View
431
Download
0
Embed Size (px)
Citation preview
УслУги КРОК пО сеРтифиКации систем УпРавления инфОРмациОннОй безОпаснОстью Специалисты КРОК разрабатывают комплексные системы управления информаци-онной безопасностью (СУИБ), которые соответствуют требованиям международного стандарта ISO/IEC 27001:2013 (ГОСТ Р ИСО/МЭК 27001-2006).
Сертификация СУИБ по требованиям стандарта ISO/IEC 27001:2013 позволяет органи-зациям:
• принимать эффективные и экономически обоснованные меры по обеспечению ин-формационной безопасности (ИБ);
• выработать долговременную стратегию развития системы обеспечения ИБ, адекват-ную существующим тенденциям развития ИТ, а также оптимизировать инвестиции в средства защиты информации;
• осуществлять независимый контроль и подтверждать эффективность системы без-опасности авторитетными международными сертификационными органами;
• повышать инвестиционную привлекательность, получать конкурентные преимуще-ства и производить положительное впечатление на партнеров, клиентов, акционе-ров, аудиторов, государственные и контролирующие органы.
бизнес-пРилОжения02.4.7 инфОРмациОнная безОпаснОсть
Порядок проведения работ
Подготовка к сертификации включает в себя шесть последовательных этапов.
Обязательной частью проекта является анализ рисков ИБ, их оценка и разработка мер по реагированию на них, включая организационно-управленческие решения, проектирование, последующее внедрение недостающих механизмов контроля, их интеграция в существующую инфраструктуру организации, оценка результативности их функциони-рования и совершенствование существующих механизмов контроля.
Выполняя работы по созданию и внедрению СУИБ, КРОК уделяет мак-симальное внимание изучению существующих в организации практик менеджмента, подходов к оценке результативности функционирования процессов, анализу рисков, проведению внутренних проверок, управ-лению персоналом и т. д. Это позволяет максимально адаптировать разрабатываемые процессы и процедуры к сложившимся практикам управления организацией.
При подготовке к сертификации КРОК проводит комплексный вну-тренний аудит подготовленной, внедренной и работающей в реальных условиях СУИБ. Специалисты КРОК оценивают, насколько осуществля-ются требуемые стандартом меры управления и механизмы контроля, корректно ли они реализованы и адекватны ли существующим рискам.
По завершении полного комплекса работ по подготовке СУИБ к сер-тификационному аудиту в организации будет функционировать СУИБ, в целом соответствующая требованиям стандарта ISO/IEC 27001:2013, которая может быть заявлена на прохождение сертификационного аудита в независимом органе по сертификации.
02.4.7
Преимущества КрОК
КРОК стал первой компанией в России и СНГ, которая в 2005 году сертифицирова-ла свою СУИБ в соответствии с требова-ниями международного стандарта ISO/IEC 27001:2005, а в 2014 году – снова пер-вой успешно привела СУИБ в соответ-ствие требованиям стандарта 27001:2013. СУИБ компании также успешно сертифи-цирована на соответствие требованиям российского стандарта ГОСТ Р ИСО/МЭК 27001 – 2006.
Успешное прохождение ресертификаци-онных и инспекционных аудитов, про-водимых международным и российским органами по сертификации (BSI MS Russia, ОАО «ВНИИС»), подтверждает актуаль-ность текущего состояния СУИБ КРОК.
Широкая компетенция. КРОК работает на ИТ-рынке c 1992 года и сегодня входит в топ-10 крупнейших ИТ-компаний и топ-3 консалтинговых компаний Рос-сии (РА «Эксперт», РИА Рейтинг, «Ком-мерсант-Деньги»). Компетенция компа-нии – все элементы информационной и телекоммуникационной инфраструкту-ры и интеграционные связи между ними. КРОК создает динамические инфра-структуры, которые позволяют гибко подстраиваться под текущие и стратеги-ческие потребности бизнеса.
Качество реализации проектов по ин-формационной безопасности. Специа-листы компании КРОК имеют значитель-ный опыт проектирования и внедрения решений по информационной безопас-ности для государственных учреж-дений, государственных корпораций, финансовых, транспортных компаний, предприятий нефтегазовой и атомной отраслей и энергетического комплекса, ритейла, операторов связи, организа-ций здравоохранения и промышленных предприятий. Используя современные методики анализа рисков и передовой опыт отечественных и международных компаний, специалисты КРОК подбира-ют для каждой организации оптимальный набор решений, адекватный существую-щим рискам.
