Москва (многоканальный) +7 (495) 649-85-78
Бесплатно по России 8 800 555-02-78
пн–пт с 9:00 до 18:00 mail@glavsert.ru
icon icon Карта сайта
Разработка и сертификация системы управления информационной безопасностью на основе стандарта ISO/IEC 27001

Разработка и сертификация системы управления информационной безопасностью на основе стандарта ISO/IEC 27001

10.10.2014

В эпоху тотальной информатизации практически каждая компания, некоммерческая или государственная организация рано или поздно сталкивается с вопросом обеспечения информационной безопасности. Внутренняя информация компаний является ценным активом, который подвергается серьезным рискам – от целенаправленных атак с целью получения определенных данных сторонними лицами до потери информации из-за случайного выхода из строя оборудования и физических носителей. Однако понятие информационной безопасности гораздо шире – оно включает также вопросы конфиденциального доступа, целостности информации, сохранения авторских прав на информацию и другие.

Для того чтобы минимизировать возможные риски и предотвратить ущерб, который может нанести потеря информации, существуют Системы менеджмента информационной безопасности, известные также под аббревиатурой СМИБ. Внедрение СМИБ позволяет систематизировать все работы и процессы, связанные с хранением, резервным копированием, передачей и защитой информации, представляющей ценность для организации.

Международный стандарт информационной безопасности ISO 27001

Существуют различные подходы к обеспечению безопасности информации. Многие организации ведут эту работу бессистемно, принимая отдельные меры, эффективность которых может оказаться недостаточной. Крупные компании до недавнего времени применяли самостоятельно разработанные комплексы мер для обеспечения сохранности информационных активов. С целью стандартизации и упорядочивания процессов управления информационной безопасностью, Международная организация по стандартизации (ISO) совместно с Международной электротехнической комиссией (IEC) разработали ISO 27001 — международный стандарт, регламентирующий деятельность в сфере защиты информационных ресурсов. Выпуск стандарта подготовил подкомитет SC27 Объединенного технического комитета JTC 1.

Стандарт ISO 27001 содержит комплекс требований и норм для разработки, внедрения, развития и поддержания эффективности, а также мониторинга, анализа и улучшения Систем менеджмента информационной безопасности (СМИБ). В стандарте ISO 27001 (также распространена формулировка ISO/IEC 27001) обобщены лучшие мировые практики в сфере управления информационной безопасностью. Внедрение данного стандарта демонстрирует способность организации обеспечить защиту своих информационных ресурсов и гарантирует доверие всех заинтересованных сторон. Область применения стандарта не ограничена – его могут применять любые компании, независимо от размера, сферы деятельности и форм собственности, а также государственные органы и общественные организации.

История разработки стандарта ISO 27001

В 1992 году британское Министерство торговли и промышленности разработало и опубликовало документ под названием «Кодекс управления информационной безопасностью» (англ. Code of Practice for Information Security Management), который спустя три года был принят Британским институтом стандартов (BSI) в качестве национального стандарта информационной безопасности в Великобритании. В 2008 году стандарт был дополнен, а в 2000 – адаптирован под требования Международной организации по стандартизации, получив название ISO/IEC 17799.

В 2007 году стандарт ISO 17799 вошел в ряд стандартов 27-й серии, после чего ему был присвоен новый номер – ISO 27001.

В России принята локальная адаптация стандарта под названием ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

Внедрение системы менеджмента по стандарту ISO 27001

Система менеджмента информационной безопасности (СМИБ) представляет собой элемент общей системы менеджмента, основанный на управлении бизнес-рисками при разработке и внедрении, мониторинге, анализе, поддержке функциональности и улучшении процедур обеспечения информационной безопасности. СМИБ нацелена на выявление и устранение информационных рисков, а также определение процедур, ответственных лиц, времени и средств, которые можно выделить на техническое решение каждой отдельной проблемы, связанной с защитой информации.

Стандарт ISO 27001 содержит следующие правила и требования к системе управления информационной безопасностью организации:

  • Единые требования к системе менеджмента информационной безопасности;
  • Правила внедрения и управления СМИБ;
  • Политику, цели внедрения и область применения СМИБ;
  • Описание процедур управления и поддержки системы менеджмента для выполнения условий ИСО 27001;
  • Описания методологии управления информационными ресурсами, отчеты по оценке рисков, планы их минимизации;
  • Нормативы для разработки документации об информационной безопасности;
  • Регламентация степени и сферы ответственности руководства;
  • Правила организации и проведения внутренних аудитов;
  • Требования для топ-менеджмента по анализу СМИБ;
  • Оптимизация и непрерывное улучшение СМИБ.

