Leta - первая ИБ-компания с сертификатом на соответствие стандарту ISO 27001

Компания Leta объявила о завершении сертификационного аудита своей системы управления информационной безопасностью на соответствие требованиям стандарта ISO 27001 и о получении сертификата соответствия. Аудит и сертификацию проводило представительство Британского Института Стандартов.

В настоящее время международное сообщество рассматривает стандарт ISO 27001 и внедрение соответствующих наилучших практик как наиболее респектабельный, системный и эффективный подход к комплексной защите информации на взаимодействующих предприятиях. Чтобы преуспеть в современном бизнесе, предприятие должно гарантировать своим клиентам и партнерам сохранность собственной и чужой конфиденциальной информации. Подтвержденное соответствие СУИБ требованиям ISO 27001 может считаться такой гарантией, но только при условии, что в область сертификации включены средства защиты действительно важных процессов, и средства эти постоянно функционируют.

Первая особенность сертификации Leta связана с тем, что компания подтвердила защищенность ключевого участка своей основной деятельности. Заявленная зона сертификации охватывает всю работу с информацией, полученной от клиентов и созданной специалистами Leta в рамках проектов и при оказании типизированных услуг. Иными словами, сертификат удостоверяет сохранение коммерческой тайны клиентов и самой компании, а также персональных данных сотрудников и партнеров в рамках основного производственного процесса "Оказание консалтинговых услуг по построению систем информационной безопасности, включая внедрение технических решений". При этом были выделены ключевые подпроцессы: управление проектами, консалтинг информационной безопасности, внедрение технических средств информационной безопасности.

Другая особенность связана с тем, что всю подготовку к сертификации Leta провела без привлечения сторонних специалистов. Это обусловлено с тем, что компания еще в 2007 году начала серьезно заниматься всем комплексом вопросов по построению СУИБ и внедрению стандарта ISO 27001, и в настоящее время располагает в этой сфере штатом высококвалифицированных специалистов, а также рядом оригинальных методических и технологических разработок. С учетом требований именно этого стандарта Leta проектировала и внедряла свои бизнес-процессы задолго до запуска весной 2010 года проекта по подготовке к сертификации СУИБ. Мероприятие длилось чуть более года: первые пять месяцев ушли на проверку и приведение процессов в точное соответствие требованиям стандарта, остальное время было отведено на опытную эксплуатацию, выявление и устранение недочетов, а также оптимизацию.

Третья особенность проекта - в том, что аудиторы особо отметили разработанные Leta процессы в рамках управления рисками, обозначив их как хорошие практики. Получение этого статуса означает не только качество проработки и реализации соответствующего процесса, но и является рекомендацией для его применения на других предприятиях.

Фактически Leta стала первой специализированной ИБ-компанией в России, которая сертифицировала основную область деятельности на соответствие стандарту ISO 27001. В планах предприятия – сертификация технологии ведения проектов, базирующейся на методологии PMI PMBOK (Project Management Body Of Knowledge), а также сертификация по стандарту BS 25999 (построение систем обеспечения непрерывности бизнеса-процессов).

"СУИБ компании Leta внедрена в наиболее критичной области. Система является достаточно проработанной, к ее реализации руководство и специалисты подошли очень обстоятельно, – сказал Валерий Гирко, ведущий аудитор BSI. – Глубоко проработан процесс анализа рисков ИБ и математический аппарат расчета их уровней. Leta создала и внедрила уникальное в своем роде программное обеспечение, позволяющее автоматизировать инвентаризацию, категорирование информации, а также рассчитывать уровни рисков ИБ в случае потери конфиденциальности, целостности и доступности данных, и на этой основе генерировать отчеты для руководства. Не могу не отметить основательный подход к разработке показателей эффективности процессов и мер по ИБ. Набор показателей распространяется более чем на 30 контрольных областей, имеет свою иерархию, классификаторы и формулы расчета. Видно, что компания подошла к сертификации с далеко идущей перспективой".

"Когда компания предоставляет услуги в сфере информационной безопасности, а сама относится к защите конфиденциальных сведений непонятно как, она напоминает хорошо известный образ "сапожника без сапог". Но если от отсутствия обуви страдает только сам сапожник, то в случае ИБ риски фактически ложатся на клиента. На мой взгляд, ИБ-интегратор должен демонстрировать серьезное отношение к защите информации своим примером. Это не просто положительно влияет на его имидж, а является признаком зрелости и ответственности, – подчеркнул Андрей Конусов, генеральный директор компании Leta. – Сертификация по ISO 27001 комплексной СУИБ, охватывающей основной производственный блок, – это, пожалуй, высшая ступень сложности в сфере внедрения международных стандартов ИБ. Поэтому для меня особенно важно, что Leta подготовилась к сертификации своими силами, и прошла ее без замечаний. Это подтверждает квалификацию компании в управленческом консалтинге и внедрении международных стандартов информационной безопасности. И показывает, что Leta может и дальше двигаться по пути внедрения инновационных управленческих идей, развития системы менеджмента, адаптации, а теперь и создания наилучших практик".

©  @Astera