Y
У нас около 6-8 месяцев ушло на ISO 27001. Можно и быстрее, зависит от готовности компании и сотрудников. Ну и в целом общей готовности к этому.
Если сможешь где-то так же круто дополнить рассказ Людмилы - то я буду очень благодарен 🙂
Size: a a a
2021 January 11
O
Если сможешь где-то так же круто дополнить рассказ Людмилы - то я буду очень благодарен 🙂
Как Людмила боюсь не смогу, это высший пилотаж (никакого сарказма).
Могу только дополнить по тем же комментам наш опыт:
1) Зависит во многом насколько вы уже готовы к этому. Мы были достаточно готовы, потому что изначально были параноиками (никому никаких доступов, только то что нужно, а что не нужно - закрыть). Доступ на прод только у лидов проектов и т.д. Поэтому для нас по бОльшей части, это была бумажная работа. Т.е. помимо того что мы реально это делали, нужно было обложиться всякими процедурами и процессами. Т.е. выдаем доступ только через тикеты в трекеты. Также всякие ежегодные перепроверки необходимости доступов (на команду из несколько сотен людей это хлопотно выходит).
Если же в этот момент придется усложнять жизнь людей, т.е. было все и всем, а нужно как-то ограничить, то тут придется делать много работы по объяснению сотрудникам зачем мы это делаем и почему это важно.
2) Нам сертификация нужна была из за специфики бизнеса, у нас есть требования от аудиторов, причем в разных странах, поэтому наличие ISO 27001 позволяет нам не проходить аудит в каждой стране, а показывать им всем одну бумажку
3) У нас этот процесс вел во многом руководитель ITSEC-а и он провел львиную долю работы)
Могу только дополнить по тем же комментам наш опыт:
1) Зависит во многом насколько вы уже готовы к этому. Мы были достаточно готовы, потому что изначально были параноиками (никому никаких доступов, только то что нужно, а что не нужно - закрыть). Доступ на прод только у лидов проектов и т.д. Поэтому для нас по бОльшей части, это была бумажная работа. Т.е. помимо того что мы реально это делали, нужно было обложиться всякими процедурами и процессами. Т.е. выдаем доступ только через тикеты в трекеты. Также всякие ежегодные перепроверки необходимости доступов (на команду из несколько сотен людей это хлопотно выходит).
Если же в этот момент придется усложнять жизнь людей, т.е. было все и всем, а нужно как-то ограничить, то тут придется делать много работы по объяснению сотрудникам зачем мы это делаем и почему это важно.
2) Нам сертификация нужна была из за специфики бизнеса, у нас есть требования от аудиторов, причем в разных странах, поэтому наличие ISO 27001 позволяет нам не проходить аудит в каждой стране, а показывать им всем одну бумажку
3) У нас этот процесс вел во многом руководитель ITSEC-а и он провел львиную долю работы)
AS
Людмила, Олег спасибо, Ярослав почти снял мой вопрос с языка. У нас агенство - сейчас приходят больше клиентов из EU, и у многих вопросы про GDPR и безопасность. Вопрос: до ISO 27001 у нас пока далеко боюсь, но с чего начать чтобы закрыть этот вопрос для клиентов? как работают другие российские агенства? открывают представительство в EU или используют какие то особые Data Privacy agreement?
