5 Этапов Неизбежности Сертификации Iso/Iec 27001. Принятие

Заключительная стадия эмоциональной реакции на изменения – это принятие.

Полным принятием сути происходящего для нас стало прохождение сертификационного аудита по стандарту ISO 27001 и получение заветного сертификата.

Сегодня мы завершаем цикл статей.

В конце материала вы найдете ссылки на предыдущие статьи.

Готовясь к проверке, прежде всего, позаботьтесь о формальных деталях посещения аудитора.

Это необходимо для того, чтобы процесс прошел максимально эффективно и безболезненно.

Согласовать с органом по сертификации даты проведения аудита Обычно месяц проведения аудита оговаривается заранее, при согласовании договора с органом по сертификации.
Ближе к дате аудита орган по сертификации, скорее всего, предложит интервалы посещений на выбор, и вам нужно будет согласовать их с графиками ключевого персонала, который будет участвовать в аудите.
Если вы сертифицируете несколько площадок в разных городах, тщательно продумайте логистику и согласуйте ее с аудиторской командой.

Неочевидный момент – уточнить состав и биографию аудиторской группы.

Этот момент может быть полезен с точки зрения безопасности бизнеса.

Конечно, контроль независимости аудиторской команды – это, прежде всего, задача сертифицирующего органа.

Однако ошибки совершают все, поэтому рекомендуется хотя бы проверить опыт потенциальных аудиторов в LinkedIn. Например, мы таким образом выяснили, что один из аудиторов является действующим сотрудником нашего прямого конкурента.

К счастью, это выяснилось еще до начала проверки и все обошлось, так как его исключили из команды.

Но потенциальные риски для бизнеса в этой ситуации будут значительными.

Согласовать с аудиторской группой план аудита.

Это необходимо для того, чтобы понять, какие сотрудники и подразделения будут задействованы в проверке, и в какие дни проверки она будет проходить.

Обычно в плане каждый день аудита расписан по часам с указанием того, какие части системы управления информационной безопасностью и какие службы и в какое время будут проверяться.

Забронируйте время коллег, которые примут участие в аудите Зная примерный график визита аудиторской группы, вы сможете планировать время своих коллег.

Как правило, аудиторы захотят встретиться с высшим руководством компании, отделом информационной безопасности (очевидно) и лицами, ответственными за сертифицируемые области.

Например, в нашей зоне сертификации было заявлено 5 профильных услуг, и аудитор опросил руководителей каждого из подразделений, ответственных за предоставление этих услуг.

Важно предусмотреть замену руководителей подразделений на собеседованиях (в случае болезни, командировки, отпуска и т.п.

Проводить обучение и контроль знаний всех сотрудников Дело кажется сложным, но на самом деле все не так плохо.

Все сотрудники должны быть так или иначе вовлечены в систему управления информационной безопасностью и соблюдать правила, установленные политиками.

Однако уровень ответственности сотрудника за информационную безопасность зависит от должности и специфики работы.

Мы реализуем это следующим образом: все сотрудники, в зависимости от должности, могут иметь одну или несколько ролей в сфере информационной безопасности.

Каждая роль предъявляет свои требования к сотруднику, но базовая роль «Пользователь» есть абсолютно у всех сотрудников компании.

Обучение и дальнейший мониторинг знаний должны быть сосредоточены на этой роли.

Мы используем тестирование для контроля знаний сотрудников.

На рынке существует множество подобных систем, но мы использовали функционал, встроенный в корпоративный портал.

По нашему опыту, аудиторы проверяют результаты тестов и могут задавать сотрудникам тестовые вопросы по результатам тестов.

Провести отдельное обучение для коллег, которые будут участвовать в аудите К этому моменту уже должно быть проведено общее обучение для всех сотрудников (чтобы они знали, почему и почему в компании происходят изменения в процессах).

Однако особое внимание следует уделить тем коллегам, которые будут непосредственно участвовать в проверке.

Стоит предупредить, что ничего криминального во время проверки не произойдет – им просто придется рассказывать проверяющей команде о своей повседневной работе, а при необходимости отвечать на целевые вопросы.

Позаботьтесь о всех необходимых пропусках и разрешениях для аудиторской группы.

Помните, что аудит начнется еще до того, как команда сертифицирующего органа окажется в вашем конференц-зале.

Вход в бизнес-центр – это первая «линия обороны».

Здесь аудиторы оценивают, насколько серьезно обеспечивается физическая безопасность офисов.

Если вы арендуете офисные помещения, аудиторы, скорее всего, захотят просмотреть ваши договоры аренды, чтобы определить, как разграничены обязанности сторон по обеспечению физической безопасности.

И если реальность отличается от того, что написано в договоре, могут возникнуть проблемы.

В некоторых случаях необходимо отдельно работать со службой безопасности бизнес-центра.

Например, наш аудитор обратил внимание, что в договоре с бизнес-центром есть пункт о том, что каждому посетителю выдается пропуск, но при входе в бизнес-центр ему не выдали никакого пропуска.

