Гост р исо/мэк 27017-2021 информационные технологии. методы и средства обеспечения безопасности. правила применения мер обеспечения информационной безопасности на основе исо/мэк 27002 при использовании облачных служб

Введение

Настоящий стандарт предназначен для использования;

• лицами, которые хотели бы продемонстрировать свою компетентность в области менеджмента информационной безопасности;

— СМИБ-специалистами или специалистами, желающими понять и достичь требуемой компетентности для работы в этой сфере, а также желающими расширить свои знания.

• организациями, ищущими потенциальных кандидатов среди СМИБ-слециалистов для определения требуемых от них компетентностей, необходимых для занятия должностей организаций, предполагающих выполнение ролей, связанных со СМИБ:

  • — органами по разработке программ сертификации СМИБ-слециалистов. предназначенных для использования центрами сертификации при проведении мероприятий, связанных с проверкой уровня компетентности у СМИБ-специалистов.

  • — образовательными учреждениями (университетами, учреждениями дополнительного профессионального образования) для согласования их учебных планов и программ в соответствии с требованиями к компетентностям, которыми должны обладать их выпускники в области СМИБ.

Настоящий стандарт следует рассматривать и использовать в комплексе с ИСО/МЭК 27ОО1Ч

Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.

Содержание

листое

5.1 Общие сведения

5.2 Компетентность: руководство

5.3 Компетентность: взаимодействие

5.4 Компетентность: бизнес-стратегия и СМИБ

5.5 Компетентность: менеджмент создания организации, культуры, поведения и заинтересованных

сторон

5.6 Компетентность: менеджмент проектирования процессов и изменений организации

5.7 Компетентность: кадровый менеджмент менеджмент коллективов и

отдельных лиц

5.6 Компетентность: менеджмент рисков

5.9 Компетентность: менеджмент ресурсов

5.10 Компетентность: архитектура информационных систем

5.11 Компетентность: менеджмент проектов и портфеля проектов

5.12 Компетентность: менеджмент поставщиков

5.13 Компетентность: менеджмент проблем

6 Компетентности в области информационной безопасности для СМИБ-специалистов

6.1 СМИБ-компетентность: информационная безопасность

6.2 СМИБ-компетентность: планирование информационной безопасности

6.3 СМИБ-компетентность: функционирование информационной безопасности

6.4 СМИБ-компетентность: поддержка информационной безопасности

6.5 СМИБ-компетентность: оценка эффективности информационной безопасности

6.6 СМИБ-компетентность: улучшение информационной безопасности

Приложение А (справочное) Совокупность терминов, характеризующих необходимые знания для СМИБ-специалистов как часть свода знаний

Приложение ДА (справочное) Сведения о соответствии ссылочного международного стандарта национальному стандарту

Библиография

Введение

Настоящий стандарт предназначен для оказания помощи организациям в оценке деятельности по обеспечению информационной безопасности (ИБ)’} и результативности системы менеджмента информационной безопасности (СМИБ) в целях выполнения требований, изложенных в подразделе 9.1 ИСО/МЭК 27001П

Результаты мониторинга и оценки защищенности системы менеджмента информационной безопасности могут способствовать принятию решений, касающихся управления, менеджмента, операционной эффективности и постоянного совершенствования СМИБ.

Для условий каждой конкретной организации настоящий стандарт, как и другие стандарты серии 27000. необходимо проанализировать, интерпретировать и адаптировать. Изложенные концепции и подходы предназначены для широкого применения, но меры, необходимые для отдельной конкретной организации, зависят от присущих организации факторов, таких как размер организации, отраслевая принадлежность, зрелость, риски ИБ. обязательства соответствия и стиль управления, которые на практике могут сильно различаться.

Настоящий стандарт может быть рекомендован организациям, внедряющим СМИБ. которая отвечает требованиям ИСО/МЭК 27001. С другой стороны, он не устанавливает каких-либо новых требований и не налагает на организации какие-либо обязательства соблюдать представленные в нем руководящие принципы для СМИБ, которые соответствуют ИСО/МЭК 27001.

