ISO/IEC 27001

ISO 27001 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности» – стандарт, который объединил лучшие практики и общие принципы управления информационной безопасностью компании, чьей задачей является защита информации от воздействия внутренних и внешних умышленных и случайных угроз.
Информационная безопасность по ISO IEC 27001 – это обеспечение подлинности, целости, конфиденциальности данных. Внедрение стандарта позволяет защитить информацию компании от угроз, исходящих изнутри и снаружи: от системного сбоя до вандализма.

Где внедряется стандарт ISO/IEC 27001

Учитывая возможность гибкости, стандарт ISO 27001 может быть применим как в определенном подразделении, так и во всей организации, чья деятельность связана с хранением данных, обработкой личной информацию клиентов или управлением любой другой конфиденциальной информацией. К таким организациям можно отнести:

  • Банки и финансовые учреждения
  • Охранные, силовые, оборонные структуры
  • Здравоохранительные организации
  • Образовательные центры
  • Правительство
  • Точки розничной торговли

Внедрить стандарт и пройти сертификацию могут любые коммерческие, некоммерческие, государственные организации.

Стандарт построен по свойственной большинству стандартов ISO структуре, поэтому легко интегрируется з ISO 9001 и другими. Для предприятий, которые внедрили требования ISO 9001, процесс построения системы менеджмента информационной безопасности упрощается и удешевляется, так как основная часть документации уже разработана, общий подход к построению основных процессов знаком и понятен, затраты времени на разработку уменьшатся.

Цели и преимущества стандарта ISO 27001

Стандарт ISO/IEC 27001 предназначен для планирования, мониторинга и постоянного совершенствования системы управления информационной безопасностью (ISMS) организации. Сам стандарт не предусматривает конкретных, универсальных правил в области информационной безопасности, так как они могут отличаться в зависимости от деятельности компании. Однако, ISO 27001 содержит полный перечень мер контроля, которые следует учитывать предприятию для соблюдения безопасности в IT-среде.

Цель ISO 27001 – обеспечение непрерывности бизнес-процессов, снижение возможности возникновения угроз, уменьшение затрат, связанных с потенциальными ущербами.

В основе стандарта – подход, основанный на выявлении и предупреждении информационных рисков. Требования стандарта сосредоточены на:

  • соблюдении корпоративной политики по безопасности;
  • ответственности руководства;
  • криптографии;
  • безопасности связи, обработки информации, безопасности персонала и рабочей среды;
  • работе с поставщиками, взаимодействии персонала;
  • управление инцидентами;
  • непрерывное улучшение.

Благодаря внедрению системы менеджмента информационной безопасности в соответствии с требованиями ISO 27001:2013, компания получает:

  • уверенность в защите информации;
  • устойчивость к кибератакам;
  • децентрализованную структуру для управления и обеспечения сохранности информации;
  • обеспечение своевременной реакции на угрозы безопасности;
  • снижение затрат на IT-безопасность благодаря комплексному подходу к анализу рисков.

Преимущество сертификации ISO 27001

  • демонстрирование своего ответственного отношения к информационной безопасности всем заинтересованным сторонам;
  • получение признания партнеров, формирование авторитета компании, укрепление на внутреннем и внешнем рынках;
  • демонстрирование прозрачности и честности ведения бизнеса.

Этапы сертификации ISO/IEC 27001

Сертификация ISO 27001 осуществляется тогда, когда на предприятии внедрена и эффективно функционирует система менеджмента информационной безопасности. Процесс сертификации проходит в несколько этапов:

1 этап: подача заявки на сертификацию и полного пакета сопроводительных документов.  Проверка документации на соответствие системы информационной безопасности требованиям ISO/IEC 27001.

2 этап: оценка работы предприятия согласно стандарту. Осмотр предприятия, анализ выполнения требований политик, процедур и инструкций системы менеджмента. Собеседования с ключевыми сотрудниками, отвечающими за информационную безопасность.

3 этап: выдача сертификата ISO/IEC 27001 при условии успешного прохождения аудиторского контроля.

4 этап: ежегодное прохождение надзорных аудитов на соответствие требованиям стандарта ISO/IEC 27001.

* Сертификат выдается на 3 года, при условии подтверждения соответствия требованиям стандарта один раз в год на надзорном аудите. По истечению срока действия сертификата компания должна пройти ресертификационных аудит — подтвердить полное соответствие требованиям стандарта.

История развития стандарта ISO 27001

ISO 27001 был разработан на основе стандарта BS 7799, который описывал практические правила по управлению IT-безопасности. Он состоял из 127 механизмов контроля, которые описывали правила построения СУИБ предприятия, и являлся больше практическим руководством чем полноценным стандартом информационной безопасности.

В том же году международной организацией по стандартизации был создан стандарт ISO/IEC 27001:2005, который устанавливает четкие требования к системе менеджмента ИБ и защите данных, их конфиденциальности, целостности.

Изменения в требованиях ISO 27001:2013

В 2013 году вышла на сегодняшний день последняя редакция стандарта ISO/IEC 27001:2013, в которую были внесены незначительные изменения:

  • Упрощены требования к документации и описанию рисков
  • Введен новый термин «Владелец риска»
  • Изменены формулировки в требованиях к мониторингу СМИБ и менеджменту ИБ
  • Установлена связка «Положения о применимости – SoA»