Управляемая безопасность и комплаенс (ISO 27001, SOC 2 и т. д.)

1
От готовности к SOC 2 Type 1 до SOC 2 Type 2 Advisory Assessment

Контекст заказчика

К H-X Technologies обратилась технологическая компания, которой нужно было привести процессы информационной безопасности, доступности сервисов и приватности данных к структуре, понятной корпоративным клиентам, партнёрам и будущим независимым аудиторам.

У заказчика уже существовали рабочие практики безопасности, но их нужно было превратить в управляемую систему контролей: с понятной областью охвата, ответственными, документами, доказательствами выполнения и связью с критериями SOC 2.

Задача заключалась не в том, чтобы написать политики “для галочки”, а в построении контрольной среды, которую можно показать заинтересованным сторонам и использовать как основу для будущего независимого аудита CPA.

Проблема

На старте проекта отдельные элементы зрелой безопасности уже присутствовали: политики, технические меры, управление изменениями, мониторинг, резервное копирование, процессы реагирования. Однако они ещё не были собраны в единую логику SOC 2.

Заказчику нужно было пройти путь от начальной оценки Type 1, где основной фокус делается на дизайне и внедрении контролей, к оценке Type 2, где важно доказать, что контроли реально работали в течение периода наблюдения.

Подход H-X

Проект был разделён на несколько этапов.

Этап 1 — внедрение контролей и готовность к SOC 2 Type 1

Сначала H-X помогла заказчику определить границы оценки, выбрать применимые категории Trust Services Criteria и сопоставить существующие практики с требованиями SOC 2. В область охвата были включены критерии Security, Availability и Privacy.

Мы разобрали ключевые процессы: управление рисками информационной безопасности, кадровые процессы, управление доступом, управление изменениями и инцидентами, а также управление поставщиками и резервное копирование.

На этом этапе H-X помогла структурировать политики, процедуры, владельцев контролей и требования к доказательствам. Особое внимание уделялось тем областям, где компании чаще всего сталкиваются с трудностями при подготовке к SOC 2: доступы, изменения в системах, реагирование на инциденты, логирование и мониторинг, управление поставщиками, BCP/DRP и управление приватностью.

Результатом стал практический бейзлайн Type 1: какие контроли есть, как они спроектированы, кто ими управляет, какие доказательства должны собираться, и какие пробелы нужно закрыть до длительного периода наблюдения.

Этап 2 — стабилизация процессов и сбор доказательств

После начальной подготовки компания перешла к периоду практической эксплуатации контролей. В течение примерно шести месяцев акцент сместился с документов на регулярное выполнение процессов.

H-X помогала заказчику понять, какие доказательства нужно сохранять: результаты оценки рисков, подтверждения доступов, утверждения изменений, записи об инцидентах, артефакты мониторинга, документы по поставщикам, доказательства выполнения процессов резервного копирования, материалы по BCP/DRP и управлению приватностью.

Этот этап был критически важен, потому что SOC 2 Type 2 проверяет не только наличие политик, но и устойчивость их выполнения во времени.

Этап 3 — SOC 2 Type 2 Non-CPA Advisory Assessment

После завершения периода наблюдения H-X провела независимую консультативную оценку контролей по трём системам, поддерживающим предоставление услуг заказчика.

Оценка охватывала Security, Availability и Privacy. H-X проверила зрелость, дизайн, внедрение и доказательства работы контролей. Отдельно были рассмотрены: управление доменами и рисками, управление логическим доступом и идентификацией, эксплуатация и мониторинг систем, управление изменениями, жизненный цикл разработки программного обеспечения, снижение рисков, управление поставщиками, доступность и конфиденциальность.

Результаты

Оценка показала, что заказчик достиг высокого уровня готовности по большинству областей.

Среди сильных сторон были отмечены:

  • комплексная система политик информационной безопасности;
  • формализованный процесс управления рисками;
  • работающий процесс управления инцидентами;
  • зрелые практики управления изменениями;
  • программа тестирования на проникновение;
  • централизованное управление конечными точками с помощью Microsoft Intune;
  • возможности мониторинга и логирования;
  • документированные планы непрерывности бизнеса и восстановления после катастроф;
  • определённые практики управления приватностью;
  • высокая зрелость документации по оценённым доменам.

Большинство доменов были оценены как "ready". Частично готовым остался домен логического доступа и управления идентификацией. Причина — отсутствие сохранённых доказательств периодического пересмотра пользовательских доступов.

H-X классифицировала этот пробел как средний риск. Избыточный или неактуальный доступ мог оставаться незамеченным, а во время будущего аудита CPA компании могло быть сложно доказать стабильную работу этого контроля.

