Любая современная организация собирает, хранит и передаёт огромное количество информации. Часть такой информации является важным деловым активом, ресурсом для решения разного рода стоящих перед организацией задач.
Недозволенное воздействие на информационные активы может буквально разрушить работу всего предприятия.
- Стандарт ISO/ IEC 27001 системы менеджмента информационной безопасности – для чего он нужен
- Цель получения Сертификата ISO/IEC 27001
- Кому необходим Сертификат ISO 27001
- Преимущества внедрения стандартов ИСО СМИБ
- Этапы получения Сертификата ISO/IEC 27001
- Стоимость и сроки оформления Сертификата ИСО 27001
- Какие документы нужны Заявителю для прохождения сертификации по стандарту ISO 27001
Стандарт ISO/ IEC 27001 системы менеджмента информационной безопасности – для чего он нужен, обзор
Под информационной безопасностью (ИБ) подразумевают комплекс практических мер, направленных на предотвращение несанкционированного доступа, использования, искажения, раскрытия или уничтожения той или иной информации, имеющую ценность для организации.
Задачи ИБ в обеспечении защиты информационных активов:
- конфиденциальности,
- целостности (правильности и полноты),
- доступности.
Система менеджмента информационной безопасности (СУИБ/СМИБ/ISMS) – часть общей системы управления организацией, представляющая собой модель для создания, внедрения, функционирования, мониторинга, анализа, поддержки и непрерывного улучшения защиты информационных активов.
СМИБ основана на оценке риска и принятии уровней риска.
Система менеджмента ИБ разрабатывается для эффективного рассмотрения и управления рисками с целью обеспечения необходимой защиты информационных активов организации.
Начиная с 2005 года, в помощь организациям любого типа и величины разработать, внедрить и поддерживать эффективно действующую СМИБ, Совместный технический комитет двух организаций:
- Международной организацией по стандартизации (ISО/ИСО)
- и Международной электротехнической комиссией (IEC/МЭК)
выпустил целую серию международных стандартов ИСО/МЭК 27000:
- ISO/IEC 27000 «Система менеджмента информационной безопасности. Общий обзор и терминология» - даёт общую нормативную базу к СМИБ
- ISO/IEC 27001 «Система менеджмента информационной безопасности. Требования” – стандарт описывает общую модель функционирования и внедрения СМИБ на всех стадиях её «жизненного цикла», даёт возможность её дальнейшего пересмотра, усовершенствования и мониторинга
- ISO/IEC 27002 «Свод правил по управлению защитой информации» - содержит рекомендации к требованиям предыдущего стандарта
- ISO/IEC 27003 «Руководство по реализации системы менеджмента информационной безопасности»
- ISO/IEC 27004 «Менеджмент информационной безопасности. Измерения»
- ISO/IEC 27005 «Управление рисками информационной безопасности» - документ подробно описывает менеджмент рисков, неразрывно связанный со стандартом 27001
- ISO/IEC 27011 «Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги, на основе ISO/IEC 27002»
- ISO/IEC 27033 «Сетевая безопасность»
- ISO/IEC 27035 «Управление инцидентами информационной безопасности» и др.
В России сертификация действующей в организации СУИБ/СМИБ проводится по стандарту ИСО 27001 второй редакции (ISO/IEC 27001:2013).
Этот стандарт собрал в себе лучшие мировые практики обеспечения информационной безопасности и определил конкретный набор требований, необходимых для подтверждения соответствия СМИБ международным эталонам ИБ в рамках контекста организации. СКАЧАТЬ pdf ISO/IEC 27001:2013
Цель получения Сертификата ISO/IEC 27001
Заявка на сертификацию по ИСО/МЭК 27001 – уникальная возможность получить официальный, заверенной третьей независимой стороной документ (Сертификат ГОСТ Р ИСО/МЭК 27001), подтверждающий заявленное соответствие действующей в организации СМИБ требованиям настоящего международного стандарта с учётом требований федерального законодательства РФ.
Наличие у Компании Сертификата ISO 27001 демонстрирует заинтересованным лицам надлежащий уровень обеспечения информационной безопасности. Говорит о том, что данной организации можно смело доверять свои информационные активы, что она гарантирует их конфиденциальность и целостность.
К тому же Сертификат 27001 намного облегчает успешное прохождение аудитов безопасности платёжных систем по стандарту PCI DSS.
Стандартизация организаций по ИСО 27001 неразрывно связана с актуальной на сегодня темой защиты персональных данных.
Кому необходим Сертификат ISO 27001
Оформление Сертификата ИСО/МЭК 27001 носит добровольно-рекомендательный характер
Вместе с тем его получение важно абсолютно для любой (большой и маленькой) Компании, в частности:
- Желающей доказать себе и своим партнёрам то, что она защищает свои информационные активы должным образом
- Стремящейся к международному бизнес-сотрудничеству
- Заинтересованной в конкурентно-конкурсном преимуществе при участии в тендерах, государственных конкурсах
- Работающей с международными платёжными системами
Наиболее часто Сертификат ИСО 27001 запрашивают организации:
- Банковского сектора
- IT-компании
- Предприятия, работающие в сфере частных и/или государственных финансовых услуг
- Медицинские учреждения
- Строительные и транспортные компании
- Государственные учреждения
- и др.
