В область сертификации вошли процессы, непосредственно связанные с основной деятельностью компании: разработка и обслуживание Главного реестра и системы регистрации доменов. RU, .РФ, .SU, .ДЕТИ, .TATAR , .MOSCOW и. МОСКВА, а также обеспечение бесперебойной работы доменной адресации российского сегмента сети Интернет в глобальной сети. ТЦИ является одним из крупнейших специализированных технических центров в Европе, к компании предъявляются высокие требования по информационной безопасности, в том числе со стороны регуляторов ICANN и IANA. Соответствие требованиям ISO/IEC 27001 позволило обеспечить высокий уровень защиты информационных активов ТЦИ.
Работы по приведению СУИБ ТЦИ в соответствие требованиями стандарта ISO/IEC 27001 велись с 2012 года. Основной пласт работ по внедрению стандарта был реализован в начале 2013 года, после чего процессы СУИБ начали функционировать в полном объеме. Спустя год с этого момента прошел первый цикл работы всех процессов СУИБ, и руководством ТЦИ было принято решение начать подготовку к сертификации. Специалистами АМТ-ГРУП был проведен инспекционный аудит, результаты которого позволили говорить о достижении процессами высоких уровней зрелости и готовности ТЦИ к прохождению сертификационного аудита.
Сертификат соответствия получен по версии стандарта ISO/IEC 27001:2005. «Основная часть работ по внедрению стандарта проведена до выхода его новой версии в 2013, поэтому было принято решение сертифицироваться по версии 2005 года, — комментирует Валерий Темников, руководитель отдела информационной безопасности ТЦИ. — Процесс перехода на новую версию уже идет полным ходом. Сертификация предполагает периодическое проведение инспекционного аудита со стороны BSI для подтверждения соответствия, ближайший аудит запланирован на 2015 год. К этому моменту планируется полностью завершить переход на новую версию».
Безопасность данных и систем является одним из важнейших аспектов нормального функционирования реестров доменов и всей российской системы доменной регистрации. «Мы несем за это прямую ответственность, — говорит Алексей Платонов, генеральный директор ТЦИ. — Комплексность и сложность систем непрерывно растет, растет количество и разнообразие угроз. В этой ситуации обеспечение ИБ должно восприниматься как „непрерывный процесс“, интегрированный в корпоративную модель управления. Для реализации данного процессного подхода мы решили использовать международный стандарт ISO/IEC 27001. Сертификация позволила нам подтвердить достигнутый уровень зрелости процессов ИБ со стороны независимой и авторитетной организации BSI. Для нас это новое подтверждение успешной реализации стратегии ТЦИ в области ИБ».
«С самого начала проекта была поставлена цель в конечном итоге выйти на независимую сертификацию. На протяжении последних двух лет мы наблюдали непрерывное повышение зрелости процессов СУИБ. На текущий момент мы можем говорить о том, что поставленные цели и задачи достигнуты», — отмечает Сергей Терехов, ведущий консультант АМТ-ГРУП, руководивший работами по внедрению стандарта.
«Внедрение СУИБ является сложным процессом, завершение которого сертификацией является нетривиальной задачей. Нам удалось путем проведения аудита ИБ и оказания периодических консультаций для заказчика выявить и устранить проблемные места, которые неизбежно появляются при эксплуатации СУИБ. Тем самым мы минимизировали число возможных несоответствий и выявлений со стороны аудитора BSI», — говорит Александр Пуха, ведущий консультант АМТ-ГРУП, руководивший работами по подготовке к сертификации.