План улучшений

H-X рекомендовала формализовать и регулярно выполнять периодические проверки доступа пользователей. Для этого заказчику нужно определить периодичность пересмотров, назначить ответственных, документировать результаты, утверждать необходимые изменения доступов и сохранять доказательства для будущих проверок.

Преимущество такого результата в том, что заказчику не нужно было “перестраивать всё с нуля”. Основная контрольная среда уже была зрелой; оставалось закрыть конкретный пробел и усилить доказательную базу.

Бизнес-ценность

Проект помог заказчику перейти от отдельных практик безопасности к структурированной системе управления контролями в соответствии с SOC 2.

Заказчик получил:

  • практическую модель контролей, связанную с выбранными SOC 2 Trust Services Criteria;
  • бейзлайн Type 1 по дизайну и внедрению контролей;
  • полугодовой путь эксплуатации контролей и сбора доказательств;
  • независимую консультативную оценку Type 2;
  • понятную картину сильных сторон и оставшихся пробелов;
  • дорожную карту для подготовки к будущей аттестации CPA SOC 2 Type 2.

Важное уточнение

Финальный результат H-X - консультативная оценка non-CPA. Это не аттестационный отчёт SOC 2, тем не менее, такая оценка дала менеджменту и заинтересованным сторонам независимое структурированное понимание уровня готовности компании и помогла подготовиться к возможной формальной оценке CPA.

Воспользуйтесь нашим опытом и достигайте успеха вместе с нами.

2
Кейс: GDPR-сопровождение для регионального провайдера охранных услуг с видеоаналитикой (Евросоюз)

Клиент. Компания со штатом около 50 сотрудников, которая разрабатывает интеллектуальные системы видеоаналитики (обнаружение движения, распознавание лиц) для торговых центров, бизнес-центров и жилых комплексов в нескольких странах.

Проблема. Компания вышла на рынки стран ЕС, но не имела унифицированной системы обработки персональных данных. Часть данных обрабатывали субподрядчики, а видео с камер могло содержать изображения третьих лиц без информирования.

Решение. Наша компания предоставила консалтинг на уровне CISO/DPO с акцентом на:

  • Проведение Privacy Impact Assessment для компонентов видеоаналитики.
  • Внедрение ролей и зон ответственности между контролерами и процессорами (в т. ч. с подрядчиками).
  • Разработку и локализацию Privacy Notice и информационных табличек в соответствии с языковыми требованиями стран ЕС.
  • Составление DPA для партнеров и поставщиков видеоаналитики.
  • Формализацию процедур обработки запросов на доступ к видео (DSAR).
  • Техническую проверку - шифрование архивов, логирование доступов, периоды хранения.

Результат. Компания избежала проверок надзорными органами в странах, где внедрялась система распознавания лиц, получила стабильную юридическую позицию и шаблоны для масштабирования системы в новых локациях и внедрила лёгкую модель сопровождения со стороны внешнего DPO.

Воспользуйтесь нашим опытом и достигайте успеха вместе с нами.

3
Консультация по климатическим рискам и разработка стратегии устойчивости для IT-компании

Отрасль: Информационные технологии и услуги
Страна: Узбекистан

Описание проекта:

Крупный системный IT-интегратор в Узбекистане обратился к нам с целью получения консультации по климатическим рискам и разработки стратегии устойчивости для их IT-инфраструктуры. Наши эксперты провели всесторонний анализ текущих рисков, связанных с  климатом и его изменениями, и разработали комплексный план действий для минимизации этих рисков и внедрения стратегии устойчивости.

Проект включал следующие основные этапы:

  1. Анализ текущих климатических рисков. Проведение детального анализа текущих и потенциальных климатических рисков, которые могут повлиять на деятельность компании.
  2. Разработка стратегии устойчивости. Создание стратегии устойчивости, включающей мероприятия по снижению воздействия климатических изменений на бизнес-процессы компании, а также меры обеспечения непрерывности бизнеса и восстановления после аварий.
  3. Рекомендации по внедрению мер. Подготовка рекомендаций и инструкций по внедрению предложенных мер, направленных на улучшение устойчивости IT-инфраструктуры.

Результаты:

  • Компания получила четкое понимание климатических рисков и возможных последствий для своего бизнеса.
  • Была разработана и утверждена стратегия устойчивости, направленная на долгосрочную защиту бизнес-процессов компании.
  • Внедрение предложенных мер позволило компании значительно повысить свою устойчивость к климатическим изменениям, что в свою очередь укрепило их позиции на рынке.

Особенности проекта:

Этот проект выделялся тем, что включал детальный анализ специфических климатических рисков для IT-компаний, что позволило разработать эффективные целенаправленные меры по их минимизации. Наши эксперты использовали передовые методологии и инструменты для оценки рисков и разработки стратегий, что обеспечило высокое качество выполненной работы и удовлетворение клиента.