Положения настоящего стандарта должны рассматриваться с учетом требований национагъных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.

2) Здесь и далее подразумевается стандарт ИСО/МЭК 27001:2013 (примечание переводчика).

С чего начать и чем закончить

здесь

  1. Нарисуйте схему информационных систем компании. 
    Стандарт диктует: «определите границы и сферы информационных систем». 
    Это можно сделать либо простым изложением на бумаге, но для нас по-настоящему все началось с нарисованной схемы информационных систем. Это кажется очень просто, и  в маленькой компании даже лишним – и так все все понимают, — но, удивительное дело, картинка меняет все. 
    Первая кривоватая схема где были обозначены ноутбуки, сервера, VPN и Firewalls была встречена на ура и указала на много не замеченных деталей: протоколы VPN, backups, позже добавились облачные серверы, etc. 
  2. Создайте общую папку для документации по ISO
    Самый простой инструмент работы и самый эффективный – общая папка в SharePoint, где под каждый контроль и пункт стандарта есть отдельная подпапка с соответствующим названием, где сохраняется вся документация. 
  3. Пишите политики исходя с запасом гибкости
    Все политики нужно писать, предварительно прочитав стандарт ISO27002, он дает направление по тому, что именно требуется и будет проверяться аудитором. Любой документ можно написать по-разному. На примере политики по паролям – можно либо прописать письменно что пароль должен быть минимум 8 символов, либо написать что пароль должен быть «сложным» и отражать требованиям информационных систем. 
  4. Написали? Переписывайте.
    В нашем случае то, что мы давали «отлежаться» нашим политикам и потом возвращались к ним и переписывали, сказалось на качестве только лучшим образом. Они получились своего рода «выдержанным». Все лишнее стало нагляднее отследить, к тому же за год, то, что мы начинали писать в начале 2020 уже потеряло актуальность. Но слегка изменить политику всегда проще, чем заново ее написать.

Обзор ISO/IEC 27018

Международная организация по стандартизации (ISO) — это независимая неправительственная организация и крупнейший в мире разработчик рекомендательных международных стандартов. Семейство стандартов ISO/IEC 27000 помогает организациям любого типа и размера обеспечивать безопасность информационных ресурсов.

В 2014 г. организация ISO приняла к стандарту ISO/IEC 27001 дополнение ISO/IEC 27018:2014 — первый международный свод правил по конфиденциальности в облаке. Основанный на законах ЕС по защите данных, он предоставляет конкретные инструкции для поставщиков облачных служб (CSP), действующих в качестве обработчиков личных сведений (PII), с целью оценки рисков и применения современных средств для защиты личных сведений.

Майкрософт и ISO/IEC 27018

Минимум раз в год Microsoft Azure и Azure для Германии проходят проверку на соответствие стандартам ISO/IEC 27001 и ISO/IEC 27018 уполномоченным сторонним органом по сертификации, обеспечивающим независимую проверку наличия соответствующих средств управления безопасностью и их эффективной работы. В рамках этой проверки соответствия требованиям аудиторы подтверждают в заявлении о применимости, что соответствующие облачные службы Майкрософт и коммерческие службы технической поддержки внедрили средства управления ISO/IEC 27018 для защиты личных сведений в Azure. Чтобы поддерживать соответствие требованиям, облачные службы Майкрософт должны проходить ежегодные независимые проверки.

Соблюдая стандарты ISO/IEC 27001 и свод правил, входящий в состав стандарта ISO/IEC 27018, корпорация Майкрософт (первый крупный облачный поставщик, соблюдающий этот свод правил) демонстрирует надежность своих политик и процедур конфиденциальности и их соответствие самым строгим требованиям.

