В этом кейсе показано, как европейский поставщик B2B SaaS структурировал свою систему управления информационной безопасностью, чтобы соответствовать требованиям ISO/IEC 27001, при этом минимизируя дополнительные усилия и нарушения повседневной работы.
Профиль компании: европейский B2B SaaS-провайдер, обслуживающий корпоративных клиентов
Компания разрабатывает и эксплуатирует B2B SaaS-платформу, используемую организациями по всей Европе и Северной Америке. Решение поддерживает ключевые операционные рабочие процессы и интегрируется с системами клиентов, обрабатывая данные об использовании и ограниченный объем персональных данных.
В организации работает около 70 человек, включая команды разработки, продукта и команды, взаимодействующие с клиентами, работающие в распределенном формате. Годовая выручка оценивается примерно в 8–12 млн долларов США, формируемая за счет долгосрочных контрактов со средними и корпоративными клиентами. По мере развития клиентской базы формальное подтверждение уровня информационной безопасности стало требованием в процессах продаж и продления контрактов.
Бизнес-контекст: требования корпоративных клиентов стали драйвером ISO/IEC 27001
Решение о прохождении сертификации ISO/IEC 27001 было обусловлено ожиданиями корпоративных клиентов. Анкеты по безопасности, оценки поставщиков и переговоры по контрактам требовали подтверждения наличия структурированной и поддерживаемой Системы управления информационной безопасностью.
Ключевые заинтересованные стороны, участвовавшие в инициативе, включали:
- Корпоративные клиенты — ожидающие документированных мер контроля, управления рисками и надежных доказательств для аудита;
- Основатель и генеральный директор — несущий ответственность за корпоративное управление, договорные обязательства и доверие;
- Технический директор (CTO) — отвечающий за технические меры контроля, безопасность систем и операционную непрерывность.
Несколько проблем стали заметны уже на раннем этапе:
- Информация по безопасности была распределена по инструментам — политики, проверки и доказательства хранились в нескольких местах;
- Ограниченная целостная картина — не было единого места, где можно было бы одновременно видеть риски, меры контроля, активы и инциденты;
- Риск перегрузки процессами — опасение, что подготовка к ISO может увеличить трудозатраты без очевидной внутренней выгоды;
- Ограниченный опыт работы с СУИБ — сильные технические навыки, но мало практики в области формального управления информационной безопасностью.
Внедрение: Интегрируйте ISO/IEC 27001 в текущее управление
Перед тем как определить окончательный подход, компания рассмотрела несколько устоявшихся платформ GRC, обычно используемых для сертификации ISO/IEC 27001. Эти инструменты были оценены как подходящие для управления рабочими процессами сертификации, но менее связаны с существующими управленческими практиками компании.
В то же время компания уже использовала BSC Designer для мониторинга стратегического плана и внутренних приоритетов исполнения. Расширение этой существующей структуры на управление информационной безопасностью рассматривалось как логичный шаг, позволяющий встроить ISO/IEC 27001 в уже устоявшиеся циклы управления и пересмотра.
На техническом уровне это выразилось в следующем:
- Документация политик — внутренние политики и процедуры были консолидированы в защищённой среде онлайн-хранилища файлов;
- Управление ISMS — область применения, роли, периодичность пересмотра и действия по улучшению поддерживались в отдельной системе показателей ISMS, при этом заинтересованные стороны и их стратегические намерения были связаны с существующей системой показателей заинтересованных сторон;
- Контроли безопасности — контроли были смоделированы как индикаторы с уникальными ID, ответственными, частотой пересмотра и доказательствами, прикреплёнными к каждому пересмотру;
- Управление рисками — риски отслеживались с использованием встроенной функциональности рисков BSC Designer, что позволяло отдельно оценивать вероятность и воздействие, а также уровни Начальный риск и Остаточный риск, действия по обработке, статус принятия, и ответственных;
- Активы и поставщики — активы и третьи стороны были задокументированы с использованием систем показателей, расширенных пользовательскими полями, отражающими классификацию, критичность и требования к пересмотру;
- Инциденты и замечания — инциденты информационной безопасности, почти-инциденты и результаты аудита регистрировались и отслеживались через корректирующие действия до их закрытия.
