Сертифицирована система менеджмента информационной безопасности Компании ТрансТелеКом

ЗАО «Компания ТрансТелеКом» (ТТК) успешно прошла сертификацию на соответствие системы менеджмента информационной безопасности международному стандарту ISO/IEC 27001:2005. Сертификация служит подтверждением высокого качества предоставляемых услуг по обеспечению конфиденциальности, целостности и доступности информации клиентов.

18 Марта 2008, Москва

Сертификация проводилась экспертами швейцарской компании SGS (Societe Generale de Surveillance S.A.), мирового лидера в сфере независимого контроля, испытаний и сертификации, Аудиторы SGS провели проверку соблюдения требований стандарта в головном офисе и 4 площадках ТТК в Москве и не выявили ни одного критического несоответствия, что послужило обоснованием для выдачи сертификата.

Сертификат SGS на соответствие системы менеджмента информационной безопасности ЗАО “Компания ТрансТелеКом” стандарту ISO/IEC 27001:2005 выпущен на русском, английском, японском и китайском языках. Срок действия сертификата - 3 года.

«Сертификация системы менеджмента информационной безопасности является подтверждением репутации ТТК как одного из лидеров в этой области на российском рынке, - сказал руководитель Департамента информационной безопасности ТТК Александр Золотников. Мы активно расширяем международное сотрудничество, и наличие международных сертификатов от ведущего органа по сертификации будет способствовать продвижению компании на глобальных рынках».

Константин Тимошечкин, руководитель Департамента сертификации систем и услуг ЗАО «СЖС Восток Лимитед», российского подразделения SGS, отметил, что «Следование требованиям стандарта ISO/IEC 27001:2005 помогает идентифицировать потенциальные риски и выстроить работоспособную систему, способную предотвратить утечку и/или потерю информации. Международный статус стандарта и его репутация на телекоммуникационном рынке делают сертификат серьезным преимуществом «Компании ТрансТелеКом» при участии в международных тендерах».

Группа SGS является мировым лидером и новатором в сфере инспекционных услуг, контроля, испытаний и сертификации. Основанная в 1878 году, сегодня SGS признана эталоном качества и деловой этики. Сеть SGS в более, чем 140 странах насчитывает свыше 1000 офисов и лабораторий, в которых работают более 50’000 сотрудников. SGS - крупнейший международный орган по сертификации систем менеджмента: 80’000 сертифицированных клиентов в 80 странах мира, 105’000 выданных сертификатов, 40 национальных аккредитаций по ISO 9001:2000. Веб-сайт: www.ru.sgs.com

Источник: transtk.ru

Связанные элементы

СМИБ

Автор: Tiger Дата: 30-01-2011 20:04

Александр, в указаном выше случае сертифицироваласть СМИБ СЕТИ обеспечения услуг связи (т.е. IP сети). А разве не бизнес-процессы должны фигурировать в Scope? Вот если это была СМИБ процесса предоставления услуг, тогда другое дело.
Тут же.. смотрите.. если взять бизнес-процесс предоставления услуг, то получаем что часть описанных в этом процессе действий попадает в указанную область действия СМИБ, а часть нет.
1. Пользователь А с своего ПК заходит в КС - это не попадает, т.к. не относится к IP-сети!
2. Пользователь открывает биллинг сисетму и вводит туда данные - это попадает

Итог - пользователь и биллинг система - попадает в область действия СМИБ.
ПК пользователя (!), ОС пользователя (!), принтер пользователя и прочая - не попадает..
И кому будет интересен анализ рисков такого набора?
Получаем - процесс разорван такой областью на 2 части.. а разве процессная модель не означает, что сертифицируются некоторые бизнес-процессы предприятия, а не части его активов?

определение ОД СМИБ

Автор: Александр Астахов Дата: 30-01-2011 20:17

К сожалению очень часто приходится сталкиваться с ситуацией, когда область действия СМИБ определяется неправильно даже при сертификационном аудите.