  • Клиенты облачных служб Майкрософт знают, где хранятся их данные. Так как стандарт ISO/IEC 27018 требует, чтобы сертифицированный поставщик облачных служб сообщал клиентам о странах, в которых могут храниться их данные, клиенты облачных служб Майкрософт наглядно видят сведения, требующиеся для соблюдения любых применяющихся правил по защите информации.
  • Данные клиентов не используются в целях маркетинга или рекламы без явного согласия. Некоторые поставщики облачных служб используют данные клиентов для собственных коммерческих целей, включая адресную рекламу. Так как корпорация Майкрософт реализовала стандарт ISO/IEC 27018 в своих корпоративных облачных службах, клиенты могут быть уверены, что их данные никогда не будут использоваться для таких целей без явного согласия и что согласие не может быть условием для использования облачной службы.
  • Клиенты Майкрософт знают, что происходит с их личными сведениями. Стандарт ISO/IEC 27018 требует применения политики, позволяющей возвращать, передавать и безопасно удалять личные сведения в течение разумного срока. Если корпорация Майкрософт сотрудничает с другими компаниями, которым требуется доступ к данным ваших клиентов, Майкрософт заранее предоставляет сведения об этих субобработчиках.
  • Корпорация Майкрософт выполняет только юридически обязывающие запросы на раскрытие данных клиентов. Если корпорация Майкрософт обязана выполнить такой запрос (например, при расследовании преступления), корпорация Майкрософт уведомит об этом клиента, если это не запрещено законом.

Коротко о стандарте

  • p.4 Context of the organization
  • p.5 Leadership
  • p.6 Planning
  • p.7 Support
  • p.8 Operation
  • p.9 Performance evaluation
  • p.10 Improvement
  • Information security policies (2 controls)
  • Organization of Information security (7 controls)
  • Human resource security (6 controls)
  • Asset management (10 controls)
  • Access control (14 controls)
  • Cryptography (2 controls)
  • Physical and environmental security (15 controls)
  • Operations security (14 controls)
  • System acquisition, development, and maintenance (13 controls)
  • Supplier relationships (5 controls)
  • Information security incident management (7 controls)
  • Information security aspects of business continuity management (4 controls)
  • Compliance (8 controls)

О компании, которая получает сертификацию:

Примечания[править | править код]

  1. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  2. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  3. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  4. . docs.cntd.ru. Дата обращения: 21 сентября 2016.
  5. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  6. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  7. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  8. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  9. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  10. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  11. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  12. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  13. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  14. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  15. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  16. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  17. . gost.ru. Дата обращения: 11 марта 2021.

ISO/IEC 27005:2018

«Information technology — Security techniques — Information security risk management»Рискуровнем рискаОстаточный рискоценкой рискаОбработка рисков

  • избегание риска путем отказа от действий, которые могут привести к рискам;
  • принятие или увеличение риска в целях достижения бизнес-целей;
  • устранение источников риска;
  • изменение вероятности реализации риска;
  • изменение ожидаемых последствий от реализации риска;
  • перенос (разделение) риска;
  • сохранение риска.
  1. Оценка рисков ведется с учетом последствий рисков для бизнеса и вероятности возникновения рисков. Осуществляются идентификация рисков, их анализ и сравнение (с учетом выбранного уровня риск-толерантности).
  2. Вероятность и последствия рисков доводятся до заинтересованных сторон и принимаются ими.
  3. Устанавливается приоритет обработки рисков и конкретных действий по снижению рисков.
  4. В процесс принятия решений по управлению рисками вовлекаются стейкхолдеры, которые затем также информируются о статусе управления рисками.
  5. Оценивается эффективность проведенной обработки рисков.
  6. Контролируются и регулярно пересматриваются риски и сам процесс управления ими.
  7. На основе получаемой новой информации процесс управления рисками непрерывно улучшается.
  8. Проводится обучение сотрудников и руководителей относительно рисков и предпринимаемых действий для их снижения.
  1. Определение контекста.
  2. Оценка рисков.
  3. Разработка плана обработки рисков.
  4. Принятие рисков.
  5. Внедрение разработанного плана обработки рисков.
  6. Непрерывный мониторинг и пересмотр рисков.
  7. Поддержка и улучшение процесса управления рисками ИБ.

