Прежде чем приступить к готовке настоящей Системы управления информационной безопасности (СУИБ) по ISO/IEC 27001:2022, важно осознать масштаб: у нас в хозяйстве Яндекс 360 множество сервисов с уникальным вкусом и историей, каждый из которых требует бережного подхода и особой организации защиты.

Стандартизация для нас — способ не «пересолить» сложность и хаос: и мы выбрали ISO как универсальное мерило баланса. Наш главный секрет: процессы изначально проектируются по стандарту ISO, а по мере расширения области действия сертификации новые сервисы — Диск, Мессенджер, Телемост, Календарь — поступают на общий дегустационный стол сертификации и достойно занимают своё место в большом ИБ‑меню.

Меня зовут Люзия Алфёрова, я консультант по информационной безопасности в Яндекс 360. В этой статье я поделюсь проверенными приёмами, которые помогают нашей команде выдерживать технологический процесс так, чтобы ни одна деталь не была упущена, ничего не сбежало и не пригорело, а информационная безопасность получалась стабильно высокого качества.

Заметки на полях рецепта: за что отвечает сертификация ISO/IEC 27001

Сертификация ISO/IEC 27001 — подтверждение того, что в компании внедрена и эффективно работает система управления информационной безопасностью (СУИБ), соответствующая международным стандартам. За что она отвечает:

• Единые правила игры — стандартизацию процессов и подходов к защите информации, чтобы все сервисы и команды работали по одним и тем же базовым рецептам, но при этом имели возможность адаптировать их под свои особенности.

• Прозрачность и контроль — чёткую систему выявления, оценки и управления рисками, связанными с информационной безопасностью. Мы знаем, где и какие «ингредиенты» могут испортить сервис, и заранее продумываем, как этого не допустить.

• Доверие клиентов и партнёров — формальное подтверждение того, что мы соблюдаем лучшие практики ИБ и наши сервисы безопасны для использования. Это особенно важно в B2B‑сегменте, где требования к защите данных особенно высоки.

• Непрерывное улучшение — систему регулярных проверок, аудитов и корректировок, которая не даёт остановиться на достигнутом и подталкивает постоянно совершенствовать процессы. Мы не просто «получили сертификат и забыли», а действительно продолжаем выстраивать культуру безопасности в Яндекс 360.

• Баланс между стандартизацией и гибкостью — ISO/IEC 27001 помогает найти золотую середину. Мы сохраняем единый уровень качества и безопасности, при этом оставляя пространство для манёвра и экспериментов.

В общем, ISO/IEC 27001 — это инструмент, который помогает нам держать руку на пульсе информационной безопасности, не терять контроль над разнородной экосистемой сервисов и быть уверенными: даже если что‑то пойдёт не так, у нас есть чёткий план действий и механизмы быстрого реагирования.

Готовим основу: архитектура безопасности

Как на настоящей кухне, важно сначала подготовить всё для будущего пиршества — и здесь у нас свой подход.

• Единство в многообразии. Основу — архитектуру процессов, общие подходы, автоматизацию и контроль — мы «варим» вместе. Но у каждого сервиса остаётся свой штрих. Здесь нет диктатуры: есть общий ритм и постоянный обмен подходами и инструментами. Каждая команда понимает, какой кусок именно она готовит и для чего.

• Планирование и синхронизация. Крупные изменения, обновления и перезапуски сервисов не случаются внезапно. Мы всё заранее обсуждаем, договариваемся, пробуем новинки на «дегустационных» тестах и корректируем рецепт вместе.

• Внутренний аудит и самооценка. «Вкус» каждого сервиса — и основы тоже — регулярно оценивает независимая команда внутреннего аудита. Их цель не наказать, а вовремя заметить слабые сигналы и помочь скорректировать курс. Так в итоге получается продукт, которым можно гордиться.

Главное — никакой кухни «по бумажке» и глухой вертикали: если что‑то не работает или не нравится — обсуждаем, улучшаем, делимся.

Унифицируем основные процессы, но добавляем специи по вкусу

На любой большой кухне знают: без базового набора специй не получится ни одно блюдо. Но если убрать индивидуальность, всё быстро превратится в столовую, поэтому у нас есть проверенный «набор базовых специй» — IAM, логирование, чек‑листы, автоматизация при старте любой интеграции. А дальше остаётся место для экспериментов.

Ключевые практики — от управления доступами до логирования и обновлений — внедряются сразу во все сервисы, независимо от их возраста и места. Это высвобождает ресурс, и можно тратить его на развитие и эксперименты.

Почта требует «долгого тушения» — значит, делаем по‑своему. Новый сервис хочет добавить свою специю — пожалуйста, главное, чтобы результат был вкусным и безопасным. Лучшие находки фиксируются на общей доске решений, чтобы ими могли пользоваться все. Перед добавлением любой новой функциональности (будь то уникальная интеграция или необычный подход) мы устраиваем мини‑дегустацию: рабочую группу с коллегами из разных команд. Обсуждаем риски, проверяем, не испортит ли обновление общий вкус. Сервисы и подходы к их работе меняются — и команда к этому готова. Регламенты обновляются регулярно, потому что появляются новые практики, и нам важно оставаться на острие и учиться быстрее рынка.

Мы ориентируемся на следующие метрики эффективности:

• процент сервисов с внедрёнными базовыми практиками;

• скорость распространения новой практики по командам разработки;

• «баланс вкуса»: метрики отказов, времени реакции и общее настроение команд.

Совет от шефа. Лучшие идеи рождаются там, где никто не боится высказаться и попробовать. Всё новое обязательно обсуждается и, если заходит, попадает в общий «сборник вкусов».

