AXENIX успешно прошла аудит системы ИБ по ISO 27001
AXENIX прошла аудит на соответствие системы менеджмента информационной безопасности требованиям международного стандарта ISO 27001. Сертификация подтверждает, что процессы создания, внедрения и развития ИБ в AXENIX соответствуют лучшим мировым практикам.
ISO 27001 — международный стандарт, который регламентирует систему менеджмента информационной безопасности. Сертификаты, полученные AXENIX, подтверждены EUROCERT S.A., независимой европейской организацией по сертификации с головным офисом в Афинах, Греция, аккредитованной национальной системой ESYD и работающей более чем в 20 странах мира.
Дмитрий Тягунов, CIO AXENIX , отметил, что прохождение сертификации стало логичным шагом в развитии компании и было продиктовано рядом факторов: «С одной стороны, это наше внутреннее стремление системно управлять информационной безопасностью. С другой — запрос рынка: клиенты и партнеры все чаще обращают внимание на наличие подтвержденных стандартов управления ИБ. Поэтому для нас это еще и повышение уровня доверия и обеспечение конкурентного преимущества».
В 2022 году, после отделения от международной компании Accenture, AXENIX полностью перестроила свою ИТ‑инфраструктуру. При этом в обновленный ИТ‑ландшафт стандарты ИБ закладывались как основа, позволившая впоследствии реализовать системный подход и сертификацию. Такой подход был особенно важен в условиях перехода к гибридному режиму работы — сотрудники AXENIX подключаются удаленно, используя самые разные средства связи, — а также активного внедрения облачных инструментов, что требует дополнительной защиты. Кроме того, необходимость системного ИБ‑подхода была обусловлена усилением глобальных и российских требований к хранению, обработке и защите персональных данных.
Процесс сертификации по международному стандарту ISO 27001 состоит из нескольких последовательных этапов. Сначала происходит разработка ИБ‑политики, определение области применения системы управления, оценка рисков и установление контрольных мер. На дальнейшем этапе создается документация, соответствующая требованиям стандарта, разрабатываются процедуры и инструкции для критических процессов. Затем на этапе внедрения осуществляется реализация процедур и политик в повседневной деятельности, обучение сотрудников. Наконец, перед сертификационным аудитом требуется пройти внутренний аудит. В целом подготовка к сертификации в AXENIX заняла около полутора лет.
Сам процесс сертификационного аудита состоял из трех этапов:
— Оценка технических и организационных мер: аудиторы провели детальный анализ внутренних процессов, фокусируясь на эффективности реализованных механизмов, включая оценку архитектуры систем обеспечения ИБ, процессов управления рисками и интеграции политик информационной защиты в операционную деятельность.
— Полевое обследование на местах присутствия: аккредитованные специалисты осуществили выездные инспекции в офисы компании, где провели проверку функционирования инфраструктуры — от сетевых конфигураций до инструментов мониторинга и реагирования на инциденты, — обеспечив реальную оценку практической реализации мер безопасности.
— Корректировка выявленных замечаний и финальное подтверждение соответствия: в ответ на рекомендации аудиторов компанией были внедрены необходимые корректировки, включая доработки процедур и усиление контрольных точек.
Дмитрий Тягунов отмечает, что сертификация не только помогла компании выстроить процессы в части ИТ‑инфраструктуры, но и способствовала стандартизации операций, уточнению ролей и обязанностей. Например, были регламентированы стандарты обеспечения безопасности рабочих компьютеров, режим для посетителей, хранение пропусков, роли и обязанности в отношениях с поставщиками и многое другое.
Сертификат выдан сроком на три года. Ежегодно AXENIX намерена подтверждать свое соответствие, проходя инспекционные аудиты, а через три года — процедуру ресертификации. Работа по международным стандартам является частью долгосрочной стратегии развития AXENIX в сфере ИБ.
