Недавно компания TÜV AUSTRIA выдала нам сертификат, подтверждающий, что мы применяем систему менеджмента информационной безопасности в соответствии со стандартом ISO/IEC 27001:2013 к процессам «Доставка вредоносных и подозрительных файлов с помощью инфраструктуры Kaspersky Security Network (KSN), их безопасное хранение в Kaspersky Lab Distributed File System (KLDFS) и обеспечение доступа». Мы решили рассказать подробнее о том, что это за сертификация, зачем она нужна и почему это так важно для нас.
Что такое ISO 27001
ISO 27001 — это международный стандарт, в котором собраны требования для создания и развития системы менеджмента информационной безопасности. По большому счету это коллекция «лучших практик», которая позволяет выбрать меры управления безопасностью таким образом, чтобы обеспечить защиту информации и предоставить клиентам соответствующие гарантии.
При проведении сертификации независимая компания TÜV AUSTRIA направляет аудиторов, основной целью которых является проверка процессов обеспечения информационной безопасности на соответствие «лучшим мировым практикам». В рамках проверок аудиторы оценивают многочисленные процессы компании в разных подразделениях — HR, IT, R&D, Security — и составляют отчет, который в целях дополнительного подтверждения беспристрастности анализируют другие независимые эксперты и выясняют, насколько правильно был проведен аудит. И только после этого выдается сертификат, свидетельствующий о том, что система управления информационной безопасностью находится на высоком уровне.
Что мы сертифицировали
Наших клиентов в первую очередь интересует, обеспечена ли максимальная безопасность процессов передачи вредоносных и подозрительных объектов (файлов) для проведения автоматизированных и ручных проверок антивирусными экспертами. А также безопасно ли эти вредоносные файлы хранятся в нашей инфраструктуре. Данная область, можно сказать, является одной из центральных в антивирусной компании. Поэтому мы решили сертифицировать механизмы доставки вредоносных и подозрительных файлов с помощью инфраструктуры Kaspersky Security Network и их безопасное хранение в Kaspersky Lab Distributed File System. Но это не значит, что аудиторы проверяли исключительно эту область. В компании многие сервисы и процессы устроены сходным образом.
На безопасность любого процесса влияет множество факторов, и система менеджмента информационной безопасности способна обеспечить распознавание этих факторов и своевременную защиту от них. Многие вопросы в ней являются базовыми: кто имеет доступ к информационным системам и критичным данным? Как проверяют этих людей при отборе на должность? Как в компании работают с документами и информационными системами? Как здесь отзывают права доступа при увольнении сотрудников? Насколько сотрудники осведомлены о возможных киберугрозах и противодействии им? Как администраторы работают с компьютерами, на которых осуществляются критические операции? Как процессы обеспечены документами и ресурсами? В системе защиты рассматриваются также и новые типы угроз и противодействия им: например, защита от APT-атак, обеспечение защиты при использовании новейших технологий, в том числе с применением алгоритмов машинного обучения.
Поэтому аудиторы проверяли документацию, общались с сотрудниками из разных отделов, анализировали как технические аспекты защиты информации, так и организационные, например процессы рекрутинга, увольнения, профессионального обучения. Изучали, как IT-служба поддерживает корпоративную сеть, посещали центры обработки данных. Наблюдали, как сотрудники трудятся на рабочих местах, выясняли, не завалялись ли где съемные носители или распечатки, блокируется ли монитор, когда специалисты куда-то отходят, что выведено на экранах мониторинга и дашбордах. Проверяли, какие программы используют сотрудники в работе. То есть анализировали практики, которые распространяются на всю компанию. Особое внимание aудиторы уделили проверке системных процессов управления информационной безопасностью, таких как анализ безопасности руководством, управление рисками, инцидентами, корректирующими действиями, проведение аудитов, обеспечение осведомленности и непрерывности бизнеса.
Что дальше?
Теперь все заинтересованные клиенты могут ознакомиться с сертификатом, являющимся заключением уважаемой компании. Надо сказать, вопрос о наличии сертификата ISO 27001 стал все чаще возникать при проведении тендеров. Потому что сертифицированные сервисы задействованы большинством наших решений.
Но на этом работа не останавливается. Раз в три года нам предстоит проводить ресертификацию, то есть повторный аудит, и подтверждать право владения сертификатом. Кроме того, ежегодно аудитор будет делать точечные проверки.
Дополнительную информацию о сертификате можно получить здесь.