На что мы ответили, что в договоре не сказано о выдаче пропуска «в руки» — соответственно пропуск выдали, но не выдали :) Если в периметр сертификации входят дата-центры, заранее позаботьтесь о получении специальных пропусков для аудиторов.

Кроме того, советуем обсудить предстоящий визит с контактными лицами дата-центров и уточнить, какой сотрудник будет отвечать на вопросы проверяющих о физической безопасности дата-центров.

Техническое обучение

Техническая подготовка к проверке – один из самых важных и сложных моментов.
Перед первым аудитом нашей ИТ-команде пришлось немало поработать.
Начнем с физической безопасности.

Конечно, большая часть физической охраны будет возложена на службу безопасности бизнес-центра: сюда входит доступ в здание, охранная и пожарная сигнализация, видеонаблюдение и т. д. Ну а с нашей стороны нужно было провести « аудит» мер по обеспечению физической безопасности в офисах: Заменить или добавить системы контроля доступа (СКУД) в нескольких офисах.

Проверьте надежность сейфов и качество их установки (прикручены ли они к полу).

Провести ревизию шкафов хранения документов (есть ли замки, маркировка).

Проверьте, ограничен ли доступ к серверному и активному сетевому оборудованию, при необходимости установите шкафы для оборудования.

Также мы установили ИБП для активного сетевого оборудования.

В целях экономии мы не устанавливали UPS на сервера, потому что.

все запущенные на них сервисы были дублированы.

Основные серверные мощности были заранее перенесены в специализированный дата-центр, а серверы, обслуживающие локальные сервисы (контроллеры домена, телефонии, контроллеры Wi-Fi и т. д.), остались в офисах.

Далее поговорим о стандартизации – одном из важнейших шагов на пути к быстрой модернизации и простоте дальнейшего обслуживания.

Такой подход сэкономил много времени при подготовке.

Например, мы обновили ОС (операционные системы) на рабочих компьютерах пользователей.

Несмотря на стоимость процесса, это обновление было необходимо для шифрования дисков компьютера, а также оптимизации наших сервисов, оборудования и политик под конкретную ОС.

Конечно, когда дело касается шифрования, здесь есть свои подводные камни: если на рабочих станциях стоят классические HDD (а не SSD или M2), то работа на таком компьютере становится рутиной.

Поэтому нам также пришлось модернизировать часть офисного оборудования.

Вторая сложность заключается в том, что жесткие диски компьютеров стали заметно короче по сроку службы.

Ну и третий нюанс - возникла необходимость вводить пароль битлокера при загрузке.

На тот момент нам еще не удалось настроить разблокировку сети, а TPM был доступен не везде, а включать работу с TPM без разблокировки сети было бессмысленно с точки зрения ИБ.

Как уже говорилось выше, мы перенесли основные серверные мощности в специализированный дата-центр.

У нас была небольшая оборудованная серверная комната, но, в большинстве случаев, «свои» серверные уступают по физической безопасности специализированным площадкам.

Отметим, что выбор дата-центров для Co-Location достаточно велик: более того, на рынке есть дата-центры, сертифицированные по ISO 27001. В нашем случае мы выбрали дата-центр, официально не сертифицированный по ISO27001 или TIER III. , но при этом имеет все необходимые технические решения и компетентных специалистов.

Часть рисков, связанных с основным дата-центром, была покрыта резервным дата-центром.

В результате два «более простых» дата-центра оказались дешевле, чем дата-центр со всеми сертификатами.

Работа с серверным оборудованием стала отдельной главой в сертификационной эпопее.

Нам пришлось серьезно обновить ОС на серверах, что потребовало от команды много временных ресурсов, потому что… многие сервисы работают на ПО с открытым исходным кодом.

Да, мы тоже пользуемся сервисами Microsoft, но сертификация подтолкнула нас к переводу всех возможных сервисов на открытое ПО.

Таким образом, мы начали активно внедрять подход «инфраструктура как код».

Одним из существенных преимуществ, которые мы ощутили, стала экономия места за счет отказа от резервного копирования ряда сервисов.

Основным доказательством чего-либо в ходе аудита является запись в самом широком смысле этого слова.

С технической точки зрения это различные логи.

Готовясь к аудиту, мы много времени потратили на работу с логами с помощью системы логирования ELK. Эта система стала своего рода «палочкой-выручалочкой», избавив от необходимости собирать логи вручную, ведь благодаря ELK сотрудники ИТ-подразделения экономят огромное количество времени при расследовании инцидентов.

Дополнительно благодаря системе решен вопрос резервного копирования логов.

Это только основная работа с точки зрения технической подготовки.

Однако давайте двинемся дальше и перейдем к дню X – аудит СУИБ компании .

Как проводится аудит?

Основным документом, который проверяет аудитор в рамках сертификационного аудита, является Заявление о применимости, именуемое в дальнейшем СоА.
В нем должны быть указаны 114 мер контроля из стандарта ISO 27001, их применимость/неприменимость к компании и средства, с помощью которых эти меры контроля реализуются.
Фактически этот документ является отражением многомесячной работы по внедрению этого стандарта.
Как правило, напротив каждого пункта СоА должна быть ссылка на документ (политику), описывающий, как компания реализует тот или иной контроль.
Аудитор проверяет, что все, что написано в СоА, соответствует действительности.

