Керована безпека й комплаєнс (ISO 27001, SOC 2 тощо)

1
Від готовності до SOC 2 Type 1 до SOC 2 Type 2 Advisory Assessment

Контекст замовника

До H-X Technologies звернулася технологічна компанія, якій потрібно було впорядкувати процеси інформаційної безпеки, доступності сервісів і приватності даних у форматі, зрозумілому для корпоративних клієнтів, партнерів та майбутніх незалежних аудиторів.

У замовника вже були впроваджені окремі практики безпеки, але їх потрібно було перетворити на цілісну систему контролів: із визначеним обсягом охоплення, відповідальними особами, документами, доказами виконання та прив’язкою до критеріїв SOC 2.

Ціль полягала не лише у створенні документації. Компанії потрібно було побудувати контрольне середовище, яке можна продемонструвати зацікавленим сторонам і використати як основу для майбутнього незалежного аудиту CPA.

Виклик

На початку проєкту в замовника вже існували окремі зрілі елементи безпеки: політики, технічні засоби, управління змінами, моніторинг, резервне копіювання, реагування на інциденти. Проте ці елементи ще не були зібрані в єдину логіку SOC 2.

Потрібно було пройти шлях від оцінки Type 1, де основна увага приділяється дизайну та впровадженню контролів, до оцінки Type 2, де важливо показати, що ці контроли стабільно працювали протягом періоду спостереження.

Підхід H-X

H-X розділила проєкт на кілька етапів.

Етап 1 — впровадження контролів і готовність до SOC 2 Type 1

Спочатку H-X допомогла замовнику визначити межі оцінювання, обрати релевантні Trust Services Categories і зіставити наявні практики з критеріями SOC 2. До обсягу охоплення увійшли критерії Security, Availability і Privacy.

Ми проаналізували ключові процеси: управління ризиками інформаційної безпеки, кадрові процеси, управління доступом, управління змінами, управління інцидентами, управління постачальниками та резервне копіювання.

На цьому етапі H-X допомогла структурувати політики, процедури, власників контролів і вимоги до доказів. Окрему увагу було приділено напрямам, які найчастіше створюють складнощі під час підготовки до SOC 2: доступи, зміни в системах, реагування на інциденти, логування та моніторинг, управління постачальниками, BCP/DRP і управління приватністю.

Результатом став практичний бейзлайн Type 1: які контроли існують, як вони спроєктовані, хто за них відповідає, які докази потрібно зберігати, та які прогалини необхідно закрити перед тривалим періодом спостереження.

Етап 2 — стабілізація процесів і збір доказів

Після початкового впровадження компанія перейшла до практичної експлуатації контролів. Протягом приблизно шести місяців фокус змістився з документів на регулярне виконання процесів.

H-X допомагала замовнику визначити, які докази потрібно збирати та зберігати: результати оцінки ризиків, підтвердження щодо доступів, підтвердження змін, записи про інциденти, артефакти моніторингу, документи щодо постачальників, докази виконання процесів бекапів, матеріали з BCP/DRP і управління приватністю.

Цей етап був критично важливим, оскільки SOC 2 Type 2 оцінює не лише наявність політик, а й сталість їх виконання в часі.

Етап 3 — SOC 2 Type 2 Non-CPA Advisory Assessment

Після завершення періоду спостереження H-X провела незалежну консультативну оцінку контролів у трьох системах, які підтримують надання послуг замовника.

Оцінка охоплювала Security, Availability і Privacy. H-X перевірила зрілість, дизайн, впровадження та наявні докази роботи контролів. Окремо були розглянуті управління ризиками, логічний доступ та управління ідентифікацією, системні операції та моніторинг, управління змінами, SDLC, зниження ризиків, управління постачальниками, доступність і конфіденційність.

Результати

Оцінка показала, що замовник досяг високого рівня готовності в більшості перевірених напрямів.