Согласно ISO 27001 область действия и границы СМИБ определяются «в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий, а также включая детальную информацию и обоснование для любых исключений из области действия». Другими словами ОД будет считаться определенной, если указаны, входящие в данную ОД:

1) Направления бизнеса, его основные характеристи и бизнес процессы
2) Структурые подразделения, филиалы и прочие структурные единицы организации
3) Площадки: офисы, цеха, склады и т.п. и их расположение
4) ИТ активы (оборудование, ПО)
5) Информационные активы

Пересечение всех этих множеств и образует ОД. Нормальная ОД СМИБ должна включать в себя всю организацию (все ее бизнес-процессы и активы). Любые исключения из ОД обязательно должны быть описаны и обоснованы (например, в случае поэтапного внедрения СМИБ). Т.е. при определении ОД вы должны описывать не только то, что в нее входит, но также и то, что в нее не включено, с указанием причин, по которым вы что-то исключаете из ОД.

Вопросы

Автор: Tiger Дата: 31-01-2011 17:31

Спасибо. Т.е. можно ли сказать, что вы согласны с тем, что (при условии верности всего того, что написано мною в первом сообщении!) область действия СМИБ в этом случае выбрана неверно? Или неудачно..

>Пересечение всех этих множеств и образует ОД.
А не объединение? Не сумма то есть?
Я думал так : бизнес процессы + Структурные подразделения + Площадки + ИТ активы + Информационные активы - это и есть Scope
??

определение ОД СМИБ

Автор: Александр Астахов Дата: 31-01-2011 17:44

Я не видел описания ОД, рассматриваемой СМИБ, поэтому мне сложно судить насколько оно удачно, но ваши рассуждения выглядят вполне логично.

ОД - это пересечение указанных множеств, т.к. вы выбираете из всех бизнес процессов организации определенное подмножество процессов, далее из всех активов, которыми оперируют выбранные процессы, оставляете только те, которые располагаются на выбранных площадках, из оставшихся активов выбираете только те, которые относятся к деятельности определенных подразделений и к определенным ИТ-системам и т.д. Эта операция называется пересечением множеств.

Re Sert

Автор: Tiger Дата: 01-02-2011 19:27

>Я не видел описания ОД, рассматриваемой СМИБ, поэтому мне сложно судить насколько оно удачно

У BSI на сайте для всех указаны область (называемые объем).. вот например

http://www.bsi-russia.ru/ru/Assessment-and-Certification-services/Management-systems/Certificate-and-Client-Directory-Search/Search/Search-Results/?pg=1&licencenumber=IS+515437&searchkey=countryXeqXRussian%20Fed.XandXstandardXeqXISO/IEC%2027001

http://www.bsi-russia.ru/ru/Assessment-and-Certification-services/Management-systems/Certificate-and-Client-Directory-Search/Search/Search-Results/?pg=2&licencenumber=IS+557451&searchkey=countryXeqXRussian%20Fed.XandXstandardXeqXISO/IEC%2027001

Наверно и у SGS также ;-)

определение ОД СМИБ

Автор: Александр Астахов Дата: 01-02-2011 19:40

Подозреваю, что на сайтах описание ОД дано не полностью, а перечислены только процессы из ОД. Полное описание должно приводиться в отдельном документе или в политике СМИБ.

Scope

Автор: Tiger Дата: 01-02-2011 19:27

Я тут посмотрел.. C сайта SGS если
TransTeleCom Ltd. Russian Federation ISO/IEC 27001:2005 HU08/3058

Control system of IP-backbone.

С офсайта ТТК (внизу про безопасность)
http://ttk.ru/www/nsf/site.nsf/docs/sertif.html

Система управления IP-магистралью

Область распространения – управление и контроль за настройками оборудования, мониторинг состояния оборудования, учет и производительность оборудования магистральной IP СЕТИ.
Но так то все это управление, подозреваю, из внутренней сетки происходит, а внутренняя в Scope не входит.

выбор процессов в ОД СМИБ

Автор: Александр Астахов Дата: 01-02-2011 19:47

Для TransTeleCom процессы нормально для ОД выбраны. Для них управление сетью - основная деятельность.