Что такое ISO 27001
ISO 27001 — это международный стандарт, в котором собраны требования для создания и развития системы менеджмента информационной безопасности. По большому счету это коллекция «лучших практик», которая позволяет выбрать меры управления безопасностью таким образом, чтобы обеспечить защиту информации и предоставить клиентам соответствующие гарантии.
При проведении сертификации независимая компания TÜV AUSTRIA направляет аудиторов, основной целью которых является проверка процессов обеспечения информационной безопасности на соответствие «лучшим мировым практикам». В рамках проверок аудиторы оценивают многочисленные процессы компании в разных подразделениях — HR, IT, R&D, Security — и составляют отчет, который в целях дополнительного подтверждения беспристрастности анализируют другие независимые эксперты и выясняют, насколько правильно был проведен аудит. И только после этого выдается сертификат, свидетельствующий о том, что система управления информационной безопасностью находится на высоком уровне.
Что мы сертифицировали
Наших клиентов в первую очередь интересует, обеспечена ли максимальная безопасность процессов передачи вредоносных и подозрительных объектов (файлов) для проведения автоматизированных и ручных проверок антивирусными экспертами. А также безопасно ли эти вредоносные файлы хранятся в нашей инфраструктуре. Данная область, можно сказать, является одной из центральных в антивирусной компании. Поэтому мы решили сертифицировать механизмы доставки вредоносных и подозрительных файлов с помощью инфраструктуры Kaspersky Security Network и их безопасное хранение в Kaspersky Lab Distributed File System. Но это не значит, что аудиторы проверяли исключительно эту область. В компании многие сервисы и процессы устроены сходным образом.
На безопасность любого процесса влияет множество факторов, и система менеджмента информационной безопасности способна обеспечить распознавание этих факторов и своевременную защиту от них. Многие вопросы в ней являются базовыми: кто имеет доступ к информационным системам и критичным данным? Как проверяют этих людей при отборе на должность? Как в компании работают с документами и информационными системами? Как здесь отзывают права доступа при увольнении сотрудников? Насколько сотрудники осведомлены о возможных киберугрозах и противодействии им? Как администраторы работают с компьютерами, на которых осуществляются критические операции? Как процессы обеспечены документами и ресурсами? В системе защиты рассматриваются также и новые типы угроз и противодействия им: например, защита от APT-атак, обеспечение защиты при использовании новейших технологий, в том числе с применением алгоритмов машинного обучения.
Поэтому аудиторы проверяли документацию, общались с сотрудниками из разных отделов, анализировали как технические аспекты защиты информации, так и организационные, например процессы рекрутинга, увольнения, профессионального обучения. Изучали, как IT-служба поддерживает корпоративную сеть, посещали центры обработки данных. Наблюдали, как сотрудники трудятся на рабочих местах, выясняли, не завалялись ли где съемные носители или распечатки, блокируется ли монитор, когда специалисты куда-то отходят, что выведено на экранах мониторинга и дашбордах. Проверяли, какие программы используют сотрудники в работе. То есть анализировали практики, которые распространяются на всю компанию. Особое внимание aудиторы уделили проверке системных процессов управления информационной безопасностью, таких как анализ безопасности руководством, управление рисками, инцидентами, корректирующими действиями, проведение аудитов, обеспечение осведомленности и непрерывности бизнеса.
Что дальше?
Теперь все заинтересованные клиенты могут ознакомиться с сертификатом, являющимся заключением уважаемой компании. Надо сказать, вопрос о наличии сертификата ISO 27001 стал все чаще возникать при проведении тендеров. Потому что сертифицированные сервисы задействованы большинством наших решений.
Но на этом работа не останавливается. Раз в три года нам предстоит проводить ресертификацию, то есть повторный аудит, и подтверждать право владения сертификатом. Кроме того, ежегодно аудитор будет делать точечные проверки.
Дополнительную информацию о сертификате можно получить здесь .
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
![]()
Маттеус: "Мусиалани алмаштириб бўлмайди"Лотар Маттеус Жамал Мусиала Германия терма жамоаси учун муҳимлигини таъкидлади.
-
![]()
Луческу – терма жамоалар миқёсида футбол тарихидаги энг кекса мураббийМирча Луческу терма жамоалар миқёсида футбол тарихидаги энг кекса мураббийга айланди.
-
![]()
CAFA Nations Cup-2025 финали: Ўзбекистон кўк, Эрон оқ либосда майдонга тушадиЭртага, 8-сентябр куни “CAFA Nations Cup-2025” турнири финал учрашуви ўтказилади.
-
![]()
Расман. Виллиан "Гремио"га ўтдиВиллиан "Гремио" футболчисига айланди.
-
![]()
Ядовитая змея проникла в квартиру в России: как такое возможно и что делать?Такое случается редко, но змеи могут проникать даже в квартиры Во Владимире ядовитая гадюка оказалась в квартире на пятом этаже, вызвав...
-
![]()
Qirg‘izistondan katta miqdordagi kuchli dorilarni olib kelganlar ushlandi.Namangan shahrida yashovchi, muqaddam Jinoyat kodeksining 246- va 251-1-moddalarida nazarda tutilgan jinoyatni sodir qilgan shaxs Qirg‘izistondan...