Серед сильних сторін були відзначені:

  • комплексна система політик інформаційної безпеки;
  • формалізований процес управління ризиками;
  • налагоджений процес управління інцидентами;
  • зрілі практики управління змінами;
  • програма тестування на проникнення;
  • централізоване управління кінцевими точками через Microsoft Intune;
  • можливості моніторингу та логування;
  • задокументовані плани безперервності бізнесу та відновлення після катастроф;
  • визначені практики управління приватністю;
  • висока зрілість документації за оціненими доменами.

Більшість доменів були оцінені як "ready". Частково готовим залишився домен логічного доступу й управління ідентифікацією. Основна причина — відсутність збережених доказів періодичного перегляду користувацьких доступів.

H-X класифікувала цю прогалину як середній ризик. Надмірний або неактуальний доступ міг залишатися непоміченим, а під час майбутнього аудиту CPA компанії могло бути складно довести стабільну роботу цього контролю.

План покращень

H-X рекомендувала формалізувати та регулярно виконувати періодичні перевірки доступу користувачів. Для цього замовнику потрібно визначити періодичність переглядів, призначити відповідальних, документувати результати, затверджувати необхідні зміни доступів і зберігати докази для майбутніх перевірок.

Перевага такого результату в тому, що замовнику не потрібно було перебудовувати всю систему з нуля. Основне контрольне середовище вже було зрілим; залишалося закрити конкретну прогалину та посилити доказову базу.

Бізнес-цінність

Проєкт допоміг замовнику перейти від окремих практик безпеки до структурованої системи управління контролями відповідно до SOC 2.

Замовник отримав:

  • практичну модель контролів, пов’язану з обраними SOC 2 Trust Services Criteria;
  • бейзлайн Type 1 щодо дизайну та впровадження контролів;
  • шестимісячний період експлуатації контролів і збору доказів;
  • незалежну консультативну оцінку Type 2;
  • зрозумілу картину сильних сторін і залишкових прогалин;
  • дорожню карту для підготовки до майбутньої атестації CPA SOC 2 Type 2.

Важливе уточнення

Фінальний результат H-X - консультативна оцінка non-CPA. Це не атестаційний звіт SOC 2, водночас така оцінка дала менеджменту та зацікавленим сторонам незалежне структуроване розуміння рівня готовності компанії та допомогла підготуватися до можливої формальної оцінки CPA.

Скористайтеся нашим досвідом та створіть свою наступну історію успіху разом із нами.

2
Кейс: GDPR-супровід для регіонального провайдера охоронних послуг із відеоаналітикою (Євросоюз)

Клієнт. Компанія зі штатом близько 50 співробітників, яка розробляє інтелектуальні системи відеоаналітики (виявлення руху, розпізнавання облич) для торгівельних центрів, бізнес-центрів і житлових комплексів у кількох країнах.

Проблема. Компанія вийшла на ринки країн ЄС, але не мала уніфікованої системи обробки персональних даних. Частину даних обробляли субпідрядники, а відео з камер могло містити зображення третіх осіб без інформування.

Рішення. Наша компанія надала консалтинг на рівні CISO/DPO з акцентом на:

  • Проведення Privacy Impact Assessment для компонентів відеоаналітики.
  • Упровадження ролей і зон відповідальності між контролерами та процесорами (у т.ч. з підрядниками).
  • Розробку та локалізацію Privacy Notice та інформаційних табличок відповідно до мовних вимог країн ЄС.
  • Складання DPA для партнерів та постачальників відеоаналітики.
  • Формалізацію процедур обробки запитів на доступ до відео (DSAR).
  • Технічну перевірку — шифрування архівів, логування доступів, періоди зберігання.

Результат. Компанія уникла перевірок наглядовими органами у країнах, де впроваджувалась система розпізнавання облич, отримала стабільну юридичну позицію й шаблони для масштабування системи у нових локаціях та упровадила легку модель супроводу з боку зовнішнього DPO.

Скористайтеся нашим досвідом та створіть свою наступну історію успіху разом із нами.