Ожиданием клиента было наличие «живых», связанных со стратегией контролей безопасности:
«Нам не нужна документация по безопасности, которая существует только для аудиторов. Если мы не можем сами её пересматривать, обновлять и объяснять, она нам не полезна».
Это ожидание определило то, как ISMS создавалась и использовалась. Например, контроли, определённые для ISO/IEC 27001, также повторно использовались как входные данные для оценки рисков и систем показателей управления вне области аудита, поддерживая операционные и стратегические решения.
Практическая проблема, поднятая во время внедрения, подчеркнула распространённый аудиторский риск:
«Наш самый большой риск — потерять доказательства в разных местах, когда аудиторы запросят их».
Чтобы решить эту проблему, доказательства загружались непосредственно к каждому пересмотру контроля и связывались с датой обновления контроля. Каждый элемент доказательства сопровождался короткими поясняющими комментариями от загрузившего, предоставляя контекст того, почему доказательство было релевантным и что оно демонстрировало.
Права доступа были настроены так, чтобы аудиторам можно было предоставлять доступ только для просмотра к соответствующим системам показателей на определённый период. Права на изменение всегда были ограничены авторизованными ролями, гарантируя, что содержимое ISMS не могло быть изменено непреднамеренно или без ответственности.
Все изменения на платформе автоматически фиксировались в центральном аудиторском журнале. Этот же аудиторский журнал можно было фильтровать, чтобы показывать историю изменений конкретных элементов, таких как отдельные контроли, риски или инциденты, позволяя аудиторам и руководству просматривать, как каждый элемент развивался со временем, без ведения отдельных историй версий.
Результаты: централизованная ISMS, надежные доказательства, снижение трения при аудите
После внедрения компания отметила несколько конкретных результатов, которые улучшили как готовность к аудиту, так и внутреннюю прозрачность.
- Централизованный обзор ISMS — риски, меры контроля, активы, поставщики и инциденты были видны в одном месте;
- Последовательная работа с доказательствами — доказательства проверялись и хранились вместе со связанными мерами контроля;
- Четкая ответственность — ответственные были назначены для всех ключевых элементов ISMS;
- Снижение трудозатрат на аудит — данные для аудита подготавливались без ручной отчетности;
- Более содержательные обсуждения с клиентами — ответы на корпоративные вопросы по безопасности стали более ясными и последовательными.
Компания также отслеживала несколько высокоуровневых индикаторов ISMS, включая:
- Завершение проверок мер контроля — меры контроля, проверенные в рамках установленного срока;
- Открытые инциденты и замечания — количество и давность нерешенных вопросов;
- Статус принятия рисков — риски, ожидающие утверждения или обработки;
- Охват проверок поставщиков — проверки третьих сторон, выполненные в соответствии с планом.
Как внедрить ISO 27001 с меньшими усилиями?
Сертификация ISO 27001 требует значительных усилий, однако при правильном внедрении она может (1) стать реальным драйвером ценности и (2) быть реализована с меньшими трудозатратами:
- Сделайте готовность к ISO частью существующих систем управления — используйте уже сформированные структуры вместо создания параллельных процессов;
- Храните доказательства рядом с контролями — сохраняйте контекст и обоснование вместе с каждым обзором;
- Применяйте контроль доступа с полной прослеживаемостью — обеспечьте прозрачность без ущерба для целостности;
- Используйте структурированную платформу, такую как BSC Designer, — чтобы со временем поддерживать ясность, ответственность и готовность к аудиту.
BSC Designer — это программа для реализации стратегии, в основе которой лежит Сбалансированная система показателей. Она помогает организациям превращать стратегические планы в связанную архитектуру стратегии, обеспечивая связь целей, KPI, инициатив, рисков и карт стратегии в одном месте. Наша система реализации стратегии объясняет, как внедрять стратегию на практике, а шаблон воркшопа по реализации стратегии помогает командам применять её во внутренних стратегических сессиях.