Воспользуйтесь нашим опытом и достигайте успеха вместе с нами.

4
Внедрение стандарта ISO 27001 для норвежской компании

К нам обратилась норвежская компания, которая разрабатывает расширения для продуктов и сервисов Microsoft Office, с запросом на соответствие (комплаенс) международному стандарту безопасности ISO 27001. Необходимость этого комплаенса была вызвана тем, что клиенты были обеспокоены вопросами безопасности: насколько безопасно хранить личные данные в расширениях, какие данные хранятся и т. д. Чтобы удовлетворить растущий спрос клиентов на безопасность своих решений, компания решила внедрить стандарт безопасности ISO 27001.

В процессе выбора они обратились к нескольким компаниям, которые занимаются внедрением данного стандарта, и по соотношению цена-качество выбрали в процессе переговоров нашу компанию. Мы предоставили наглядную информативную презентацию, провели несколько созвонов, в ходе которых объяснили наши конкурентные преимущества, а также наш комплексный системный подход.

Мы провели гэп-анализ в главном офисе заказчика (Осло, Норвегия), в ходе которого были проверены все контроли стандарта ISO 27001 и были выявлены слабые места. Эти пробелы были обусловлены тем, что компания небольшая и многие процессы, в IT и не только (операционные процессы, физическая безопасность и т.д.), не дотягивали до уровня ISO 27001.

Далее мы разработали план внедрения и начали работу по внедрению стандарта. На этапе внедрения мы разработали несколько десятков политик и процессов информационной безопасности. В частности, скорректировали процесс найма и увольнения, благодаря которому теперь IT-отдел узнает своевременно о найме и увольнении сотрудников. Это дало возможность своевременно создавать и удалять аккаунты с минимально необходимыми привилегиями. Теперь новые сотрудники получают вводные тренинги по информационной безопасности, а уже в процессе работы ‒ более специализированные тренинги.

Также требования информационной безопасности были внедрены в проекты. При разработке проектов учитываются вопросы защиты информации, проводится анализ рисков и выполняются все остальные требования стандарта безопасности ISO 27001.

Обычно в других компаниях анализ взаимодействия с третьими сторонами ‒ это отдельная большая работа. Здесь же эта работа была сведена к минимуму, поскольку для всех целей используются только продукты и онлайн-сервисы компании Microsoft, у которой есть полный набор сертификатов по безопасности, включая ISO 27001, VDA ISA, SOC 2 и т. д.

Процесс согласования внедрения новых документов проходил гладко, без лишних формальностей и бюрократии. Далее сотрудники прошли тренинги, и политики начали работать.

После того, как процесс внедрения был закончен, мы приступили к выбору независимого сертификационного аудитора. Вот здесь мы столкнулись со сложностями, вызванными очень медленным ответом аудиторов. Возможно это было связано с карантином или с сезонными пиками. Ответа одного из аудиторов мы ждали несколько месяцев, а от второго вообще не дождались. Поэтому мы нашли третью аудиторскую компанию, которая является представительством немецкого сертификационного органа, аккредитованного DAkkS.

В результате клиент успешно прошёл независимый аудит и получил официальный сертификат ISO 27001.

Воспользуйтесь нашим опытом и достигайте успеха вместе с нами.

5
Внедрение ISO 27001 в компании-разработчике медицинского программного обеспечения

Небольшая компания-разработчик программного обеспечения в медицинской сфере столкнулась с требованиями своих клиентов. Они хотели, чтобы компания была сертифицирована по ISO 27001. При этом сертифицирующий орган должен иметь высший международный уровень аккредитации UKAS.

Ранее в компании принимались только поверхностные меры и велись лишь эпизодические работы, связанные с информационной безопасностью, и только в области защиты серверов и рабочих станций. Мы незамедлительно начали работу по анализу области охвата и детализации плана работ по первичному аудиту и гэп-анализу. Мы выполнили эту работу для клиента бесплатно. После этого компания увидела, что мы понимаем её проблематику, и умеем строить реальные планы, и подписала с нами договор на аудит, гэп-анализ и разработку плана внедрения. За 3 недели мы завершили эту работу. Заказчик очередной раз убедился, что наш опыт и скорость работы превышают его ожидания.

После этого заказчик заключил с нами договор на внедрение ISO 27001. За 6 месяцев мы разработали все контроли, требуемые стандартом, описали их в 18 нормативных документах, внедрили ряд реестров по управлению безопасностью, провели обучение персонала. Особое внимание мы уделили безопасному жизненному циклу разработки программного обеспечения.