Внедрение СМИБ на основе стандарта ISO 27001 позволяет:

  • Разработать и регламентировать политику информационной безопасности;
  • Сделать информационные активы и связанные с ними процессы максимально понятными для руководства организации;
  • Выявить основные угрозы информационной безопасности для текущих бизнес-процессов;
  • Обеспечить принятие решений с учетом рисков и целей организации;
  • Обеспечить эффективное управление информационными ресурсами в критичных ситуациях;
  • Четко определить сферы ответственности в обеспечении безопасности информации;
  • Оптимизировать стоимость поддержки системы безопасности информационных ресурсов;
  • Обеспечить интеграцию подсистемы информационной безопасности в текущие бизнес-процессы, при необходимости – обеспечить интеграцию с ISO 9001;
  • Продемонстрировать клиентам, партнерам, инвесторам надежность в вопросах информационной безопасности.

Сертификация соответствия СМИБ требованиям ISO 27001

Теоретически, если создание эффективной системы информационной безопасности является самоцелью, то внедрение требований указанного международного стандарта может происходить и без прохождения процедуры сертификации. В таком случае ISO 27001 выступает исключительно как руководство к действию для достижения оптимального результата. Однако сертификация соответствия СМИБ открывает компаниям дополнительные выгоды, являясь эффективным инструментом управления, контроля и улучшения системы защиты информации. Наличие сертификата ISO/IEC 27001 обеспечивает ряд рыночных, имиджевых и финансовых преимуществ, в конечном итоге влияя на повышение капитализации компании.

К основным преимуществам сертификации ISO/IEC 27001 можно отнести:

  • Прохождение сертификационных аудитов позволяет оперативно отслеживать отступление от требований стандарта, адаптировать систему к меняющимся бизнес-процессам и внешним условиям рынка, обеспечивая улучшение управляемости организации в целом и процессов, связанных с информационными ресурсами;
  • Наличие документа, подтверждающего соответствие указанному стандарту, обеспечивает возможность вывода компании на международные рынки;
  • Повышение уровня доверия клиентов, получение более выгодных заказов от компаний, которые заботятся об информационной безопасности;
  • Наличие сертификата ISO/IEC 27001 дает конкурентное преимущество при участии в государственных и коммерческих тендерах и конкурсах;
  • Приведение системы управления в соответствие с требованиями национального законодательства, упрощение процедур получения разрешительных документов в надзорно-контролирующих органах;
  • Формирование положительного имиджа компании среди клиентов, инвесторов, кредиторов и партнеров;
  • Повышение капитализации и увеличение стоимости акций компании.

Сертификация соответствия системы информационной безопасности требованиям международного стандарта ISO 27001 проводится аккредитованными органами, работающими с данным стандартом.

Процедура сертификации состоит из нескольких этапов:

  • Предсертификационный аудит (проверка готовности к сертификации): аудит ключевых документов СМИБ: положения о применимости (SoA), планов обработки рисков (RTP) и другой документации;
  • Сертификационный аудит: подробное исследование сертификационной документации, тестирование внедренных мер обеспечения безопасности информации, оценка их эффективности;
  • Принятие решения о соответствии СМИБ требованиям и нормам стандарта ISO 27001, рекомендации по устранению выявленных несоответствий;
  • Выдача официального сертификата соответствия ISO/IEC 27001;
  • Периодический инспекционный аудит для подтверждения, что сертифицированная организация не отступает от заявленных стандартов.

Центр Экспертного Сопровождения Клиентов (ООО «ЦЭСК») является аккредитованным органом сертификации, и оказывает полный спектр информационно-правовых услуг, связанных с разработкой, интеграцией и сертификацией по стандарту ISO/IEC 27001. Наши эксперты обладают большим опытом в сфере разработки и сертификации отраслевых систем менеджмента, и гарантируют результат при оптимальном сочетании стоимости и сроков сертификации!

Важно! Если организация уже имеет внедренную систему менеджмента качества (СМК) и соответствующий сертификат стандарта ISO 9001, сроки и стоимость работ по внедрению и сертификации ISO/IEC 27001 значительно снижается

Закрыть
Оставьте заявку и мы с вами свяжемся!

Ваше имя *
Это поле обязательно для заполнения
Ваш телефон *
Это поле обязательно для заполнения
Ваш e-mail *
Введён некорректный e-mail
Компания
Город
loading...
Скачать программу обучения