Консалтинговая технологическая компания Axenix прошла аудит на соответствие системы менеджмента информационной безопасности требованиям международного стандарта ISO 27001. Сертификация подтверждает, что процессы создания, внедрения и развития ИБ в компании соответствуют лучшим мировым практикам.
ISO 27001 — международный стандарт, который регламентирует систему менеджмента информационной безопасности. Сертификаты, полученные Axenix, подтверждены EUROCERT S.A., независимой европейской организацией по сертификации с головным офисом в Афинах, Греция, аккредитованной национальной системой ESYD и работающей более чем в 20 странах мира.
Дмитрий Тягунов, CIO компании Axenix, отметил, что прохождение сертификации стало логичным шагом в развитии компании и было продиктовано рядом факторов: «С одной стороны, это наше внутреннее стремление системно управлять информационной безопасностью. С другой — запрос рынка: клиенты и партнеры все чаще обращают внимание на наличие подтвержденных стандартов управления ИБ. Поэтому для нас это еще и повышение уровня доверия и обеспечение конкурентного преимущества».
В 2022 году, после отделения от международной компании Accenture, Axenix полностью перестроила свою ИТ-инфраструктуру. При этом в обновленный ИТ-ландшафт стандарты ИБ закладывались как основа, позволившая впоследствии реализовать системный подход и сертификацию. Такой подход был особенно важен в условиях перехода к гибридному режиму работы — сотрудники Axenix подключаются удаленно, используя самые разные средства связи, — а также активного внедрения облачных инструментов, что требует дополнительной защиты. Кроме того, необходимость системного ИБ-подхода была обусловлена усилением глобальных и российских требований к хранению, обработке и защите персональных данных.
Процесс сертификации по международному стандарту ISO 27001 состоит из нескольких последовательных этапов. Сначала происходит разработка ИБ-политики, определение области применения системы управления, оценка рисков и установление контрольных мер. На дальнейшем этапе создается документация, соответствующая требованиям стандарта, разрабатываются процедуры и инструкции для критических процессов. Затем на этапе внедрения осуществляется реализация процедур и политик в повседневной деятельности, обучение сотрудников. Наконец, перед сертификационным аудитом требуется пройти внутренний аудит. В целом подготовка к сертификации в Axenix заняла около полутора лет.
Сам процесс сертификационного аудита состоял из трех этапов:
— Оценка технических и организационных мер: аудиторы провели детальный анализ внутренних процессов, фокусируясь на эффективности реализованных механизмов, включая оценку архитектуры систем обеспечения ИБ, процессов управления рисками и интеграции политик информационной защиты в операционную деятельность.
— Полевое обследование на местах присутствия: аккредитованные специалисты осуществили выездные инспекции в офисы компании, где провели проверку функционирования инфраструктуры — от сетевых конфигураций до инструментов мониторинга и реагирования на инциденты, — обеспечив реальную оценку практической реализации мер безопасности.
— Корректировка выявленных замечаний и финальное подтверждение соответствия: в ответ на рекомендации аудиторов компанией были внедрены необходимые корректировки, включая доработки процедур и усиление контрольных точек.
Дмитрий Тягунов отмечает, что сертификация не только помогла компании выстроить процессы в части ИТ-инфраструктуры, но и способствовала стандартизации операций, уточнению ролей и обязанностей. Например, были регламентированы стандарты обеспечения безопасности рабочих компьютеров, режим для посетителей, хранение пропусков, роли и обязанности в отношениях с поставщиками и многое другое.
Сертификат выдан сроком на три года. Ежегодно компания намерена подтверждать свое соответствие, проходя инспекционные аудиты, а через три года — процедуру ресертификации. Работа по международным стандартам является частью долгосрочной стратегии развития Axenix в сфере ИБ.
О компании
Российская компания Axenix (ранее Accenture) осуществляет деятельность под юридическим наименованием ООО «АксТим». Axenix предоставляет широкий спектр профессиональных услуг в области цифровых сервисов, облачных технологий и решений для обеспечения информационной безопасности. В офисах и центрах разработки в Москве, Твери, Ростове-на-Дону, Краснодаре, Санкт-Петербурге и Алматы работают около 2 800 сотрудников. Благодаря сочетанию уникальных знаний, опыта и компетенций более чем в 40 отраслях, предлагает услуги в области стратегии и бизнес-консалтинга, технологических решений и других операций, направленных на цифровизацию бизнеса.