отметим, что с учетом требований именно этого стандарта LETA проектировала и внедряла свои бизнес-процессы – задолго до запуска весной 2010 года проекта по подготовке к сертификации СУИБ. Проект занял чуть более года – в полном соответствии с рекомендациями ведущих аудиторов разнести внедрение и сертификацию СУИБ, чтобы она прошла проверку практикой и достигла зрелости. Первые пять месяцев ушли на проверку и приведение процессов в точное соответствие требованиям стандарта, остальное время было отведено на опытную эксплуатацию, выявление и устранение недочетов, а также оптимизацию. В итоге, сертификат был получен без единого замечания. Третья особенность проекта состоит в том, что аудиторы особо отметили разработанные компанией LETA процессы в рамках управления рисками, обозначив их как хорошие практики. Получение этого статуса означает не только качество проработки и реализации соответствующего процесса, но и является рекомендацией для его применения на других предприятиях. Хорошей практикой было признано создание методологии оценки рисков, которая максимально учитывает требования стандарта ISO 27005 (управление рисками ИБ), а также обеспечивает разумный компромисс между степенью детализации идентифицированных рисков и дифференцированным подходом к нарушению свойств конфиденциальности, целостности и доступности по отношению к информационным активам предприятия. Хорошей практикой было признано также применение средств автоматизации процесса оценки рисков, что позволяет учесть большое число взаимосвязанных риск-факторов в отношении значимых информационных активов – и при этом значительно снизить трудоемкость операций. Фактически, LETA стала первой специализированной ИБ-компанией в России, которая сертифицировала основную область деятельности на соответствие стандарту ISO 27001. Это повышает доверие клиентов и является важным конкурентным преимуществом на современном российском и международном рынке ИБ. Вместе с тем, LETA считает приоритетной задачей приведение всей системы менеджмента в соответствие с основополагающими международными и российскими стандартами в сфере ИБ и менеджмента качества. Так, в планах компании – сертификация технологии ведения проектов, базирующейся на методологии PMI PMBOK (Project Management Body Of Knowledge), а также сертификация по стандарту BS 25999 (построение систем обеспечения непрерывности бизнеса-процессов). «СУИБ компании LETA внедрена в наиболее критичной области. Система является достаточно проработанной, к ее реализации руководство и специалисты подошли очень обстоятельно, – говорит Валерий Гирко, ведущий аудитор BSI. – Глубоко проработан процесс анализа рисков ИБ и математический аппарат расчета их уровней. LETA создала и внедрила уникальное, в своем роде, программное обеспечение, позволяющее автоматизировать инвентаризацию, категорирование информации, а также рассчитывать уровни рисков ИБ в случае потери конфиденциальности, целостности и доступности данных, и на этой основе генерировать отчеты для руководства. Не могу не отметить основательный подход к разработке показателей эффективности процессов и мер по ИБ. Набор показателей распространяется более чем на 30 контрольных областей, имеет свою иерархию, классификаторы и формулы расчета. Видно, что компания подошла к сертификации с далеко идущей перспективой». «Когда компания предоставляет услуги в сфере информационной безопасности, а сама относится к защите конфиденциальных сведений непонятно как, она напоминает хорошо известный образ „сапожника без сапог“. Но если от отсутствия обуви страдает только сам сапожник, то в случае ИБ риски фактически ложатся на клиента. На мой взгляд, ИБ-интегратор должен демонстрировать серьезное отношение к защите информации своим примером. Это не просто положительно влияет на его имидж, а является признаком зрелости и ответственности, – говорит Андрей Конусов, генеральный директор компании LETA. – Сертификация по ISO 27001 комплексной СУИБ, охватывающей основной производственный блок, – это, пожалуй, высшая ступень сложности в сфере внедрения международных стандартов ИБ. Поэтому для меня особенно важно, что LETA подготовилась к сертификации своими силами, и прошла ее без замечаний. Это подтверждает квалификацию компании в управленческом консалтинге и внедрении международных стандартов информационной безопасности. И показывает, что LETA может и дальше двигаться по пути внедрения инновационных управленческих идей, развития системы менеджмента, адаптации, а теперь и создания наилучших практик». Редактор раздела: Юрий Мальцев (maltsev@mskit.ru) Рубрики: Безопасность Ключевые слова: сертификация
наверх
Для того, чтобы вставить ссылку на материал к себе на сайт надо:
|
|||||
А знаете ли Вы что?