Внимание!
В настоящее время на территории России и Беларуси введены ограничения на проведение работ по сертификации с международной аккредитацией. Несмотря на это, Русский Регистр в рамках принятых на себя обязательств продолжает выполнять весь комплекс работ по оценке соответствия и ищет новые пути развития для решения задач, стоящих перед нашими клиентами.
Ввиду стремительно меняющихся условий вся информация, размещаемая на официальном сайте, тщательно проверяется и актуализируется только тогда, когда мы убеждены в окончательности принятых решений и верности намеченных действий.
Для получения более подробной информации, пожалуйста, обращайтесь в центральный офис Русского Регистра или наши региональные представительства.
Системы менеджмента информационной безопасности
Вопросы обеспечения информационной безопасности (ИБ) для современной организации являются жизненно важными.
Наличие системы менеджмента информационной безопасности в соответствии с требованиями стандарта ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001) поможет организации сберечь её активы и обеспечить целостность, надежность и конфиденциальность информации.
С 2005 г. сертификационный аудит на соответствие требованиям стандарта ISO/IEC 27001 прошло более 25 тыс. компаний по всему миру (по данным IRCA).
Сертификация является полезным инструментом для повышения доверия, демонстрируя тем самым, что представляемые продукты и услуги отвечают потребностям заказчиков в области ИБ.
Стандарт ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001) – источник лучших практик при проектировании систем управления, применим практически к любой организации, независимо от формы собственности, вида деятельности, размера и внешних условий. Он нейтрален в технологическом плане и всегда оставляет возможность выбора технологий. ISO/IEC 27001 является одним из наиболее известных стандартов данной серии, отвечающим требованиям систем управления информационной безопасностью. Существует более десятка стандартов серии 27000.
Система менеджмента информационной безопасности (СМИБ) – часть общей системы управления, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации. Является системным подходом по управлению конфиденциальной информацией. В данную систему входит персонал, производимые процессы и ИТ-системы, объединенные путем внедрения процессов риск-менеджмента.
С целью формирования комплексных требований к безопасности информации стандарт определяет три основных показателя:
- оценка рисков, с которыми сталкивается организация (определение угрозы для ресурсов, их уязвимость и вероятность возникновения угроз, а также возможный ущерб);
- соблюдение законодательных, нормативных и договорных требований, которые должны выполняться самой организацией, ее партнерами по бизнесу, подрядчиками и поставщиками услуг;
- формирование комплекса принципов, целей и требований к обработке информации, разработанных организацией для поддержки своей деятельности.
Основные элементы системы ИБ:
- защита от несанкционированного доступа (НСД) к системам,
- в том числе и внутренняя защита от НСД сотрудников организации;
- авторизация и аутентификация;
- защита каналов передачи данных, обеспечение целостности;
- обеспечение актуальности данных при обмене информацией с клиентами;
- управление электронным документооборотом;
- управление инцидентами ИБ;
- управление непрерывностью ведения бизнеса;
- внутренний и внешний аудит системы ИБ.
Основные задачи Стандарта:
- установление единых требований по обеспечению информационной безопасности организаций;
- обеспечение взаимодействие руководства и сотрудников;
- повышение эффективности мероприятий по обеспечению и поддержанию информационной безопасности организаций.
Стандарт ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001) обеспечивает:
- определение целей и представление о направлении и принципах деятельности относительно информационной безопасности;
- определение подходов к оценке и управлению рисками в организации;
- управление информационной безопасностью в соответствии с применимым законодательством и нормативными требованиями;
- использование единого подхода при создании, внедрении, эксплуатации, мониторинге, анализе, поддержке и совершенствовании системы менеджмента с тем, чтобы цели в области информационной безопасности были достигнуты;
- определение процессов системы менеджмента информационной безопасности;
- определение статуса мероприятий по обеспечению информационной безопасности;
- использование внутренних и внешних аудитов для определения степени соответствия системы менеджмента информационной безопасности требованиям стандарта;
- предоставление адекватной информации партнерам и другим заинтересованным сторонам о политике информационной безопасности.