Критерии оценки рисковКритерии оценки негативного влиянияКритерии принятия рисков

2.1. Идентификация рисков

  1. идентификацию (инвентаризацию) активов, получив в итоге список ИТ-активов и бизнес-процессов;
  2. идентификацию угроз, при этом следует учитывать преднамеренные и случайные угрозы, внешние и внутренние источники угроз, а информацию о возможных угрозах можно получать как у внутренних источников в организации (юристы, HR, IT и т.д.), так и у внешних (страховые компании, внешние консультанты, статистическая информация и т.д.);
  3. идентификацию имеющихся и запланированных к внедрению мер защиты для исключения их дублирования;
  4. идентификацию уязвимостей, которые могут быть проэксплуатированы актуальными угрозами и нанести ущерб активам; при этом следует учитывать уязвимости не только в программном или аппаратном обеспечении, но и в структуре организации, её бизнес-процессах, персонале, физической инфраструктуре, отношениях с контрагентами;
  5. идентификацию последствий реализации угроз нарушения конфиденциальности, целостности, доступности ИТ-активов.

качественного анализаколичественного анализа

Затрагиваемые облачные платформы и службы Майкрософт

  • Azure, Azure для государственных организаций и Azure — Германия
  • Azure DevOps Services
  • Dynamics 365, Dynamics 365 для государственных учреждений и Dynamics 365 — Германия
  • Intune
  • Microsoft Cloud App Security
  • Профессиональные услуги Майкрософт: Premier и локальная поддержка для Azure, Dynamics 365, Intune, а также для среднего бизнеса и корпоративных клиентов с Microsoft 365 для бизнеса
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Компьютеры, управляемые Майкрософт
  • Microsoft Threat Experts
  • Microsoft Stream
  • Office 365, Office 365 для государственных организаций США и Office 365 U.S. Government Defense
  • Office 365 Germany
  • OMS Service Map
  • Облачная служба Power Automate (прежнее название Microsoft Flow) в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365
  • Облачная служба PowerApps в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365
  • Облачная служба Power BI в виде автономной службы или в составе плана либо набора Office 365
  • Power BI Embedded
  • Power Virtual Agents
  • Microsoft Defender для конечной точки: обнаружение и нейтрализация атак на конечные точки, автоматическое исследование и исправление, оценка безопасности
  • Windows 365

Предисловие

  • 1 ПОДГОТОВЛЕН Федеральным государственным учреждением «Федеральный исследовательский центр «Информатика и управление» Российской академии наук» (ФИЦ ИУ РАН) и Обществом с ограниченном ответственностью «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

  • 2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 «Информационные технологии»

  • 3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 мая 2021 г. № 390-ст

  • 4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27021:2017 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетентности специалистов по системам менеджмента информационной безопасности» (ISO/IEC 27021:2017 «Information technology — Security techniques — Competence requirements for information security management systems professionals». IDT).

ИСО/МЭК 27021 разработан подкомитетом ПК 27 «Методы и средства обеспечения безопасности ИТ» Совместного технического комитета СТК 1 «Информационные технологии» Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

При применении настоящего стандарта рекомендуется использовать вместо ссылочного международного стандарта соответствующий ему национальный стандарт, сведения о котором приведены в дополнительном приложении ДА

  • 5 ВВЕДЕН ВПЕРВЫЕ

  • 6 Некоторые положения международного стандарта, указанного в пункте 4. могут являться объектом латентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. Nt 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

€> ISO, 2017 — Все права сохраняются IEC. 2017 — Все права сохраняются Стацдартинформ. оформление. 2021

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Примечания

  1. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  2. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  3. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  4. . docs.cntd.ru. Дата обращения: 21 сентября 2016.
  5. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  6. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  7. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  8. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  9. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  10. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  11. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  12. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  13. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  14. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  15. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  16. . docs.cntd.ru. Дата обращения: 20 сентября 2016.
  17. . gost.ru. Дата обращения: 11 марта 2021.

