ADG Оставить заявку
Блог Информационная безопасность 4 мин чтения

ISO 27001: помогаем клиенту готовиться к сертификации

Аутсорсер хочет ISO/IEC 27001 для тендеров. Помогаем описать область применения, провести оценку рисков и выстроить SOA - работа на несколько месяцев вперёд.

Контекст момента

Рост числа российских организаций, проходящих сертификацию ISO/IEC 27001 в 2008 году

Клиент - небольшой IT-аутсорсер, обслуживает корпоративных заказчиков в Москве. Пришёл с конкретной задачей: участвует в тендерах, несколько потенциальных клиентов уже прямо попросили сертификат ISO/IEC 27001 как условие для входа в шорт-лист. Задача понятная, срок желаемый - до конца года. Реалистичность - под вопросом, об этом ниже.

Мы взялись за аудит и подготовку к сертификации. Месяц работы позади, делимся тем, что уже понятно.

Почему 27001 именно сейчас

Год-полтора назад это был экзотический зверь - сертификат видели единицы, и в основном в банковском секторе. Сейчас что-то сдвинулось. Крупные заказчики начали прописывать ISO 27001 в требованиях к поставщикам, особенно если речь идёт об аутсорсинге IT или доступе к данным. Не то чтобы все понимают, что именно это означает, - но строчка в требованиях появляется всё чаще.

Аутсорсеру с сертификатом проще объяснить заказчику, что у него «всё серьёзно с безопасностью», чем рассказывать про свои процессы словами. Сертификат - это ярлык, за которым стоит проверяемый аудитором факт.

С чего начинается подготовка: область применения

Первый и самый острый вопрос - что именно сертифицировать. ISO 27001 позволяет ограничить область применения: можно брать всю организацию, можно отдельный офис или отдельный вид деятельности. Для небольшого аутсорсера это принципиально: сертифицировать «всё» - значит тащить в область применения бухгалтерию, HR, внутреннюю кухню, которая к клиентским данным отношения не имеет.

Мы провели несколько рабочих сессий с руководством. В итоге область применения формулируем примерно так: IT-аутсорсинговые услуги для корпоративных клиентов, включая обслуживание инфраструктуры, техническую поддержку и удалённый мониторинг - с привязкой к конкретному офису и конкретным процессам.

Это решение не очевидное. Узкая область - меньше работы на подготовку, но аудитор орган по сертификации будет проверять соответствие именно в этой зоне без послаблений. Широкая область - больший охват, но и больше требований.

Оценка рисков: главная головная боль

Ядро СМИБ по ISO 27001 - оценка рисков информационной безопасности. Это не просто список угроз, это формализованный процесс: активы, уязвимости, угрозы, вероятность, последствия, приемлемый уровень остаточного риска. Стандарт не диктует методологию - выбирайте любую, главное задокументируйте и придерживайтесь.

Мы остановились на подходе, близком к BS 7799-3: инвентаризация информационных активов, оценка по шкале вероятности и влияния, расчёт уровня риска, решение - принять, обработать, передать или избежать.

Первая итерация выявила примерно сорок значимых активов: клиентские данные в системах мониторинга, учётные данные доступа к инфраструктуре клиентов, конфигурационные базы, процедуры и регламенты. Для каждого - матрица угроз. Работа муторная, но без неё дальше двигаться некуда: именно результат оценки рисков определяет, какие меры нужны.

Отдельная история - угрозы, связанные с тем, что у аутсорсера есть привилегированный доступ к инфраструктуре клиентов. Это специфика бизнеса, и аудитор точно туда залезет. Там оказалось несколько неприятных пробелов: часть паролей хранится в таблице Excel, журналирование привилегированных сессий не ведётся, процедура отзыва доступа при расставании с клиентом нигде не описана. Не катастрофа, но надо закрывать.

SOA: что берём, что нет

Statement of Applicability - документ, в котором организация заявляет, какие из 133 мер контроля Приложения A стандарта она применяет, а какие исключает с обоснованием. Исключать можно, но надо аргументировать.

Для нашего клиента очевидные исключения - меры, связанные с физическим производством, медиаданными и несколькими другими разделами, которые к IT-аутсорсингу просто не относятся. Зато меры по управлению доступом, управлению инцидентами, непрерывности бизнеса и физической безопасности серверной - всё применимо и всё требует реального внедрения, не просто бумаги.

Работа над SOA - это не разовая сессия. Мы прошли первый круг, получили черновик, и уже видно, что некоторые решения придётся пересматривать после следующего раунда оценки рисков. Это нормально.

Про сроки честно

Клиент хочет сертификат до конца 2008 года. Мы сказали, что это зависит от темпа внедрения мер и готовности органа по сертификации. Подготовка документации - несколько месяцев. Внедрение реальных мер - параллельно, и это не бумага, это изменение процессов. Потом предварительный аудит, устранение несоответствий, сертификационный аудит.

Если двигаться без пробуксовок - реально. Если продолжат «нет времени, давайте в следующем месяце» - нет.

Мы пока на этапе оценки рисков и формирования SOA. Следующий шаг - план обработки рисков с конкретными мерами, сроками и ответственными. Про это напишем отдельно.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.