УслУги КРОК пО сеРтифиКации систем УпРавления инфОРмациОннОй безОпаснОстью Специалисты КРОК разрабатывают комплексные системы управления информаци-онной безопасностью (СУИБ), которые соответствуют требованиям международного стандарта ISO/IEC 27001:2013 (ГОСТ Р ИСО/МЭК 27001-2006).

Сертификация СУИБ по требованиям стандарта ISO/IEC 27001:2013 позволяет органи-зациям:

• принимать эффективные и экономически обоснованные меры по обеспечению ин-формационной безопасности (ИБ);

• выработать долговременную стратегию развития системы обеспечения ИБ, адекват-ную существующим тенденциям развития ИТ, а также оптимизировать инвестиции в средства защиты информации;

• осуществлять независимый контроль и подтверждать эффективность системы без-опасности авторитетными международными сертификационными органами;

• повышать инвестиционную привлекательность, получать конкурентные преимуще-ства и производить положительное впечатление на партнеров, клиентов, акционе-ров, аудиторов, государственные и контролирующие органы.

бизнес-пРилОжения02.4.7 инфОРмациОнная безОпаснОсть

Порядок проведения работ

Подготовка к сертификации включает в себя шесть последовательных этапов.

Обязательной частью проекта является анализ рисков ИБ, их оценка и разработка мер по реагированию на них, включая организационно-управленческие решения, проектирование, последующее внедрение недостающих механизмов контроля, их интеграция в существующую инфраструктуру организации, оценка результативности их функциони-рования и совершенствование существующих механизмов контроля.

Выполняя работы по созданию и внедрению СУИБ, КРОК уделяет мак-симальное внимание изучению существующих в организации практик менеджмента, подходов к оценке результативности функционирования процессов, анализу рисков, проведению внутренних проверок, управ-лению персоналом и т. д. Это позволяет максимально адаптировать разрабатываемые процессы и процедуры к сложившимся практикам управления организацией.

При подготовке к сертификации КРОК проводит комплексный вну-тренний аудит подготовленной, внедренной и работающей в реальных условиях СУИБ. Специалисты КРОК оценивают, насколько осуществля-ются требуемые стандартом меры управления и механизмы контроля, корректно ли они реализованы и адекватны ли существующим рискам.

По завершении полного комплекса работ по подготовке СУИБ к сер-тификационному аудиту в организации будет функционировать СУИБ, в целом соответствующая требованиям стандарта ISO/IEC 27001:2013, которая может быть заявлена на прохождение сертификационного аудита в независимом органе по сертификации.

02.4.7

Преимущества КрОК

КРОК стал первой компанией в России и СНГ, которая в 2005 году сертифицирова-ла свою СУИБ в соответствии с требова-ниями международного стандарта ISO/IEC 27001:2005, а в 2014 году – снова пер-вой успешно привела СУИБ в соответ-ствие требованиям стандарта 27001:2013. СУИБ компании также успешно сертифи-цирована на соответствие требованиям российского стандарта ГОСТ Р ИСО/МЭК 27001 – 2006.

Успешное прохождение ресертификаци-онных и инспекционных аудитов, про-водимых международным и российским органами по сертификации (BSI MS Russia, ОАО «ВНИИС»), подтверждает актуаль-ность текущего состояния СУИБ КРОК.

Широкая компетенция. КРОК работает на ИТ-рынке c 1992 года и сегодня входит в топ-10 крупнейших ИТ-компаний и топ-3 консалтинговых компаний Рос-сии (РА «Эксперт», РИА Рейтинг, «Ком-мерсант-Деньги»). Компетенция компа-нии – все элементы информационной и телекоммуникационной инфраструкту-ры и интеграционные связи между ними. КРОК создает динамические инфра-структуры, которые позволяют гибко подстраиваться под текущие и стратеги-ческие потребности бизнеса.

Качество реализации проектов по ин-формационной безопасности. Специа-листы компании КРОК имеют значитель-ный опыт проектирования и внедрения решений по информационной безопас-ности для государственных учреж-дений, государственных корпораций, финансовых, транспортных компаний, предприятий нефтегазовой и атомной отраслей и энергетического комплекса, ритейла, операторов связи, организа-ций здравоохранения и промышленных предприятий. Используя современные методики анализа рисков и передовой опыт отечественных и международных компаний, специалисты КРОК подбира-ют для каждой организации оптимальный набор решений, адекватный существую-щим рискам.