3
Консультація з кліматичних ризиків і розробка стратегії стійкості для IT-компанії

Галузь: Інформаційні технології та послуги

Країна: Узбекистан

Опис проєкту:

Великий системний IT-інтегратор в Узбекистані звернувся до нас з метою отримання консультації щодо кліматичних ризиків і розробки стратегії стійкості для їхньої IT-інфраструктури. Наші експерти провели всебічний аналіз поточних ризиків, пов'язаних із кліматом та його змінами, і розробили комплексний план дій для мінімізації цих ризиків і впровадження стратегії стійкості.

Проєкт включав такі основні етапи:

  1. Аналіз поточних кліматичних ризиків. Проведення детального аналізу поточних і потенційних кліматичних ризиків, які можуть вплинути на діяльність компанії.
  2. Розроблення стратегії стійкості. Створення стратегії стійкості, що включає заходи щодо зниження впливу кліматичних змін на бізнес-процеси компанії, а також заходи забезпечення безперервності бізнесу й відновлення після аварій.
  3. Рекомендації щодо впровадження заходів. Підготовка рекомендацій та інструкцій щодо впровадження запропонованих заходів, спрямованих на покращення стійкості IT-інфраструктури.

Результати:

  • Компанія отримала чітке розуміння кліматичних ризиків і можливих наслідків для свого бізнесу.
  • Було розроблено та затверджено стратегію стійкості, спрямовану на довгостроковий захист бізнес-процесів компанії.
  • Впровадження запропонованих заходів дало змогу компанії значно підвищити свою стійкість до кліматичних змін, що в свою чергу зміцнило їхні позиції на ринку.

Особливості проєкту:

Цей проєкт вирізнявся тим, що включав детальний аналіз специфічних кліматичних ризиків для IT-компаній, що дало змогу розробити ефективні цілеспрямовані заходи щодо їх мінімізації. Наші експерти використовували передові методології та інструменти для оцінювання ризиків і розроблення стратегій, що забезпечило високу якість виконаної роботи та задоволення клієнта.

Скористайтеся нашим досвідом та створіть свою наступну історію успіху разом із нами.

4
Впровадження стандарту ISO 27001 для норвезької компанії

До нас звернулася норвезька компанія, яка розробляє розширення для продуктів і сервісів Microsoft Office, із запитом на відповідність (комплаєнс) міжнародному стандарту безпеки ISO 27001. Необхідність цього комплаєнса була викликана тим, що клієнти були стурбовані питаннями безпеки: наскільки безпечно зберігати особисті дані в розширеннях, які дані зберігаються тощо. Щоб задовольнити зростаючий попит клієнтів на безпеку своїх рішень, компанія вирішила впровадити стандарт безпеки ISO 27001.

У процесі вибору вони звернулися до декількох компаній, які займаються впровадженням даного стандарту, і за співвідношенням ціна-якість вибрали в процесі переговорів нашу компанію. Ми надали наочну інформативну презентацію, провели кілька зустрічей, у ході яких пояснили наші конкурентні переваги, а також наш комплексний системний підхід.

Ми провели геп-аналіз у головному офісі замовника (Осло, Норвегія), в ході якого були перевірені всі контролі стандарту ISO 27001 і були виявлені слабкі місця. Ці прогалини були обумовлені тим, що компанія невелика, та багато процесів в IT і не тільки (операційні процеси, фізична безпека тощо) не дотягували до рівня ISO 27001.

Далі ми розробили план впровадження й почали роботу зі впровадження стандарту. На етапі впровадження ми розробили кілька десятків політик і процесів інформаційної безпеки. Зокрема, скоригували процес hiring and termination, завдяки якому тепер IT-відділ дізнається своєчасно про наймання й звільнення співробітників. Це дало можливість своєчасно створювати й видаляти акаунти з мінімально необхідними привілеями. Тепер нові співробітники отримують вступні тренінги з інформаційної безпеки, а вже в процесі роботи - більш спеціалізовані тренінги.

