Построение системы управления информационной безопасностью (СУИБ) «Эльдорадо» и прохождение сертификационного аудита на соответствие требованиям международного стандарта ISO 27001

О заказчике

«Эльдорадо» - это крупнейшая российская сеть магазинов бытовой техники и электроники с наиболее широким географическим покрытием. Магазины «Эльдорадо» открыты во всех городах России с населением от 500 тысяч жителей и в 90% городов с населением 250-500 тысяч жителей. «Эльдорадо» предлагает лучшие решения лучших брендов по лучшим ценам, помогая покупателям делать жизнь современнее и комфортнее.

Задачи

На сегодняшний день одним из главных приоритетов в бизнес-стратегии «Эльдорадо» является реализация курса на прозрачность и эффективность бизнеса. Для достижения поставленных целей компания в последние годы реализует ряд проектов, в том числе в области развития ИТ и ИБ. В качестве следующего шага в данном направлении руководство компании выбрало построение СУИБ в соответствии с ISO/IEC 27001, улучшение методов работы с персональными данными и приведение в соответствие требованиям Федерального закона №152 «О персональных данных».

«Мы осознаем важность повышения зрелости процессов управления безопасностью в нашей компании, поскольку всегда несем ответственность перед акционерами, партнерами, покупателями. Именно поэтому мы приняли решение построить систему управления информационной безопасностью. И не только построить, но и провести ее сертификацию. Наличие сертификата – одно из конкурентных преимуществ, которое укрепляет доверие к нашей компании», — подчеркивает Соня Пурдешова, вице-президент по операционной поддержке компании «Эльдорадо».

Еще до начала проекта в компании «Эльдорадо» была создана рабочая группа из представителей разных подразделений компании (в нее вошли специалисты Отдела внутреннего аудита, Департамента ИТ, Службы защиты бизнеса), которая определила критичные с точки зрения информационной безопасности бизнес-процессы центрального офиса, среди которых процесс закупок, программа лояльности и безналичные платежи.

Было принято решение о построении и сертификации СУИБ с интеграцией требований ISO/IEC 27001 и Федерального закона № 152-ФЗ.

В августе 2010 г. после победы в тендере к проекту приступила компания «Инфосистемы Джет». Всего со стороны заказчика были задействованы более 200 человек из 20 подразделений.

Перед проектной командой стояли следующие задачи:

  • создание функциональной и организационной модели сервиса ИБ;
  • повышение прозрачности процесса управления ИБ;
  • снижение рисков от реализации угроз информационной безопасности;
  • улучшение методов работы с персональными данными и обеспечение соответствия требованиям ФЗ №152;
  • сертификация по стандарту ISO/IEC 27001;
  • улучшение структуры бизнес-процессов и их прозрачности для всех заинтересованных сторон.

На первом этапе работ специалисты компании «Инфосистемы Джет» при активном участии специалистов «Эльдорадо» провели обследование текущего состояния ИБ на соответствие требованиям стандарта ISO 27001 и №152-ФЗ, определили границы распространения бизнес-процессов, а вместе с тем и границы ОД СУИБ. По результатам проведенного аудита был подготовлен отчет с рекомендациями по модернизации существующих средств ИБ и достижению соответствия требованиям ISO 27001, также были выделены несколько ИСПДн и составлен план мероприятий по приведению их в соответствие с требованиями № 152-ФЗ.

Британский Институт Стандартов

BSI – British Standards Institution (Британский Институт Стандартов). Основанный в 1901 г., институт за более чем 100 лет своего существования превратился из национальной британской организации во всемирно известного разработчика стандартов в области менеджмента и мирового лидера в области сертификации систем менеджмента. BSI - основатель Международной Организации по стандартизации (ISO). BSI являлся «пионером» в деле развития стандартов серии ISO 9000 для систем менеджмента качества, ISO 27001 для систем управления информационной безопасностью, ISO 20000 для систем управления IT-сервисами, BS 25999 для систем управления непрерывностью бизнеса.

