Керована безпека й комплаєнс (ISO 27001 тощо)

1
Консультація з кліматичних ризиків і розробка стратегії стійкості для IT-компанії

Галузь: Інформаційні технології та послуги

Країна: Узбекистан

Опис проєкту:

Великий системний IT-інтегратор в Узбекистані звернувся до нас з метою отримання консультації щодо кліматичних ризиків і розробки стратегії стійкості для їхньої IT-інфраструктури. Наші експерти провели всебічний аналіз поточних ризиків, пов'язаних із кліматом та його змінами, і розробили комплексний план дій для мінімізації цих ризиків і впровадження стратегії стійкості.

Проєкт включав такі основні етапи:

  1. Аналіз поточних кліматичних ризиків. Проведення детального аналізу поточних і потенційних кліматичних ризиків, які можуть вплинути на діяльність компанії.
  2. Розроблення стратегії стійкості. Створення стратегії стійкості, що включає заходи щодо зниження впливу кліматичних змін на бізнес-процеси компанії, а також заходи забезпечення безперервності бізнесу й відновлення після аварій.
  3. Рекомендації щодо впровадження заходів. Підготовка рекомендацій та інструкцій щодо впровадження запропонованих заходів, спрямованих на покращення стійкості IT-інфраструктури.

Результати:

  • Компанія отримала чітке розуміння кліматичних ризиків і можливих наслідків для свого бізнесу.
  • Було розроблено та затверджено стратегію стійкості, спрямовану на довгостроковий захист бізнес-процесів компанії.
  • Впровадження запропонованих заходів дало змогу компанії значно підвищити свою стійкість до кліматичних змін, що в свою чергу зміцнило їхні позиції на ринку.

Особливості проєкту:

Цей проєкт вирізнявся тим, що включав детальний аналіз специфічних кліматичних ризиків для IT-компаній, що дало змогу розробити ефективні цілеспрямовані заходи щодо їх мінімізації. Наші експерти використовували передові методології та інструменти для оцінювання ризиків і розроблення стратегій, що забезпечило високу якість виконаної роботи та задоволення клієнта.

2
Впровадження стандарту ISO 27001 для норвезької компанії

До нас звернулася норвезька компанія, яка розробляє розширення для продуктів і сервісів Microsoft Office, із запитом на відповідність (комплаєнс) міжнародному стандарту безпеки ISO 27001. Необхідність цього комплаєнса була викликана тим, що клієнти були стурбовані питаннями безпеки: наскільки безпечно зберігати особисті дані в розширеннях, які дані зберігаються тощо. Щоб задовольнити зростаючий попит клієнтів на безпеку своїх рішень, компанія вирішила впровадити стандарт безпеки ISO 27001.

У процесі вибору вони звернулися до декількох компаній, які займаються впровадженням даного стандарту, і за співвідношенням ціна-якість вибрали в процесі переговорів нашу компанію. Ми надали наочну інформативну презентацію, провели кілька зустрічей, у ході яких пояснили наші конкурентні переваги, а також наш комплексний системний підхід.

Ми провели gap analysis у головному офісі замовника (Осло, Норвегія), в ході якого були перевірені всі контролі стандарту ISO 27001 і були виявлені слабкі місця. Ці прогалини були обумовлені тим, що компанія невелика, та багато процесів в IT і не тільки (операційні процеси, фізична безпека тощо) не дотягували до рівня ISO 27001.

Далі ми розробили план впровадження й почали роботу зі впровадження стандарту. На етапі впровадження ми розробили кілька десятків політик і процесів інформаційної безпеки. Зокрема, скоригували процес hiring and termination, завдяки якому тепер IT-відділ дізнається своєчасно про наймання й звільнення співробітників. Це дало можливість своєчасно створювати й видаляти акаунти з мінімально необхідними привілеями. Тепер нові співробітники отримують вступні тренінги з інформаційної безпеки, а вже в процесі роботи - більш спеціалізовані тренінги.

Також вимоги інформаційної безпеки були впроваджені в проекти. При розробці проектів враховуються питання захисту інформації, проводиться аналіз ризиків, і виконуються всі інші вимоги стандарту безпеки ISO 27001.

Зазвичай в інших компаніях аналіз взаємодії з третіми сторонами - це окрема велика робота. Тут ця робота була зведена до мінімуму, оскільки для будь-яких цілей використовуються тільки продукти й онлайн-сервіси компанії Microsoft, у якої є повний набір сертифікатів із безпеки, включаючи ISO 27001, VDA ISA, SOC 2 тощо.

Процес узгодження впровадження нових документів проходив гладко, без зайвих формальностей та бюрократії. Далі співробітники пройшли тренінги, та політики почали працювати.

Після того, як процес впровадження був закінчений, ми приступили до вибору незалежного сертифікаційного аудитора. Ось тут ми зіткнулися з труднощами, що були викликані дуже повільною реакцією аудиторів. Можливо, це було пов'язано з карантином або із сезонними піками. Відповіді одного з аудиторів ми чекали кілька місяців, а від другого взагалі не дочекалися. Тому ми знайшли третю аудиторську компанію, яка є представництвом німецького сертифікаційного органу, акредитованого DAkkS.

У результаті клієнт успішно пройшов незалежний аудит і отримав офіційний сертифікат ISO 27001.

3
Впровадження ISO 27001 та ENX TISAX® в компанії, що розробляє автомобільні системи

Представник німецької автомобільної промисловості, що займається розробкою бортових автомобільних систем, звернувся до нас з метою впровадження відповідності ISO 27001 та ENX Trusted Information Security Assessment Exchange (ENX TISAX®) у стислі терміни. Висока конкуренція на ринку автомотів-систем (систем безпеки, пілотування, навігаційних та розважальних систем тощо) змушує провідних автовиробників (Volkswagen-Audi Group, Porsche, Daimler AG, BMW, Bosch тощо) та їхніх підрядників форсувати виведення нових продуктів на ринок при збереженні рівня якості та безпеки. Це зумовило високу мотивацію нашого клієнта.