инфОРмациОнная безОпаснОсть

КРОК входит в состав Сообщества пользователей стандартов ЦБ РФ по обе-

спечению информаци-онной безопасности организаций бан-ковской системы РФ (Сообщество ABISS). КРОК также является участником партнер-ской программы BSI «Ассоциированная программа консультан-тов BSI», подтвержда-

ющей высокий статус специалистов ком-пании по внедрению систем менеджмента по направлениям «Информационная безопасность» (ISO 27001), «Непрерыв-ность бизнеса» (ISO 22301), «Управление ИТ-сервисами» (ISO 20000-1).

Компетенции КрОК в области консал-тинговых услуг. КРОК обладает обшир-ным опытом в сфере аудита и консалтинга информационной безопасности. Помимо подготовки к сертификации СУИБ, КРОК помогает компаниям и организациям достичь соответствия законам №152-ФЗ «О персональных данных», №98-ФЗ «О коммерческой тайне», нормативно-методической базе ФСТЭК и ФСБ, от-раслевым регуляторам (PCI DSS, СТО БР ИББС и иным требованиям ЦБ РФ).

тестирование в Центре компетенции. Комплексные решения КРОК проходят предварительную отработку в Центре компетенции КРОК, что гарантиру-ет совместимость всех программных и аппаратных компонентов. С возмож-ностями продуктов по информационной безопасности можно познакомиться на практике в единственных в России Цен-трах решений Hewlett-Packard Enterprise, Symantec, EMC.

Преимущества КрОК реализОванные ПрОеКты

Банк уралсиб

Подготовка системы управления информационной безопасностью банка к сертификации на соответствие требованиям международного стандарта ISO/IEC 27001:2005

Цель проекта: повышение общего уровня защищенности информа-ционных ресурсов заказчика, формализация и описание процессов управления и обеспечения информационной безопасности, а также формирование комплекта нормативно-методических документов в об-ласти информационной безопасности, необходимых для реализации процедуры сертификации СУИБ заказчика на соответствие требовани-ям международного стандарта ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования»..

Основные преимущества:

• дальнейшая сертификация по системе менеджмента ISO/IEC 27001;• повышение общего уровня защищенности корпоративных информа-

ционных активов; • повышение степени соответствия компании требованиям и рекомен-

дациям существующих стандартов и лучших практик в области ИБ.

ГмК «норильский никель»

разработка систем практических правил управления мБ

Цель проекта: повышение управляемости и надежности бизнеса «Но-рильского никеля».

Основные преимущества:

• дальнейшая сертификация по системе менеджмента Британского института стандартов (BSI);

• повышение общего уровня защищенности корпоративных информа-ционных активов;

• повышение степени соответствия компании требованиям и рекомен-дациям существующих стандартов и лучших практик в области ИБ.

111033, Москва, ул. Волочаевская, д.5, к.1, Т: (495) 974 2274 | Ф: (495) 974 2277E-mail: infosec@croc.ruslideshare.net/croc-librarycloud.croc.rucroc.ru

09 | 16 | ИНФОРМАЦИОННАя БеЗОПАСНОСТь

Партнеры КрОК

BSI. КРОК ‒ участник Ассоциированной программы консультантов BSI.

транспортная группа FESCO

разработка комплекта нормативно-методических документов в области иБ

Цель проекта: повышение общего уровня защищенности активов компании, формализация процессов управления и обеспечения ИБ, а также формирование комплекта корпоративных нормативных актов, регламентирующих деятельность компании в области ИБ и требования к ключевым компонентам технической инфраструктуры ИБ.

Специалисты КРОК сформировали единый подход к построению ком-плексной системы управления ИБ; формализовали основные процессы управления и контроля обеспечения ИБ и комплект высокоуровневых корпоративных нормативно-методических документов, регламентиру-ющих работу служб и подразделений информационной безопасности; разработали набор функциональных политик, отражающих базовые принципы управления и обеспечения ИБ, ролевую модель управления ИБ, систему локальных нормативных актов; описали базовые процессы и процедуры управления и обеспечения ИБ.

Основные преимущества:

• повышение общего уровня защищенности корпоративных информа-ционных активов;

• повышение уровня контроля и управляемости ИТ-инфрастрактуры;• повышение степени соответствия компании требованиям и рекомен-

дациям существующих стандартов и лучших практик в области ИБ.