В эпоху тотальной информатизации практически каждая компания, некоммерческая или государственная организация рано или поздно сталкивается с вопросом обеспечения информационной безопасности. Внутренняя информация компаний является ценным активом, который подвергается серьезным рискам – от целенаправленных атак с целью получения определенных данных сторонними лицами до потери информации из-за случайного выхода из строя оборудования и физических носителей. Однако понятие информационной безопасности гораздо шире – оно включает также вопросы конфиденциального доступа, целостности информации, сохранения авторских прав на информацию и другие.
Для того чтобы минимизировать возможные риски и предотвратить ущерб, который может нанести потеря информации, существуют Системы менеджмента информационной безопасности, известные также под аббревиатурой СМИБ. Внедрение СМИБ позволяет систематизировать все работы и процессы, связанные с хранением, резервным копированием, передачей и защитой информации, представляющей ценность для организации.
Существуют различные подходы к обеспечению безопасности информации. Многие организации ведут эту работу бессистемно, принимая отдельные меры, эффективность которых может оказаться недостаточной. Крупные компании до недавнего времени применяли самостоятельно разработанные комплексы мер для обеспечения сохранности информационных активов. С целью стандартизации и упорядочивания процессов управления информационной безопасностью, Международная организация по стандартизации (ISO) совместно с Международной электротехнической комиссией (IEC) разработали ISO 27001 — международный стандарт, регламентирующий деятельность в сфере защиты информационных ресурсов. Выпуск стандарта подготовил подкомитет SC27 Объединенного технического комитета JTC 1.
Стандарт ISO 27001 содержит комплекс требований и норм для разработки, внедрения, развития и поддержания эффективности, а также мониторинга, анализа и улучшения Систем менеджмента информационной безопасности (СМИБ). В стандарте ISO 27001 (также распространена формулировка ISO/IEC 27001) обобщены лучшие мировые практики в сфере управления информационной безопасностью. Внедрение данного стандарта демонстрирует способность организации обеспечить защиту своих информационных ресурсов и гарантирует доверие всех заинтересованных сторон. Область применения стандарта не ограничена – его могут применять любые компании, независимо от размера, сферы деятельности и форм собственности, а также государственные органы и общественные организации.
В 1992 году британское Министерство торговли и промышленности разработало и опубликовало документ под названием «Кодекс управления информационной безопасностью» (англ. Code of Practice for Information Security Management), который спустя три года был принят Британским институтом стандартов (BSI) в качестве национального стандарта информационной безопасности в Великобритании. В 2008 году стандарт был дополнен, а в 2000 – адаптирован под требования Международной организации по стандартизации, получив название ISO/IEC 17799.
В 2007 году стандарт ISO 17799 вошел в ряд стандартов 27-й серии, после чего ему был присвоен новый номер – ISO 27001.
В России принята локальная адаптация стандарта под названием ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
Система менеджмента информационной безопасности (СМИБ) представляет собой элемент общей системы менеджмента, основанный на управлении бизнес-рисками при разработке и внедрении, мониторинге, анализе, поддержке функциональности и улучшении процедур обеспечения информационной безопасности. СМИБ нацелена на выявление и устранение информационных рисков, а также определение процедур, ответственных лиц, времени и средств, которые можно выделить на техническое решение каждой отдельной проблемы, связанной с защитой информации.
Теоретически, если создание эффективной системы информационной безопасности является самоцелью, то внедрение требований указанного международного стандарта может происходить и без прохождения процедуры сертификации. В таком случае ISO 27001 выступает исключительно как руководство к действию для достижения оптимального результата. Однако сертификация соответствия СМИБ открывает компаниям дополнительные выгоды, являясь эффективным инструментом управления, контроля и улучшения системы защиты информации. Наличие сертификата ISO/IEC 27001 обеспечивает ряд рыночных, имиджевых и финансовых преимуществ, в конечном итоге влияя на повышение капитализации компании.
Сертификация соответствия системы информационной безопасности требованиям международного стандарта ISO 27001 проводится аккредитованными органами, работающими с данным стандартом.
Центр Экспертного Сопровождения Клиентов (ООО «ЦЭСК») является аккредитованным органом сертификации, и оказывает полный спектр информационно-правовых услуг, связанных с разработкой, интеграцией и сертификацией по стандарту ISO/IEC 27001. Наши эксперты обладают большим опытом в сфере разработки и сертификации отраслевых систем менеджмента, и гарантируют результат при оптимальном сочетании стоимости и сроков сертификации!
Важно! Если организация уже имеет внедренную систему менеджмента качества (СМК) и соответствующий сертификат стандарта ISO 9001, сроки и стоимость работ по внедрению и сертификации ISO/IEC 27001 значительно снижается