Язык сайта —
  • Русский
  • English

ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001)

ISO 27001

Системы менеджмента информационной безопасности

Вопросы обеспечения информационной безопасности (ИБ) для современной организации являются жизненно важными.

Наличие системы менеджмента информационной безопасности в соответствии с требованиями стандарта ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001) поможет организации сберечь её активы и обеспечить целостность, надежность и конфиденциальность информации.

С 2005 г. сертификационный аудит на соответствие требованиям стандарта ISO/IEC 27001 прошло более 25 тыс. компаний по всему миру (по данным IRCA).

Сертификация является полезным инструментом для повышения доверия, демонстрируя тем самым, что представляемые продукты и услуги отвечают потребностям заказчиков в области ИБ.

Стандарт ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001) – источник лучших практик при проектировании систем управления, применим практически к любой организации, независимо от формы собственности, вида деятельности, размера и внешних условий. Он нейтрален в технологическом плане и всегда оставляет возможность выбора технологий. ISO/IEC 27001 является одним из наиболее известных стандартов данной серии, отвечающим требованиям систем управления информационной безопасностью. Существует более десятка стандартов серии 27000.

Система менеджмента информационной безопасности (СМИБ) – часть общей системы управления, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации. Является системным подходом по управлению конфиденциальной информацией. В данную систему входит персонал, производимые процессы и ИТ-системы, объединенные путем внедрения процессов риск-менеджмента.

С целью формирования комплексных требований к безопасности информации стандарт определяет три основных показателя:

  • оценка рисков, с которыми сталкивается организация (определение угрозы для ресурсов, их уязвимость и вероятность возникновения угроз, а также возможный ущерб);
  • соблюдение законодательных, нормативных и договорных требований, которые должны выполняться самой организацией, ее партнерами по бизнесу, подрядчиками и поставщиками услуг;
  • формирование комплекса принципов, целей и требований к обработке информации, разработанных организацией для поддержки своей деятельности.

Основные элементы системы ИБ:

  • защита от несанкционированного доступа (НСД) к системам,
  • в том числе и внутренняя защита от НСД сотрудников организации;
  • авторизация и аутентификация;
  • защита каналов передачи данных, обеспечение целостности;
  • обеспечение актуальности данных при обмене информацией с клиентами;
  • управление электронным документооборотом;
  • управление инцидентами ИБ;
  • управление непрерывностью ведения бизнеса;
  • внутренний и внешний аудит системы ИБ.

Основные задачи Стандарта:

  • установление единых требований по обеспечению информационной безопасности организаций;
  • обеспечение взаимодействие руководства и сотрудников;
  • повышение эффективности мероприятий по обеспечению и поддержанию информационной безопасности организаций.

Стандарт ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001) обеспечивает:

  • определение целей и представление о направлении и принципах деятельности относительно информационной безопасности;
  • определение подходов к оценке и управлению рисками в организации;
  • управление информационной безопасностью в соответствии с применимым законодательством и нормативными требованиями;
  • использование единого подхода при создании, внедрении, эксплуатации, мониторинге, анализе, поддержке и совершенствовании системы менеджмента с тем, чтобы цели в области информационной безопасности были достигнуты;
  • определение процессов системы менеджмента информационной безопасности;
  • определение статуса мероприятий по обеспечению информационной безопасности;
  • использование внутренних и внешних аудитов для определения степени соответствия системы менеджмента информационной безопасности требованиям стандарта;
  • предоставление адекватной информации партнерам и другим заинтересованным сторонам о политике информационной безопасности.

Интеграция с другими стандартами

Преимуществом внедрения стандарта ISO/IEC 27001 является прямая выгода для организаций, желающих внедрить более одной системы менеджмента одновременно. СМИБ, например, может быть интегрирована с:

  • системой менеджмента непрерывности бизнеса (ISO/IEC 22301),
  • системой менеджмента IT‐услуг (ISO/IEC 20000–1)
  • или системой менеджмента качества (ISO 9001).

Схожая структура стандартов позволяет сэкономить время и деньги, так как стала возможной реализация интегрированных политики и процедуры.