Затем стал вопрос о выборе независимого аудитора. Мы порекомендовали нашему клиенту одну из крупнейших немецких аудиторских компаний. Мы связались с этой аудиторской компанией, а также заблаговременно провели с ним обсуждение и подготовку к сертификации нашего клиента. Клиент заключил с компанией-аудитором договор на аудит и сертификацию.

В ходе аудита мы защищали нашего клиента и построенную нами систему управления информационной безопасностью перед аудиторами. Они сделали незначительные замечания, как это бывает обычно. Мы учли эти замечания, и через 2 недели наш клиент получил официальный сертификат ISO 27001.

С целью поддержки внедрённой системы и ежегодного подтверждения сертификата, компания воспользовалась нашей услугой «Удалённый менеджер безопасности».

Также нашего клиента заинтересовали наши компетенции не только в процессном управлении, но и в ИТ-безопасности. Компания заказала у нас расширенные услуги безопасности приложенийанализа безопасности исходных кодов и тестирования на проникновение своих программных продуктов.

Полученные сертификаты соответствия ISO 27001 и успешного прохождения оценки безопасности компания разместила на своём веб-сайте и в маркетинговых материалах. Свой новый статус компания прорекламировала и получила значительные конкурентные преимущества, которые выразились в увеличении количества заказов и продаж.

Узнать больше о стандарте ISO 27001.

Воспользуйтесь нашим опытом и достигайте успеха вместе с нами.

6
Внедрение ISO 27001 и ENX TISAX® в компании, разрабатывающей автомобильные системы

Представитель немецкой автомобильной промышленности, занимающийся разработкой бортовых автомобильных систем, обратился к нам с целью внедрения соответствия ISO 27001 и ENX Trusted Information Security Assessment Exchange (ENX TISAX®) в сжатые сроки. Высокая конкуренция на рынке автомотив-систем (систем безопасности, пилотирования, навигационных и развлекательных систем и т. д.) заставляет ведущих производителей автомобилей и их подрядчиков (Volkswagen-Audi Group, Porsche, Daimler AG, BMW, Bosch и т.д.) форсировать выведение новых продуктов на рынок при сохранении уровня качества и безопасности. Это обусловило высокую мотивацию нашего клиента.

До этого клиент пытался самостоятельно заполнять формы соответствия ENX TISAX®, но отсутствие необходимых компетенций не позволило ему даже начать процесс внедрения должным образом.

Соответствие ENX TISAX®, хотя и построено на основе ISO 27001, имеет свою специфику. Например, в отличие от аудита ISO 27001, который может проходить несколько дней, аудитор ENX TISAX® проводит всего один день в офисе заказчика. Зато потом около 3 месяцев требует и собирает доказательства по каждому процессу безопасности. Аудиторская отчётность ENX TISAX® подразумевает высокую степень автоматизации с использованием современных систем класса GRC (Governance, Risk management and Compliance).

В течение первых 3 месяцев после подписания договора с нашим клиентом мы детально изучили его бизнес-процессы и разработали около 50 документов, необходимых для соответствия ISO 27001 и ENX TISAX®. В ходе внедрения и аудиторской отчётности мы использовали системы Redmine и Goriscon.

Всего от момента старта проекта до получения метки соответствия ENX TISAX® прошло 6 месяцев напряжённой совместной работы наших консультантов и персонала нашего клиента. Мы провели несколько тренингов, выполнили ряд оценок безопасности серверов и приложений, усилили сетевую безопасность, безопасность жизненного цикла систем, внедрили управление рисками, ключевые индикаторы эффективности (KPI) безопасности, процессы управления изменениями, инцидентами и т. д.

Внедрённые процессы, операции и системы безопасности необходимо поддерживать постоянно, чтобы они не теряли эффективность, и поэтому наш клиент заказал у нас услугу «Удалённый менеджер информационной безопасности». Мы продолжили проводить регулярные тренинги у клиента, отслеживать события информационной безопасности, реагировать на инциденты безопасности, выполнять ежеквартальное сканирование уязвимостей, проводить аудит исходного кода программного обеспечения, отчитываться аудиторам и клиентам нашего заказчика и т. д. То есть, полностью выполнять функции менеджера информационной безопасности.

Наш заказчик отметил не только повышение уровня безопасности в результате выполнения этого проекта. В ходе управления активами, доступом и техническими уязвимостями было обнаружено неэффективное использование систем, избыточный доступ, ошибки конфигурации, снижающие производительность сети и т. д. В качестве побочного эффекта проекта заказчик оптимизировал некоторые свои ИТ-операции.

Получение официального статуса соответствия ISO 27001 и ENX TISAX® позволило нашему клиенту получить новые долговременные контракты у одного из гигантов немецкого автопрома.

Узнать больше о внедрении и сертификации VDA ISA и ENX TISAX®.

Воспользуйтесь нашим опытом и достигайте успеха вместе с нами.