Секреты шефа: проверенные приёмы ISO 27001 в Яндекс 360

В большой кухне всё держится не только на вкусе продуктов, но и на знании приёмов готовки. Наши ISO‑рецепты — это не сухая теория, а опыт десятков дегустаций, коллективных обсуждений и проверок, которые делают систему устойчивой и живой. Вот наши три самых рабочих рецепта.

Рецепт 1. Убираем лишнее: как грамотно оформлять исключения 

Иногда в рецепте есть ингредиент, который не подходит для нашего «блюда». В этом случае вместо того, чтобы выбрасывать рецепт, мы его адаптируем. Так и в ИБ: иногда какой‑то контроль просто не подходит для нашего сервиса или продукта. Может быть, он изначально не предназначен для наших задач, или мы используем другие, более эффективные методы добиться результата. 

Когда мы встречаем контроль, который объективно не применим, собираем консилиум с внутренним аудитом и службой ИБ: вместе решаем, исключать ли контроль или принять риск (иногда можно формально принять, но не внедрять даже применимый контроль — если разумно обосновано).

Два примера из жизни: 

• Контроль 8.23 Web filtering: работа у нас не предполагает ограниченного интернета и прокси‑фильтра, поэтому контроль исключили.

• Контроль 5.21 Managing information security in the ICT supply chain: мы показывали аудитору SLA платформы, которая реально управляет ИКТ. Мы как потребитель влиять на инфраструктуру не можем, но сама платформа сертифицирована и под надзором СИБ.

Лайфхаки:

• Все решения фиксируем в SoA (Statement of Applicability) с подробным обоснованием.

• Если бизнес‑юнит внедряет доработку, отражаем это в Области действия СУИБ.

• Держим «бойцовский набор» для аудиторов: SLA поставщиков, шаблоны risk acceptance, выдержки из вики, письма от внутреннего аудита.

Совет от шефа. Аудитор одобряет не только список исключённых контролей, но и зрелость вашей аргументации, и прозрачность того, кто и когда был в консилиуме!

Рецепт 2. Унификация: как использовать силу общих процессов

Чем больше кухня, тем важнее не только творчество, но и стандарты. В Яндексе базовые ИБ‑контроли (IAM, риск‑менеджмент, управление уязвимостями, awareness) закладывались сразу во все продукты, независимо от их сертификационного статуса.

Благодаря этому мы быстро добавили Диск и Календарь в сертификационный охват: достаточно было уточнить Область действия и провести краткий аудит локальных особенностей.

Лайфхаки:

• Все уникальные доработки сразу фиксируем и «вшиваем» в Область действия — так процессы не расходятся.

• Участвуем в пилотах новых процессов ИБ на ранней стадии: помогаем формировать чек‑листы, автоматизацию, метрики. Это ускоряет внедрение и делает процессы ближе к реальности.

• Практика показывает, что централизованные процессы проще расширять на новые бизнес‑юниты, если от команд есть быстрая обратная связь.

Совет от шефа. Не стесняйтесь влиять на рецептуру блюд своей кухни: запуск каждого нового процесса — шанс повлиять на привычный вкус всей экосистемы. 

Рецепт 3. Проверенное доверие: как безопасно перекладывать ответственность

Часть задач лучше доверить подрядчику. Например, безопасность дата‑центров Яндекс 360 строится на сертификации площадки и поддержке со стороны СИБ — собственный контроль «физики» мы не дублируем.

В инфраструктуре (облачные платформы, автоматизация) мы не полагаемся только на заверения. Периодически проводим проверки, анализируем метрики, участвуем во внутренних ревизиях.

Лайфхаки:

• Даже с подрядчиком держим актуальный комплект документов под рукой: подтверждения сертификации, рабочие SLA, свежие аудиты.

• При малейшем изменении технического ландшафта — требуем подтверждений и синхронизации.

• Не забываем: когда контроль отдаём подрядчику, важно не просто ссылаться на их сертификат, а быть уверенным, что процессы внутри комьюнити реально соответствуют заявленному стандарту.

Совет от шефа. Даже если контроль у подрядчика, всегда держите руку на пульсе: в случае вопросов вы должны быстро подтвердить качество своих «блюд».

И на десерт: почему по этому рецепту стоит готовить снова и снова

В кулинарии информационной безопасности, как и на настоящей кухне, всё держится на балансе: традиций и инноваций, следовании технологии и готовности к экспериментам. Мы не боимся делиться своими «специями» и лайфхаками — лучший результат появляется там, где команда работает как единый организм: соблюдает стандарты, но не теряет вкус к новым открытиям.

ISO в Яндекс 360 — ни разу не скучная инструкция на сотню страниц, а живой и гибкий процесс. Вот несколько неочевидных лайфхаков, которые помогли нам:

• мы превратили внедрение стандартов в понятный «рецепт», который можно адаптировать под разные сервисы;

• вместо жёсткой иерархии внедрили практику регулярных обсуждений с участием всех команд — это позволяет быстро находить оптимальные решения;

• сделали акцент не на формальном соблюдении пунктов стандарта, а на практическом снижении рисков и повышении безопасности сервисов.

Берите ингредиенты, подстраивайте специи под свой вкус, масштабируйте меню. Ведь защищённые сервисы и довольные пользователи — это всегда в моде.

Давайте обсудим ваш опыт. Представьте, что ISO — это рецепт блюда. Поделитесь своими «кулинарными секретами» в комментариях: как вы считаете, стоит ли внедрять стандарты информационной безопасности в небольшие компании или стартапы? Или это актуально только для крупных игроков рынка? Поделитесь своим видением!