Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Сертификация системы управления информационной безопасностью

565 views

Published on

Специалисты КРОК разрабатывают комплексные системы управления информаци- онной безопасностью (СУИБ), которые соответствуют требованиям международного стандарта ISO/IEC 27001:2013 (ГОСТ Р ИСО/МЭК 27001-2006).

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Сертификация системы управления информационной безопасностью

  1. 1. Услуги КРОК по сертификации систем управления информационной безопасностью Специалисты КРОК разрабатывают комплексные системы управления информаци- онной безопасностью (СУИБ), которые соответствуют требованиям международного стандарта ISO/IEC 27001:2013 (ГОСТ Р ИСО/МЭК 27001-2006). Сертификация СУИБ по требованиям стандарта ISO/IEC 27001:2013 позволяет органи- зациям: • принимать эффективные и экономически обоснованные меры по обеспечению ин- формационной безопасности (ИБ); • выработать долговременную стратегию развития системы обеспечения ИБ, адекват- ную существующим тенденциям развития ИТ, а также оптимизировать инвестиции в средства защиты информации; • осуществлять независимый контроль и подтверждать эффективность системы без- опасности авторитетными международными сертификационными органами; • повышать инвестиционную привлекательность, получать конкурентные преимуще- ства и производить положительное впечатление на партнеров, клиентов, акционе- ров, аудиторов, государственные и контролирующие органы. бизнес-приложения 02.4.7 информационная безопасность
  2. 2. Порядок проведения работ Подготовка к сертификации включает в себя шесть последовательных этапов. Обязательной частью проекта является анализ рисков ИБ, их оценка и разработка мер по реагированию на них, включая организационно- управленческие решения, проектирование, последующее внедрение недостающих механизмов контроля, их интеграция в существующую инфраструктуру организации, оценка результативности их функциони- рования и совершенствование существующих механизмов контроля. Выполняя работы по созданию и внедрению СУИБ, КРОК уделяет мак- симальное внимание изучению существующих в организации практик менеджмента, подходов к оценке результативности функционирования процессов, анализу рисков, проведению внутренних проверок, управ- лению персоналом и т. д. Это позволяет максимально адаптировать разрабатываемые процессы и процедуры к сложившимся практикам управления организацией. При подготовке к сертификации КРОК проводит комплексный вну- тренний аудит подготовленной, внедренной и работающей в реальных условиях СУИБ. Специалисты КРОК оценивают, насколько осуществля- ются требуемые стандартом меры управления и механизмы контроля, корректно ли они реализованы и адекватны ли существующим рискам. По завершении полного комплекса работ по подготовке СУИБ к сер- тификационному аудиту в организации будет функционировать СУИБ, в целом соответствующая требованиям стандарта ISO/IEC 27001:2013, которая может быть заявлена на прохождение сертификационного аудита в независимом органе по сертификации. 02.4.7 Преимущества КРОК КРОК стал первой компанией в России и СНГ, которая в 2005 году сертифицирова- ла свою СУИБ в соответствии с требова- ниями международного стандарта ISO/ IEC 27001:2005, а в 2014 году – снова пер- вой успешно привела СУИБ в соответ- ствие требованиям стандарта 27001:2013. СУИБ компании также успешно сертифи- цирована на соответствие требованиям российского стандарта ГОСТ Р ИСО/ МЭК 27001 – 2006. Успешное прохождение ресертификаци- онных и инспекционных аудитов, про- водимых международным и российским органами по сертификации (BSI MS Russia, ОАО «ВНИИС»), подтверждает актуаль- ность текущего состояния СУИБ КРОК. Широкая компетенция. КРОК работает на ИТ-рынке c 1992 года и сегодня входит в топ-10 крупнейших ИТ-компаний и топ-3 консалтинговых компаний Рос- сии (РА «Эксперт», РИА Рейтинг, «Ком- мерсант-Деньги»). Компетенция компа- нии – все элементы информационной и телекоммуникационной инфраструкту- ры и интеграционные связи между ними. КРОК создает динамические инфра- структуры, которые позволяют гибко подстраиваться под текущие и стратеги- ческие потребности бизнеса. Качество реализации проектов по ин- формационной безопасности. Специа- листы компании КРОК имеют значитель- ный опыт проектирования и внедрения решений по информационной безопас- ности для государственных учреж- дений, государственных корпораций, финансовых, транспортных компаний, предприятий нефтегазовой и атомной отраслей и энергетического комплекса, ритейла, операторов связи, организа- ций здравоохранения и промышленных предприятий. Используя современные методики анализа рисков и передовой опыт отечественных и международных компаний, специалисты КРОК подбира- ют для каждой организации оптимальный набор решений, адекватный существую- щим рискам.