До цього клієнт намагався самостійно заповнювати форми відповідності ENX TISAX®, але відсутність необхідних компетенцій позбавила його змоги навіть почати процес впровадження належним чином.

Відповідність ENX TISAX®, хоча й побудована на основі ISO 27001, має свою специфіку. Наприклад, на відміну від аудиту ISO 27001, який може проходити кілька днів, аудитор ENX TISAX® проводить усього один день в офісі замовника. Зате потім близько 3 місяців вимагає та збирає докази щодо кожного процесу безпеки. Аудиторська звітність ENX TISAX® має на увазі високий ступінь автоматизації з використанням сучасних систем класу GRC (Governance, Risk management and Compliance).

Протягом перших 3 місяців після підписання договору з нашим клієнтом ми детально вивчили його бізнес-процеси та розробили близько 50 документів, необхідних для відповідності ISO 27001 та ENX TISAX®. У ході впровадження та аудиторської звітності ми використовували системи Redmine та Goriscon.

Всього від моменту старту проекту до отримання мітки відповідності ENX TISAX® пройшло 6 місяців напруженої спільної роботи наших консультантів та персоналу нашого клієнта. Ми провели кілька тренінгів, виконали ряд оцінок безпеки серверів і додатків, посилили мережеву безпеку, безпеку життєвого циклу систем, впровадили управління ризиками, ключові індикатори ефективності (KPI) безпеки, процеси управління змінами, інцидентами тощо.

Вбудовані процеси, операції та системи безпеки необхідно підтримувати постійно, щоб вони не втрачали ефективність, і тому наш клієнт замовив у нас послугу «Віддалений менеджер інформаційної безпеки». Ми продовжили проводити регулярні тренінги у клієнта, відстежувати події інформаційної безпеки, реагувати на інциденти безпеки, виконувати щоквартальне сканування вразливостей, проводити аудит вихідного коду програмного забезпечення, звітувати аудиторам та клієнтам нашого замовника тощо. Тобто, повністю виконувати функції менеджера інформаційної безпеки.

Наш замовник відзначив не тільки підвищення рівня безпеки в результаті виконання цього проекту. Під час управління активами, доступом та технічними вразливостями було виявлено неефективне використання систем, надмірний доступ, помилки конфігурації, що знижують продуктивність мережі тощо. В якості побічного ефекту проекту замовник оптимізував деякі свої ІТ-операції.

Отримання офіційного статусу відповідності ISO 27001 та ENX TISAX® дозволило нашому клієнту отримати нові довготривалі контракти в одного з гігантів німецького автопрому.

Дізнатися більше про впровадження та сертифікації VDA ISA та ENX TISAX®.

4
Впровадження ISO 27001 в компанії-розробника медичного програмного забезпечення

Невелика компанія-розробник програмного забезпечення в медичній сфері зіткнулася з вимогами своїх клієнтів. Вони хотіли, щоб компанія була сертифікована з ISO 27001. При цьому сертифікаційний орган повинен мати вищий міжнародний рівень акредитації UKAS.

Раніше в компанії приймалися тільки поверхневі заходи та велися лише епізодичні роботи, пов'язані з інформаційною безпекою, і тільки в області захисту серверів та робочих станцій. Ми негайно почали роботу з аналізу обсягу охоплення та деталізації плану робіт із первинного аудиту та геп-аналізу. Ми виконали цю роботу для клієнта безкоштовно. Після цього компанія побачила, що ми розуміємо її проблематику, і вміємо будувати реальні плани, та підписала з нами договір на аудит, геп-аналіз і розробку плану впровадження. За 3 тижні ми завершили цю роботу. Замовник черговий раз переконався, що наш досвід та швидкість роботи перевищують його очікування.

Після цього замовник уклав з нами договір на впровадження ISO 27001. За 6 місяців ми розробили всі контролі, що вимагаються стандартом, описали їх у 18 нормативних документах, впровадили ряд реєстрів з управління безпекою, провели навчання персоналу. Особливу увагу ми приділили безпечному життєвому циклу розробки програмного забезпечення.

Потім постало питання про вибір незалежного аудитора. Ми порекомендували нашому клієнту одну з найбільших німецьких аудиторських компаній. Ми зв'язалися з цією аудиторською компанією, а також завчасно провели з ним обговорення та підготовку до сертифікації нашого клієнта. Клієнт уклав із компанією-аудитором договір на аудит і сертифікацію.

Під час аудиту ми захищали нашого клієнта та побудовану нами систему управління інформаційною безпекою перед аудиторами. Вони зробили незначні зауваження, як це буває зазвичай. Ми врахували ці зауваження, і через 2 тижні наш клієнт отримав офіційний сертифікат ISO 27001.

З метою підтримки впровадженої системи та щорічного підтвердження сертифікату, компанія скористалася нашою послугою «Віддалений менеджер безпеки».

Також нашого клієнта зацікавили наші компетенції не тільки в процесному управлінні, а й в ІТ-безпеці. Компанія замовила в нас розширені послуги безпеки додатківаналізу безпеки вихідних кодів та тестування на проникнення своїх програмних продуктів.

Отримані сертифікати відповідності ISO 27001 та успішного проходження оцінки безпеки компанія розмістила на своєму веб-сайті та в маркетингових матеріалах. Свій новий статус компанія прорекламувала та отримала значні конкурентні переваги, які виразилися у збільшенні кількості замовлень та продажів.

Дізнатися більше про стандарт ISO 27001.