Також вимоги інформаційної безпеки були впроваджені в проєкти. При розробці проєктів враховуються питання захисту інформації, проводиться аналіз ризиків, і виконуються всі інші вимоги стандарту безпеки ISO 27001.

Зазвичай в інших компаніях аналіз взаємодії з третіми сторонами - це окрема велика робота. Тут ця робота була зведена до мінімуму, оскільки для будь-яких цілей використовуються тільки продукти й онлайн-сервіси компанії Microsoft, у якої є повний набір сертифікатів із безпеки, включаючи ISO 27001, VDA ISA, SOC 2 тощо.

Процес узгодження впровадження нових документів проходив гладко, без зайвих формальностей та бюрократії. Далі співробітники пройшли тренінги, та політики почали працювати.

Після того, як процес впровадження був закінчений, ми приступили до вибору незалежного сертифікаційного аудитора. Ось тут ми зіткнулися з труднощами, що були викликані дуже повільною реакцією аудиторів. Можливо, це було пов'язано з карантином або із сезонними піками. Відповіді одного з аудиторів ми чекали кілька місяців, а від другого взагалі не дочекалися. Тому ми знайшли третю аудиторську компанію, яка є представництвом німецького сертифікаційного органу, акредитованого DAkkS.

У результаті клієнт успішно пройшов незалежний аудит і отримав офіційний сертифікат ISO 27001.

Скористайтеся нашим досвідом та створіть свою наступну історію успіху разом із нами.

5
Впровадження ISO 27001 та ENX TISAX® в компанії, що розробляє автомобільні системи

Представник німецької автомобільної промисловості, що займається розробкою бортових автомобільних систем, звернувся до нас з метою впровадження відповідності ISO 27001 та ENX Trusted Information Security Assessment Exchange (ENX TISAX®) у стислі терміни. Висока конкуренція на ринку автомотів-систем (систем безпеки, пілотування, навігаційних та розважальних систем тощо) змушує провідних автовиробників (Volkswagen-Audi Group, Porsche, Daimler AG, BMW, Bosch тощо) та їхніх підрядників форсувати виведення нових продуктів на ринок при збереженні рівня якості та безпеки. Це зумовило високу мотивацію нашого клієнта.

До цього клієнт намагався самостійно заповнювати форми відповідності ENX TISAX®, але відсутність необхідних компетенцій позбавила його змоги навіть почати процес впровадження належним чином.

Відповідність ENX TISAX®, хоча й побудована на основі ISO 27001, має свою специфіку. Наприклад, на відміну від аудиту ISO 27001, який може проходити кілька днів, аудитор ENX TISAX® проводить усього один день в офісі замовника. Зате потім близько 3 місяців вимагає та збирає докази щодо кожного процесу безпеки. Аудиторська звітність ENX TISAX® має на увазі високий ступінь автоматизації з використанням сучасних систем класу GRC (Governance, Risk management and Compliance).

Протягом перших 3 місяців після підписання договору з нашим клієнтом ми детально вивчили його бізнес-процеси та розробили близько 50 документів, необхідних для відповідності ISO 27001 та ENX TISAX®. У ході впровадження та аудиторської звітності ми використовували системи Redmine та Goriscon.

Всього від моменту старту проекту до отримання мітки відповідності ENX TISAX® пройшло 6 місяців напруженої спільної роботи наших консультантів та персоналу нашого клієнта. Ми провели кілька тренінгів, виконали ряд оцінок безпеки серверів і додатків, посилили мережеву безпеку, безпеку життєвого циклу систем, впровадили управління ризиками, ключові індикатори ефективності (KPI) безпеки, процеси управління змінами, інцидентами тощо.