Выгоды от внедрения и сертификации

  • повышение доверия клиентов, партнеров и других заинтересованных сторон;
  • повышение стабильности функционирования организаций;
  • получение международного признания и укрепление имиджа компании на внутреннем и внешнем рынке;
  • достижение адекватности мер по защите от реальных угроз информационной безопасности;
  • предотвращение и(или) снижение ущерба от инцидентов информационной безопасности;
  • демонстрация определенного уровня информационной безопасности для обеспечения конфиденциальности информации заинтересованных сторон;
  • увеличение стоимости нематериальных активов, уменьшение страховых взносов, что делает ценность компании более высокой;
  • снижение операционных издержек и исключения «перекрестного» финансирования в рамках единой СМИБ;
  • расширение возможностей участия компании в крупных государственных контрактах;
  • может существенно облегчить прохождение аудитов на соответствие PCI DSS, ISO/IEC 20000–1.

Что дает внедрение ISO/IEC 27001

Главным преимуществом создания и внедрения СМИБ в соответствии с требованиями ISO/IEC 27001 является независимое доказательство стабильности и надежности бизнес‐процессов организации, в том числе:

  • повышение доверия к организации;
  • повышение стабильности функционирования организации в целом;
  • достижение адекватности мер по защите от реальных угроз информационной безопасности;
  • предотвращение и(или) снижение ущерба от инцидентов информационной безопасности.

Экономическими преимуществами являются:

  • независимое подтверждение факта, что в организации должным образом реализован менеджмент рисков, соответствующие процедуры систем менеджмента разработаны и внедрены, постоянно анализируются и улучшаются компетентным и ответственным персоналом;
  • доказательство соблюдения действующих законов и нормативных актов (выполнение системы обязательных требований);
  • доказательство стремления и ответственности высшего руководства к обеспечению системы менеджмента в требуемом объеме для всей организации в соответствии с установленными требованиями;
  • демонстрация определенного уровня «зрелости» систем менеджмента для обеспечения высокого уровня обслуживания клиентов и партнеров организации;
  • демонстрация проведения регулярных аудитов систем менеджмента, оценки результативности и постоянных улучшений.

Полезным преимуществом является эффективное управление аутсорсингом за счет четких критериев оценки поставщиков услуг и ответственности обеих сторон.

Конкурентным преимуществом является доказательство того, что процессы обеспечения ИБ организации способны удовлетворять потребности внешних пользователей в долгосрочной перспективе, риски оценены и управляются.

Сертификация СМИБ на соответствие требованиям ISO/IEC 27001:2013 соответственно – единственное общепринятое в мировой практике подтверждение соответствия международным требованиям.

Статистика гласит, что организации, обладающие международными сертификатами соответствия стандартам СМИБ, получают скидки, сопоставимые с затратами на проведение сертификации.


Преимущества внедрения стандарта ISO/IEC 27001

  • Гармонизация стандарта ISO/IEC 27001 к новой структуре поможет организациям, желающим внедрить более одной системы менеджмента одновременно.
  • Схожая структура стандартов позволит сэкономить время и деньги организаций, так как они могут реализовывать интегрированные политики и процедуры.
  • Обеспечение гибкого, оптимизированного подхода, с целью более эффективного управления рисками ИБ в современных условиях.
  • Средства управления безопасностью (Приложение А) позволяют обеспечить актуальность стандарта, адекватную защиту и применимость его к современным рискам, а именно, хищению личных данных, угрозам, связанным с использованием мобильных устройств и другим сетевым уязвимостям.

Кроме того, стандарт ISO/IEC 27001 модифицирован с целью адаптации к новой общей структуре, применяемой во всех стандартах на системы менеджмента, что упрощает его интеграцию с другими системами менеджмента.

Возникли вопросы? Спросите нас!

Компания «Русский Регистр» относится с большим уважением ко всем своим клиентам. В случае возникновения вопросов, заполните представленную ниже форму и наши специалисты ответят Вам в ближайшее время!

Нажимая на кнопку «Отправить сообщение», я даю свое согласие на обработку персональных данных и соглашаюсь с условиями и политикой конфиденциальности.