Преимущества внедрения стандартов ИСО СМИБ и получения Сертификата ISO/IEC 27001:2013
Какие выгоды получает Компания, внедрившая и сертифицировавшая свою систему менеджмента ИБ по международному стандарту ИСО?
- Признание на международном уровне
- Обретение доверия партнёров, клиентов, других заинтересованных сторон (в том числе государственных организаций)
- Повышение стабильности работы Компании
- Обретение эффективного инструмента приведения в порядок, гармонизации и повышения управляемости всех бизнес-процессов
- Повышение защищённости ключевых бизнес-процессов
- Соответствие разработанной СМИБ всем существующим требованиям и целям: законодательным, отраслевым, контрактным, внутрикорпоративным
- Своевременное выявление уязвимостей, угроз и эффективное управление рисками
- Определение и защита действительно критичной для бизнеса конфиденциальной информации (т.е. внедрение и настройка СМИБ не повсеместно, а именно в тех местах, где она по-настоящему необходима)
- Предотвращение или снижение экономического ущерба Компании от негативных инцидентов в сфере ИБ
- Экономия средств Компании на дальнейшее развитие и модернизацию ИБ
Этапы получения Сертификата ISO/IEC 27001
- Выделение области сертификации – выбор конкретных процессов организации, для которых будет создаваться система менеджмента ИБ
- Создание Приказом руководства организации Команды по информационной безопасности силами своих и/или приглашённых обученных специалистов
- Внутренний первоначальный аудит организации
- Идентификация выделенных активов (по результатам предыдущего аудита)
- Выбор методики оценки рисков
- Определение ценности идентифицированных активов с анализом и оценкой рисков
- Разработка, подписание и ознакомление сотрудников с пакетом документов по СМИБ (по политике ИБ, внутренних стандартах ИБ и др.)
- Внедрение спроектированных организационных и технических мероприятий по ИБ на практике
- Проведение серии внутренних аудитов на соответствие внедрённой СМИБ требованиям ИСО 27001 для накопления записей о качестве работы существующей системы безопасности
- В случае положительных результатов внутренних аудитов, подача Заявки на сертификацию системы управления информационной безопасности (СУИБ/СМИБ) в аккредитованный орган по сертификации, например, в нашу Компанию ООО «ТК Серт»
- Организация и проведение органом по сертификации внешнего (сертификационного) аудита
- Оценка отчётов внешнего аудита
- Исправление организацией замечаний приглашённого аудитора (если такие были)
- В случае успешного прохождения сертификационного аудита – оформление, регистрация и выдача Заявителю Сертификата 27001 на СМИБ с сопутствующими документами:
- Акт сертификационного аудита
- Прочие документы (извещения, распоряжения, заключения, листы регистрации), составленные органом по сертификации - Разрешение использования Заявителем Знака соответствия ISO 27001
- Ежегодный инспекционный аудит сертифицированной СМИБ
Кем осуществляются аудиторские проверки СМИБ:
- Внутренние аудиты - проводятся самой организацией своими силами или силами приглашённого компетентного специалиста
- Внешний/сертификационный аудит – проводится перед оформлением Сертификата силами приглашённого аккредитованного в данной области эксперта (как правило, аудитора сертифицирующей Компании)
- Плановый инспекционный аудит – проводится ежегодно, силами Центра по сертификации, выдавшего Сертификат 27001
Сертификат ИСО/МЭК 27001 выдаётся на три года
Стоимость и сроки оформления Сертификата ИСО 27001
Сроки получения Сертификата 27001 «с ноля» (с начала разработки и внедрения настоящего стандарта ISO до получения Сертификата соответствия ИСО 27001) в первую очередь зависят от величины компании, числа её сотрудников, количества выделенных для сертификации процессов и базового уровня готовности организации к внедрению стандарта:
- Для компании с 10-ю сотрудниками – примерно 4 месяца
- Для компании свыше 500 сотрудников – до 1-1,5 лет
При наличии у Заказчика документально описанной и функционирующей СМИБ получение Сертификата ISO системы управления информационной безопасности значительно упрощается и проводится в сжатые сроки.
Очевидно, что стоимость оформления Сертификата ИСО 27001 в каждом случае будет разная.
Получить консультацию по любым вопросам сертификации предприятия на соответствие стандартов ИСО можно бесплатно по телефону: 8 (800) 301-51-60
Какие документы нужны Заявителю для прохождения сертификации по стандарту ISO 27001
- Заявка на сертификацию
- Реквизиты Заявителя
- Описание деятельности организации, процессов
- Вся имеющаяся документация по СМИБ
- Отчёты внутренних аудитов
- Дополнительная документация – по согласованию с экспертом-куратором по сертификации