Работающая система менеджмента ИБ на базе немецкого стандарта BSI IT Grundschutz в вашей организации
BSI IT-Grundschutz – один из наиболее продвинутых и детальных стандартов построения системы управления и обеспечения информационной безопасности. Документ ежегодно обновляется и содержит более детальные требования к процессам и информационным системам, чем общеупотребимый стандарт ISO/IEC 27001.
IT-Grundschutz VS ISO/IEC 27001
Действительно, IT-Grundschutz схож по идеологии со стандартом ISO/IEC 27001. Он так же предусматривает построение СУИБ на основе «лучших практик» и включает в себя не только технические, но и организационные аспекты управления и обеспечения ИБ.
Однако, немецкий IT-Grundschutz имеет ряд принципиальных отличий от «классического» ISO 27001:
- IT-Grundschutz намного более детально и глубоко рассматривает конкретные сценарии защиты
Каталог мер, называемый IT-Grundschutz Compendium, содержит около 100 групп требований — «модулей». Эти модули применяются к различным активам: процессам, ИТ-системам, приложениям, оборудованию, помещениям, операционным системам, кабельным системам и т.п. Каждый модуль, в свою очередь, содержит десятки конкретных требований: от ведения документации до применения средств защиты информации или специфических настроек систем.
- IT-Grundschutz требует детального описания и моделирования защищаемого процесса в области применения, вплоть до отдельных серверов, помещений и документов.
- Оценка рисков может производиться не для всей ИТ-инфраструктуры, а только в части процессов/активов
Существует собственный фреймворк для оценки рисков – BSI 200-3, однако допустимо использовать и другие методики. На основании оценки рисков выбираются «продвинутые» меры защиты из каталога IT-Grundschutz Compendium. При этом «базовые» и «стандартные» меры обязательны для внедрения в любом случае.
- IT-Grundschutz Compendium описывает детальные требования к процессам и информационным системам, которые описаны в ISO 27001 в обобщенном виде. Например, в части использования облачных сервисов, контроля сервис-провайдеров, защиты от целевых атак, защиты АСУ ТП, использования ip-телефонии и др.
- IT-Grundschutz обновляется ежегодно, поэтому учитывает последние тенденции в сфере информационной безопасности.
- Для сертификации необходим пакет документов на немецком или английском языке
Требование обусловлено непосредственным участием в проведении сертификации немецкого аудитора — сотрудника BSI (Das Bundesamt für Sicherheit in der Informationstechnik) — государственного регулирующего органа в сфере ИБ.
Состав работ:
- Обследование на соответствие требованиям IT-Grundschutz
- Моделирование процессов и информационных систем в соответствии с требованиями IT-Grundschutz
- Применение базовых и стандартных модулей каталога IT-Grundschutz Compendium
- Проведение оценки рисков для критичных систем и процессов в соответствии с BSI 200-3
- Планирование внедрения «продвинутых» мер защиты для обработки рисков
- Подготовка к сертификации на соответствие требованиям IT-Grundschutz, формирование пакета обязательной документации (документы A0-A6)
- Сопровождение в процессе проведения сертификации
При работе с партнерами в Западной Европе, а особенно в Германии, сертификация по IT-Grundschutz является одним из конкурентных преимуществ при выборе поставщика, а часто и необходимым условием.
В результате внедрения стандарта IT-Grundschutz вы получите не только выстроенные процессы СУИБ, но и детальные инструкции по внедрению мер и средств защиты информации, модернизации процессов и общей структуры ИТ.
ТЦ Инженер имеет уникальный для РФ и СНГ практический опыт внедрения и успешной сертификации по стандарту IT-Grundschutz у заказчиков.
Вас также может заинтересовать
Внедрение ISO/IEC 27001
Приведение в соответствие GDPR