  3. 3. информационная безопасность КРОК входит в состав Сообщества пользователей стандартов ЦБ РФ по обе- спечению информаци- онной безопасности организаций бан- ковской системы РФ (Сообщество ABISS). КРОК также является участником партнер- ской программы BSI «Ассоциированная программа консультан- тов BSI», подтвержда- ющей высокий статус специалистов ком- пании по внедрению систем менеджмента по направлениям «Информационная безопасность» (ISO 27001), «Непрерыв- ность бизнеса» (ISO 22301), «Управление ИТ-сервисами» (ISO 20000-1). Компетенции КРОК в области консал- тинговых услуг. КРОК обладает обшир- ным опытом в сфере аудита и консалтинга информационной безопасности. Помимо подготовки к сертификации СУИБ, КРОК помогает компаниям и организациям достичь соответствия законам №152-ФЗ «О персональных данных», №98-ФЗ «О коммерческой тайне», нормативно- методической базе ФСТЭК и ФСБ, от- раслевым регуляторам (PCI DSS, СТО БР ИББС и иным требованиям ЦБ РФ). Тестирование в Центре компетенции. Комплексные решения КРОК проходят предварительную отработку в Центре компетенции КРОК, что гарантиру- ет совместимость всех программных и аппаратных компонентов. С возмож- ностями продуктов по информационной безопасности можно познакомиться на практике в единственных в России Цен- трах решений Hewlett-Packard Enterprise, Symantec, EMC. Преимущества КРОК реализованные проекты Банк Уралсиб Подготовка системы управления информационной безопасностью банка к сертификации на соответствие требованиям международного стандарта ISO/IEC 27001:2005 Цель проекта: повышение общего уровня защищенности информа- ционных ресурсов заказчика, формализация и описание процессов управления и обеспечения информационной безопасности, а также формирование комплекта нормативно-методических документов в об- ласти информационной безопасности, необходимых для реализации процедуры сертификации СУИБ заказчика на соответствие требовани- ям международного стандарта ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования».. Основные преимущества: • дальнейшая сертификация по системе менеджмента ISO/IEC 27001; • повышение общего уровня защищенности корпоративных информа- ционных активов; • повышение степени соответствия компании требованиям и рекомен- дациям существующих стандартов и лучших практик в области ИБ. ГМК «Норильский никель» Разработка систем практических правил управления МБ Цель проекта: повышение управляемости и надежности бизнеса «Но- рильского никеля». Основные преимущества: • дальнейшая сертификация по системе менеджмента Британского института стандартов (BSI); • повышение общего уровня защищенности корпоративных информа- ционных активов; • повышение степени соответствия компании требованиям и рекомен- дациям существующих стандартов и лучших практик в области ИБ.
  4. 4. 111033, Москва, ул. Волочаевская, д.5, к.1, Т: (495) 974 2274 | Ф: (495) 974 2277 E-mail: infosec@croc.ru slideshare.net/croc-library cloud.croc.ru croc.ru 09 | 16 | Информационная безопасность партнеры крок BSI. КРОК ‒ участник Ассоциированной программы консультантов BSI. Транспортная группа FESCO Разработка комплекта нормативно-методических документов в области ИБ Цель проекта: повышение общего уровня защищенности активов компании, формализация процессов управления и обеспечения ИБ, а также формирование комплекта корпоративных нормативных актов, регламентирующих деятельность компании в области ИБ и требования к ключевым компонентам технической инфраструктуры ИБ. Специалисты КРОК сформировали единый подход к построению ком- плексной системы управления ИБ; формализовали основные процессы управления и контроля обеспечения ИБ и комплект высокоуровневых корпоративных нормативно-методических документов, регламентиру- ющих работу служб и подразделений информационной безопасности; разработали набор функциональных политик, отражающих базовые принципы управления и обеспечения ИБ, ролевую модель управления ИБ, систему локальных нормативных актов; описали базовые процессы и процедуры управления и обеспечения ИБ. Основные преимущества: • повышение общего уровня защищенности корпоративных информа- ционных активов; • повышение уровня контроля и управляемости ИТ-инфрастрактуры; • повышение степени соответствия компании требованиям и рекомен- дациям существующих стандартов и лучших практик в области ИБ.

×