LI
Еще хочу добавить - есть решения, которые пытаются собирать все SOC 2 (или ISO 27001) процедуры (онбординг, оффбординг = увольнение сотрудника, выдача или проверка доступов) в одном месте через интеграцию с публичными облаками (aws/gcp/azure), SSO системами (okta), экосистемами gsuite/o365 и другие популярными приложениями типа github, slack, salesforce, etc - это с одной стороны, должно быть удобно для настройки и контроля, с другой стороны, эти решения напоминают о разных важных периодических активностях типа 'провести risk assessment', плюс сами решения сотрудничают с аудиторами, чтобы платформа была удобной и понятной для них (по сути стандартизированный интерфейс между аудитором и компанией)
https://secureframe.com/
https://www.verygoodsecurity.com/compliance-solutions/control-soc2-compliance
P.S. я сама ими не пользовалась, но то, что видела, выглядит адекватно/полезно
https://secureframe.com/
https://www.verygoodsecurity.com/compliance-solutions/control-soc2-compliance
P.S. я сама ими не пользовалась, но то, что видела, выглядит адекватно/полезно
SG
вах ничего себе контент пошел в чате
N
FOMO какой он есть )
АА
RK
Liudmila Ivanichkina
Еще хочу добавить - есть решения, которые пытаются собирать все SOC 2 (или ISO 27001) процедуры (онбординг, оффбординг = увольнение сотрудника, выдача или проверка доступов) в одном месте через интеграцию с публичными облаками (aws/gcp/azure), SSO системами (okta), экосистемами gsuite/o365 и другие популярными приложениями типа github, slack, salesforce, etc - это с одной стороны, должно быть удобно для настройки и контроля, с другой стороны, эти решения напоминают о разных важных периодических активностях типа 'провести risk assessment', плюс сами решения сотрудничают с аудиторами, чтобы платформа была удобной и понятной для них (по сути стандартизированный интерфейс между аудитором и компанией)
https://secureframe.com/
https://www.verygoodsecurity.com/compliance-solutions/control-soc2-compliance
P.S. я сама ими не пользовалась, но то, что видела, выглядит адекватно/полезно
https://secureframe.com/
https://www.verygoodsecurity.com/compliance-solutions/control-soc2-compliance
P.S. я сама ими не пользовалась, но то, что видела, выглядит адекватно/полезно
мы пользуемся многими, но к сожалению они все не охватывают
RK
а вообще да идеал к которому стремимся это платформа которая позволит прилично экономить на аудитах (внутренних и внешних), но большая и больная тема
IV
Людмила, Олег спасибо, Ярослав почти снял мой вопрос с языка. У нас агенство - сейчас приходят больше клиентов из EU, и у многих вопросы про GDPR и безопасность. Вопрос: до ISO 27001 у нас пока далеко боюсь, но с чего начать чтобы закрыть этот вопрос для клиентов? как работают другие российские агенства? открывают представительство в EU или используют какие то особые Data Privacy agreement?
В свое время для EU клиентов мы сертифицировались по модели ITMark. Дешевая и достаточно простая сертификация чтобы покрыть основные положения CMMI, ISO 9001, ISO 27001, ISO 27002. Для агенств должно быть самое то
ES
Liudmila Ivanichkina
обычно выбирают между SOC 2 и ISO 27001 - US компании предпочитают SOC 2, EU компании предпочитают ISO 27001, но это не строго, в значительной степени сертификации взаимозаменимы (i.e. EU клиент спокойно примет SOC 2, хотя может попросить заполнить небольшой опросник дополнительно для собственного соответствия ISO 27001). в принципе то же самое касается Азии
#fomo
ES
#fomo
А, ой, это уже и так три раза переслали...
NB
С MCS есть кто? Там ошибочка в тексте на главной.
ЖЖ
Передам коллегам, спасибо
NB
Передам коллегам, спасибо
Интересно, как давно висит?
ЖЖ
Интересно, как давно висит?
Честно - не знаю, я из игр, не из облака
ЖЖ
Починят в ближайшее, но наверное уже завтра
E
Людмила, Олег спасибо, Ярослав почти снял мой вопрос с языка. У нас агенство - сейчас приходят больше клиентов из EU, и у многих вопросы про GDPR и безопасность. Вопрос: до ISO 27001 у нас пока далеко боюсь, но с чего начать чтобы закрыть этот вопрос для клиентов? как работают другие российские агенства? открывают представительство в EU или используют какие то особые Data Privacy agreement?
если вы - компания, зарегистрированная за пределами ЕС, вам нужен представитель в ЕС для работы с данными резидентов ЕС. По GDPR могу комплексно проконсультировать вас, пишите в лс, там есть разные инструменты\документация в зависимости от структуры, цепочки data flow и пр. вводных
E
В свое время для EU клиентов мы сертифицировались по модели ITMark. Дешевая и достаточно простая сертификация чтобы покрыть основные положения CMMI, ISO 9001, ISO 27001, ISO 27002. Для агенств должно быть самое то
пока нету официальной сертификации по GDPR, все что есть на рынке - больше B2B решения, регулятор должен ввести свою сертификацию официальную, но пока ее нету. может быть такое, что признают тот же ISO стандарт официальным, но пока нету решения такого...