Вбудовані процеси, операції та системи безпеки необхідно підтримувати постійно, щоб вони не втрачали ефективність, і тому наш клієнт замовив у нас послугу «Віддалений менеджер інформаційної безпеки». Ми продовжили проводити регулярні тренінги у клієнта, відстежувати події інформаційної безпеки, реагувати на інциденти безпеки, виконувати щоквартальне сканування вразливостей, проводити аудит вихідного коду програмного забезпечення, звітувати аудиторам та клієнтам нашого замовника тощо. Тобто, повністю виконувати функції менеджера інформаційної безпеки.

Наш замовник відзначив не тільки підвищення рівня безпеки в результаті виконання цього проекту. Під час управління активами, доступом та технічними вразливостями було виявлено неефективне використання систем, надмірний доступ, помилки конфігурації, що знижують продуктивність мережі тощо. В якості побічного ефекту проекту замовник оптимізував деякі свої ІТ-операції.

Отримання офіційного статусу відповідності ISO 27001 та ENX TISAX® дозволило нашому клієнту отримати нові довготривалі контракти в одного з гігантів німецького автопрому.

Дізнатися більше про впровадження та сертифікації VDA ISA та ENX TISAX®.

Скористайтеся нашим досвідом та створіть свою наступну історію успіху разом із нами.

6
Впровадження ISO 27001 в компанії-розробника медичного програмного забезпечення

Невелика компанія-розробник програмного забезпечення в медичній сфері зіткнулася з вимогами своїх клієнтів. Вони хотіли, щоб компанія була сертифікована з ISO 27001. При цьому сертифікаційний орган повинен мати вищий міжнародний рівень акредитації UKAS.

Раніше в компанії приймалися тільки поверхневі заходи та велися лише епізодичні роботи, пов'язані з інформаційною безпекою, і тільки в області захисту серверів та робочих станцій. Ми негайно почали роботу з аналізу обсягу охоплення та деталізації плану робіт із первинного аудиту та геп-аналізу. Ми виконали цю роботу для клієнта безкоштовно. Після цього компанія побачила, що ми розуміємо її проблематику, і вміємо будувати реальні плани, та підписала з нами договір на аудит, геп-аналіз і розробку плану впровадження. За 3 тижні ми завершили цю роботу. Замовник черговий раз переконався, що наш досвід та швидкість роботи перевищують його очікування.

Після цього замовник уклав з нами договір на впровадження ISO 27001. За 6 місяців ми розробили всі контролі, що вимагаються стандартом, описали їх у 18 нормативних документах, впровадили ряд реєстрів з управління безпекою, провели навчання персоналу. Особливу увагу ми приділили безпечному життєвому циклу розробки програмного забезпечення.

Потім постало питання про вибір незалежного аудитора. Ми порекомендували нашому клієнту одну з найбільших німецьких аудиторських компаній. Ми зв'язалися з цією аудиторською компанією, а також завчасно провели з ним обговорення та підготовку до сертифікації нашого клієнта. Клієнт уклав із компанією-аудитором договір на аудит і сертифікацію.

Під час аудиту ми захищали нашого клієнта та побудовану нами систему управління інформаційною безпекою перед аудиторами. Вони зробили незначні зауваження, як це буває зазвичай. Ми врахували ці зауваження, і через 2 тижні наш клієнт отримав офіційний сертифікат ISO 27001.

З метою підтримки впровадженої системи та щорічного підтвердження сертифікату, компанія скористалася нашою послугою «Віддалений менеджер безпеки».

Також нашого клієнта зацікавили наші компетенції не тільки в процесному управлінні, а й в ІТ-безпеці. Компанія замовила в нас розширені послуги безпеки додатківаналізу безпеки вихідних кодів та тестування на проникнення своїх програмних продуктів.

Отримані сертифікати відповідності ISO 27001 та успішного проходження оцінки безпеки компанія розмістила на своєму веб-сайті та в маркетингових матеріалах. Свій новий статус компанія прорекламувала та отримала значні конкурентні переваги, які виразилися у збільшенні кількості замовлень та продажів.

Дізнатися більше про стандарт ISO 27001.

Скористайтеся нашим досвідом та створіть свою наступну історію успіху разом із нами.