Предисловие

  • 1 ПОДГОТОВЛЕН Федеральным государственным учреждением «Федеральный исследовательский центр «Информатика и управление» Российской академии наук» (ФИЦ ИУ РАН) и Обществом с ограниченной ответственностью «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

  • 2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 «Информационные технологии»

  • 3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 мая 2021 г. № 388-ст

  • 4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27004:2016 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание» (ISO/IEC 27004:2016 «Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation». IDT).

ИСО/МЭК 27004 разработан подкомитетом ПК 27 «Методы и средства обеспечения безопасности ИТ» Совместного технического комитета СТК 1 «Информационные технологии» Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК)

  • 5 ВЗАМЕН ГОСТ Р ИСО/МЭК 27004—2011

  • 6 Некоторые положения международного документа, указанного в пункте 4. могут являться объектом патентных прав. ИСО и МЭК не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (но состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в ин-формационной системе общего пользования — на официальном сайте Федерального агентства по техническому регупированию и метрологии в сети Интернет (www.gost.ru)

€> ISO. 2016 — Все права сохраняются IEC. 2016 — Все права сохраняются Стацдартинформ. оформление. 2021

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

План vs реальность

  1. Купить официальный текст (да, до сих пор не понимаю почему официальные стандарты надо покупать) и изучить стандарт.
    → Планировали неделю, заняло 2 недели
  2. Внешний консультант помогает с написанием Body (первой части соответствия стандарту, основных постановлений о стратегии, требованиях, оценке рисков компании), на основании своего опыта.
    → Планировали месяц, заняло 2 месяца 
  3. Внутренний сотрудник составляет схему информационных систем компании.
    → Первая схема была сделана за неделю, но далее она менялась целый год
  4. Совместно изучается Annex A – список потенциально применимых контролей, из которых отбираются те, которые актуальны для нашей фирмы. 
    → Планировали за неделю, заняло 2 месяца
  5. Под выбранные контроли из Annex A находится или пишется необходимая документация, и дополнительные политики.
    → Планировали месяц, ушло почти полгода
  6. Когда документация готова, она высылается топ менеджменту для валидации, для удобства разбитая на блоки по смыслу.
    → Планировали за месяц, но валидация как раз прошла относительно быстро – 3 недели
  7. После одобрения документации, для всех сотрудников компании проводится информационная. 
    → Нужен всего один день, но две недели ушло на подготовку
  8. После этого приглашается сертифицирующий орган для проведения аудита

▍Из положительного: 

  • Внешний консультант задавал правильные и своевременные вопросы, чем ускорял процесс подготовки.
  • Компания маленькая и прозрачная.
  • Нет необходимости фокусироваться на технических данных firewall или сервера, т.к. почти все что касается железа аутсорсится.

▍Из отрицательного: 

  • Иногда вопросов от консультанта было СЛИШКОМ много и мы ходили по кругу, от одного к другому, возвращаясь и углубляясь в детали. Например консультант предложил создать схему под каждый вариант работы сотрудника – из дома, из офиса, от клиента, и.т.д., тогда как подобная схема уже была отражена в главной схеме инф.системы. Кончилось это просто лишней неделей работы, детальные схемы потом не потребовались.
  • В маленькой компании каждый сам себе админстратор. В компании нет центральной AD для компьютеров сотрудников, все максимально гибко, это же наталкивается на то, что очень сложно найти создать единые для всех правила, но еще сложнее заставить им следовать. 

▍Из практических результатов: 

  • После уточняющих вопросов о патчинге наших серверов, поставщик изменил политику патчинга;
  • Компания решила полностью перенести все системы и хранилища данных в облако;
  • Были формализованные следующие процессы: 
    • Политика проверки кандидата перед приемом на работу
    • Политика работы из дома (teleworking)
    • Политика безопасности мобильных устройств
    • Политика действий в случае инцидентов с безопасностью
    • Политика предоставления и удаления доступа
    • Матрица ответственности
    • Политика инвентаризации
    • Роли и обязанности в отношениях с поставщиками (конкретно по каждому поставщику) 
    • Политика в отношении персональных данных
    • Проектный менеджмент
    • Политика бэкапов и архивирования