В рамках второго этапа специалисты компании «Инфосистемы Джет» разработали обязательные с точки зрения сертификации процессы СУИБ. Для всех процессов с учетом корпоративных требований «Эльдорадо» были детально проработаны регламенты, прописаны показатели эффективности, определены целевые и пороговые значения.

На этапе проведения инвентаризации и категорирования активов специалисты компании «Эльдорадо» приняли активное участие в проекте, согласовании и корректировке полученных результатов, своевременно предоставляя консультантам всю необходимую информацию. Кроме того, для выявления и анализа реальных уязвимостей программно-аппаратных активов и сервисов проводился инструментальный анализ защищенности и тесты на проникновения. На основе полученной информации, как об активах, так и о присущих им уязвимостях и возможных угрозах, были проведены анализ и оценка рисков ИБ, результаты которых легли в основу плана управления рисками, превышающими приемлемый для компании «Эльдорадо» уровень.

На последующих этапах проекта были разработаны и внедрены требуемые стандартом ISO 27001 политики и регламенты, проведено очное обучение сотрудников «Эльдорадо» новым требованиям, предъявляемым к информационной безопасности компании.

Завершающим этапом проекта стала сертификация системы управления информационной безопасностью компании Британским институтом стандартов (BSI Management Systems).

Проект позволил структурировать процессы обеспечения и управления информационной безопасностью, повысить прозрачность процессов управления безопасностью для всех заинтересованных сторон.

«Для нас важно не просто получение сертификата, а обеспечение реальной безопасности бизнес-процессов. Мы продолжаем сотрудничество с коллегами из компании «Инфосистемы Джет»: в настоящее время ведется доработка и повышение зрелости необязательных с точки зрения сертификации процессов обеспечения ИБ, планируется внедрение подобранных решений для минимизации рисков. В дальнейшем мы планируем существенное расширение области действия СУИБ», —комментирует менеджер по информационной безопасности компании «Эльдорадо» Константин Коротнев.

Результаты проделанной работы одобрены независимым органом по сертификации BSI Management Systems, компания «Эльдорадо» получила сертификат соответствия требованиям стандарта.

«Реализованная система менеджмента является неотъемлемой частью системы управления любой компании, — комментирует Сергей Романовский, директор по сертификации и партнёрским программам, Британский институт стандартов (BSI Management Systems). - Для такой крупной ритейловой сети, как компания «Эльдорадо», сертификация СУИБ на соответствие требованиям ISO/IEC 27001 - это показатель зрелости, гарантия качественного и безопасного управления информационными активами как в самой компании, так и в интересах ее клиентов и партнёров».

«Решение о построении и сертификации СУИБ стало для нас серьезным шагом и вместе с тем обеспечило ряд выгод, как внутренних, так и внешних. Внедрение СУИБ позволило нам контролировать и оценивать процессы обеспечения ИБ, дало серьезный толчок к развитию ИБ в компании и расширению СУИБ на остальные бизнес-процессы «Эльдорадо». Наличие международного сертификата будет способствовать привлечению новых партнеров и инвестиций», — отмечает Соня Пурдешова, вице-президент по операционной деятельности компании «Эльдорадо».

«По данному направлению мы работаем с 2005 года и накопили значительный опыт построения и подготовки к сертификации СУИБ крупных заказчиков различных отраслей, - говорит Анна Костина, руководитель направления управленческого консалтинга Центра информационной безопасности компании «Инфосистемы Джет». - Сотрудничество с ведущими разработчиками стандартов, владение мировыми практиками позволяет говорить об уникальности нашей компетенции в данном вопросе. «Эльдорадо» стало пятой компанией, успешно сертифицировавшейся по стандарту ISO 27001 с нашей помощью. Мы рады, что «копилку» наших проектов пополнила ритейловая компания – первый представитель своей отрасли на территории РФ, вышедший на сертификацию по ISO 27001».

Скачать (pdf, 215.82 Кб)

Построение системы управления информационной безопасностью (СУИБ) «Эльдорадо» и прохождение сертификационного аудита на соответствие требованиям международного стандарта ISO 27001