Для этого он смотрит: В какой степени ваши политики/документы по СМИБ соответствуют стандарту ISO 27001; В той мере, в какой то, что написано в политиках СМИБ, соблюдается в реальности.

Соблюдение собственных политик должно быть подтверждено с помощью соответствующих «записей» — документов, журналов, приложений в тикет-системе и т. д. — то есть любым способом, позволяющим доказать аудитору, что то или иное действие произошло в определенное время.
, как указано в документах.

Если вы ссылаетесь или упоминаете сторонний стандарт во внутренних политиках, то его необходимо приложить к политикам (то есть необходимо приобрести официальную копию).
Таким образом, на первом этапе аудитор работает с документами, а на втором «выходит в поля».
Второй этап, как нам кажется, самый коварный, но и самый интересный.
Как ни парадоксально, но внутренняя команда, готовившаяся к проверке, получила массу положительных эмоций.
С чем это связано? Наверное, это тема для отдельной статьи.
На втором этапе происходит «физическая» проверка офисов и дата-центров (всего, что заявлено в периметре сертификации).
Готовясь к визиту аудитора в дата-центр, необходимо предварительно договориться с дата-центром о выделении человека для встречи с аудитором.
При этом такой сотрудник должен иметь высокий уровень подготовки и знаний относительно работы дата-центров.

Аудиторов в полной мере будет интересовать безопасность дата-центра: системы кондиционирования, каналы связи, системы электроснабжения, генераторы, физический доступ и т.д. В рамках аудита на всех объектах аудитор обычно записывает в отчет следующую информацию: Свидетельство соответствия Это свидетельство соответствия стандарту, обнаруженное аудитором в ходе проверки.

Серьезное несоответствие Это то, чего компания должна избегать любой ценой – несоответствие, которое ставит под угрозу эффективность всей СМИБ.

В случае такого несоответствия всегда необходимо предпринимать корректирующие действия.

Сертификат не может быть выдан до тех пор, пока не будет устранено существенное несоответствие.

Следовательно, потребуется еще один визит аудитора для проверки устранения данного несоответствия.

Как правило, на это компании дается 90 дней.

Также следует помнить, что дополнительный визит аудитора будет оплачиваться отдельно.

Незначительное несоответствие Мелкие несоответствия не представляют большой проблемы для компании – по результатам проверки достаточно будет заполнить форму, в которой вы описываете, как и в какие сроки вы планируете устранить несоответствие.

Их наличие не влияет на выдачу сертификата.

Однако, если их не исправить до следующего аудита, они станут существенными несоответствиями.

Зона беспокойства (область, требующая внимания) Это элементы системы менеджмента (обычно влияющие на ее эффективность), которые могут помешать компании выполнить требования стандарта в обозримом будущем.

Это не несоответствия, но они требуют внимания компании.

По возможности лучше их устранить.

Возможность улучшения (возможность улучшения) Это возможности развития СУИБ компании, которые аудитор смог выявить в ходе проверки.

Это советы из серии «как заставить систему работать еще лучше».

Опорный пункт Здесь аудитор отмечает элементы вашей СМИБ, которые являются «лучшими практиками», то есть особенно эффективными.

Можно сказать, что это открытая похвала за то, что вы действительно сделали очень хорошо.

По окончании аудита вы получите отчет с подробным описанием всех выявленных выше пунктов, который следует использовать при подготовке к следующему аудиту.

Как жить дальше?

Когда вы наконец получили долгожданный сертификат, расслабляться не стоит: подтверждать соответствие стандарту компании нужно ежегодно.
Отныне аудит станет регулярной статьей бюджета компании.

Основной задачей компании, получившей сертификат, является поддержание системы управления информационной безопасностью в рабочем состоянии и накопление записей, подтверждающих функционирование средств контроля из заявления о применимости.

Но есть и хорошие новости: полный аудит проводится каждые три года.
В течение двух лет после сертификационного аудита проводятся менее существенные проверки – инспекционные аудиты.
Они различаются по объему проверки: в ходе инспекционной проверки средства контроля из приложения применимости проверяются выборочно, а аудитор может посещать не все объекты.
То есть эти визиты обычно проходят быстрее и легче.

Заключение

Сертификация ISO 27001 полезна как для функционирования самого бизнеса, так и для удовлетворенности его клиентов.
Несмотря на то, что количество временных и финансовых затрат кажется огромным, это вложения, которые окупаются в трудные времена с точки зрения информационной безопасности.
Надеемся, что наша серия статей поможет всем, кто встал на увлекательный путь получения сертификата.

Читайте предыдущие материалы из серии:

5 этапов неизбежности сертификации ISO/IEC 27001. Отрицание 5 этапов неизбежности сертификации ISO/IEC 27001. Злость 5 этапов неизбежности сертификации ISO/IEC 27001. Торговаться 5 этапов неизбежности сертификации ISO/IEC 27001. Депрессия Теги: #информационная безопасность #Хранение данных