Интеграция с другими стандартами
Преимуществом внедрения стандарта ISO/IEC 27001 является прямая выгода для организаций, желающих внедрить более одной системы менеджмента одновременно. СМИБ, например, может быть интегрирована с:
- системой менеджмента непрерывности бизнеса (ISO/IEC 22301),
- системой менеджмента IT-услуг (ISO/IEC 20000–1)
- или системой менеджмента качества (ISO 9001).
Схожая структура стандартов позволяет сэкономить время и деньги, так как стала возможной реализация интегрированных политики и процедуры.
Выгоды от внедрения и сертификации
- повышение доверия клиентов, партнеров и других заинтересованных сторон;
- повышение стабильности функционирования организаций;
- получение международного признания и укрепление имиджа компании на внутреннем и внешнем рынке;
- достижение адекватности мер по защите от реальных угроз информационной безопасности;
- предотвращение и(или) снижение ущерба от инцидентов информационной безопасности;
- демонстрация определенного уровня информационной безопасности для обеспечения конфиденциальности информации заинтересованных сторон;
- увеличение стоимости нематериальных активов, уменьшение страховых взносов, что делает ценность компании более высокой;
- снижение операционных издержек и исключения «перекрестного» финансирования в рамках единой СМИБ;
- расширение возможностей участия компании в крупных государственных контрактах;
- может существенно облегчить прохождение аудитов на соответствие PCI DSS, ISO/IEC 20000–1.
Что дает внедрение ISO/IEC 27001
Главным преимуществом создания и внедрения СМИБ в соответствии с требованиями ISO/IEC 27001 является независимое доказательство стабильности и надежности бизнес-процессов организации, в том числе:
- повышение доверия к организации;
- повышение стабильности функционирования организации в целом;
- достижение адекватности мер по защите от реальных угроз информационной безопасности;
- предотвращение и(или) снижение ущерба от инцидентов информационной безопасности.
Экономическими преимуществами являются:
- независимое подтверждение факта, что в организации должным образом реализован менеджмент рисков, соответствующие процедуры систем менеджмента разработаны и внедрены, постоянно анализируются и улучшаются компетентным и ответственным персоналом;
- доказательство соблюдения действующих законов и нормативных актов (выполнение системы обязательных требований);
- доказательство стремления и ответственности высшего руководства к обеспечению системы менеджмента в требуемом объеме для всей организации в соответствии с установленными требованиями;
- демонстрация определенного уровня «зрелости» систем менеджмента для обеспечения высокого уровня обслуживания клиентов и партнеров организации;
- демонстрация проведения регулярных аудитов систем менеджмента, оценки результативности и постоянных улучшений.
Полезным преимуществом является эффективное управление аутсорсингом за счет четких критериев оценки поставщиков услуг и ответственности обеих сторон.
Конкурентным преимуществом является доказательство того, что процессы обеспечения ИБ организации способны удовлетворять потребности внешних пользователей в долгосрочной перспективе, риски оценены и управляются.
Сертификация СМИБ на соответствие требованиям ISO/IEC 27001:2013 соответственно – единственное общепринятое в мировой практике подтверждение соответствия международным требованиям.
Статистика гласит, что организации, обладающие международными сертификатами соответствия стандартам СМИБ, получают скидки, сопоставимые с затратами на проведение сертификации.
Преимущества внедрения стандарта ISO/IEC 27001
- Гармонизация стандарта ISO/IEC 27001 к новой структуре поможет организациям, желающим внедрить более одной системы менеджмента одновременно.
- Схожая структура стандартов позволит сэкономить время и деньги организаций, так как они могут реализовывать интегрированные политики и процедуры.
- Обеспечение гибкого, оптимизированного подхода, с целью более эффективного управления рисками ИБ в современных условиях.
- Средства управления безопасностью (Приложение А) позволяют обеспечить актуальность стандарта, адекватную защиту и применимость его к современным рискам, а именно, хищению личных данных, угрозам, связанным с использованием мобильных устройств и другим сетевым уязвимостям.
Кроме того, стандарт ISO/IEC 27001 модифицирован с целью адаптации к новой общей структуре, применяемой во всех стандартах на системы менеджмента, что упрощает его интеграцию с другими системами менеджмента.