инфОРмациОнная безОпаснОсть
КРОК входит в состав Сообщества пользователей стандартов ЦБ РФ по обе-
спечению информаци-онной безопасности организаций бан-ковской системы РФ (Сообщество ABISS). КРОК также является участником партнер-ской программы BSI «Ассоциированная программа консультан-тов BSI», подтвержда-
ющей высокий статус специалистов ком-пании по внедрению систем менеджмента по направлениям «Информационная безопасность» (ISO 27001), «Непрерыв-ность бизнеса» (ISO 22301), «Управление ИТ-сервисами» (ISO 20000-1).
Компетенции КрОК в области консал-тинговых услуг. КРОК обладает обшир-ным опытом в сфере аудита и консалтинга информационной безопасности. Помимо подготовки к сертификации СУИБ, КРОК помогает компаниям и организациям достичь соответствия законам №152-ФЗ «О персональных данных», №98-ФЗ «О коммерческой тайне», нормативно-методической базе ФСТЭК и ФСБ, от-раслевым регуляторам (PCI DSS, СТО БР ИББС и иным требованиям ЦБ РФ).
тестирование в Центре компетенции. Комплексные решения КРОК проходят предварительную отработку в Центре компетенции КРОК, что гарантиру-ет совместимость всех программных и аппаратных компонентов. С возмож-ностями продуктов по информационной безопасности можно познакомиться на практике в единственных в России Цен-трах решений Hewlett-Packard Enterprise, Symantec, EMC.
Преимущества КрОК реализОванные ПрОеКты
Банк уралсиб
Подготовка системы управления информационной безопасностью банка к сертификации на соответствие требованиям международного стандарта ISO/IEC 27001:2005
Цель проекта: повышение общего уровня защищенности информа-ционных ресурсов заказчика, формализация и описание процессов управления и обеспечения информационной безопасности, а также формирование комплекта нормативно-методических документов в об-ласти информационной безопасности, необходимых для реализации процедуры сертификации СУИБ заказчика на соответствие требовани-ям международного стандарта ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования»..
Основные преимущества:
• дальнейшая сертификация по системе менеджмента ISO/IEC 27001;• повышение общего уровня защищенности корпоративных информа-
ционных активов; • повышение степени соответствия компании требованиям и рекомен-
дациям существующих стандартов и лучших практик в области ИБ.
ГмК «норильский никель»
разработка систем практических правил управления мБ
Цель проекта: повышение управляемости и надежности бизнеса «Но-рильского никеля».
Основные преимущества:
• дальнейшая сертификация по системе менеджмента Британского института стандартов (BSI);
• повышение общего уровня защищенности корпоративных информа-ционных активов;
• повышение степени соответствия компании требованиям и рекомен-дациям существующих стандартов и лучших практик в области ИБ.
111033, Москва, ул. Волочаевская, д.5, к.1, Т: (495) 974 2274 | Ф: (495) 974 2277E-mail: [email protected]/croc-librarycloud.croc.rucroc.ru
09 | 16 | ИНФОРМАЦИОННАя БеЗОПАСНОСТь
Партнеры КрОК
BSI. КРОК ‒ участник Ассоциированной программы консультантов BSI.
транспортная группа FESCO
разработка комплекта нормативно-методических документов в области иБ
Цель проекта: повышение общего уровня защищенности активов компании, формализация процессов управления и обеспечения ИБ, а также формирование комплекта корпоративных нормативных актов, регламентирующих деятельность компании в области ИБ и требования к ключевым компонентам технической инфраструктуры ИБ.
Специалисты КРОК сформировали единый подход к построению ком-плексной системы управления ИБ; формализовали основные процессы управления и контроля обеспечения ИБ и комплект высокоуровневых корпоративных нормативно-методических документов, регламентиру-ющих работу служб и подразделений информационной безопасности; разработали набор функциональных политик, отражающих базовые принципы управления и обеспечения ИБ, ролевую модель управления ИБ, систему локальных нормативных актов; описали базовые процессы и процедуры управления и обеспечения ИБ.
Основные преимущества:
• повышение общего уровня защищенности корпоративных информа-ционных активов;
• повышение уровня контроля и управляемости ИТ-инфрастрактуры;• повышение степени соответствия компании требованиям и рекомен-
дациям существующих стандартов и лучших практик в области ИБ.