ISO 27001

 

ОБЩАЯ ИНФОРМАЦИЯ 

Вопросы обеспечения информационной безопасности (ИБ) для современной организации являются жизненно важными. Наличие системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта ISO/IEC 27001 поможет организации сберечь её активы и обеспечить целостность, надежность и конфиденциальность информации. 

С 2005 г. сертификационный аудит на соответствие требованиям стандарта ISO/IEC 27001 прошло более 20 тыс. компаний по всему миру (по данным IRCA). Стандарт 27001 – источник лучших практик при проектировании систем управления, применим практически к любой организации, независимо от формы собственности, вида деятельности, размера и внешних условий. Он нейтрален в технологическом плане и всегда оставляет возможность выбора технологий.

Система менеджмента информационной безопасности (СМИБ) – часть общей системы управления, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации.

Основные элементы системы ИБ:

  • защита от несанкционированного доступа (НСД) к системам;
  • в том числе и внутренняя защита от НСД сотрудников организации;
  • авторизация и аутентификация;
  • защита каналов передачи данных, обеспечение целостности; 
  • обеспечение актуальности данных при обмене информацией с клиентами;
  • управление электронным документооборотом; 
  • управление инцидентами ИБ;
  • управление непрерывностью ведения бизнеса;
  • внутренний и внешний аудит системы ИБ.

Основные задачи Стандарта:

  • установление единых требований по обеспечению информационной безопасности организаций;
  • обеспечение взаимодействие руководства и сотрудников;
  • повышение эффективности мероприятий по обеспечению и поддержанию информационной безопасности организаций.

 

ИСТОРИЯ СТАНДАРТА

  • В 1992 г. Министерство торговли и промышленности Великобритании опубликовало Кодекс управления информационной безопасностью (Code of Practice for Information Security Management).
  • В 1995 г. Британский институт стандартов (BSI) принял Кодекс управления информационной безопасностью в качестве национального стандарта Великобритании и зарегистрировал его под номером BS 7799 - Part 1.
  • В 1998 г. BSI публикует стандарт BS7799-2, состоящий из двух частей, одна из которых включила в себя свод практических правил, а другая – требования к системам менеджмента информационной безопасности. В стандарте была представлена процедура совершенствования мер обеспечения ИБ, в соответствии с циклом Деминга (Plan - Do - Check - Act), а также системный подход к управлению мерами.
  • В процессе следующих пересмотров первая часть была опубликована как BS 7799:1999, Часть1. В 1999 году эта версия стандарта была переработана и передана в Международную Организацию по Сертификации.
  • В 2000 г. утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005.
  • В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 Part 2 Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью). Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».
  • В 2005 г. стандарт ISO/IEC 17799 был включен в линейку стандартов 27-й серии и получил новый номер - ISO/IEC 27002:2005.
  • 25 сентября 2013 года был опубликован обновленный стандарт ISO/IEC 27001:2013 «Системы Менеджмента Информационной Безопасности. Требования» (Information security management systems — Requirements). Изменения коснулись как структуры стандарта, так и требований.

 

СТРУКТУРА СТАНДАРТА

ISO/IEC 27001 представляет собой перечень требований к СМИБ, обязательных для сертификации.

ISO/IEC 27001:2005

ISO/IEC 27001:2013

0. Введение 
1. Область применения 
2. Нормативные ссылки 
3. Термины и определения 
4. Система информационной безопасности 
5. Обязательства руководства 
6. Внутренние аудиты 
7. Анализ системы менеджмента 
8. Совершенствование

0. Введение 
1. Область применения 
2. Нормативные ссылки 
3. Термины и определения 
4. Контекст организации 
5. Лидерство 
6. Планирование 
7. Поддержка 
8. Операции (Эксплуатация) 
9. Оценка (Измерение) результативности 
10. Совершенствование (Улучшение)

 

В Приложении А стандарта приведен перечень методов управления.

ISO/IEC 27001:2005

ISO/IEC 27001:2013

А.5 Политика в области безопасности 
А.6 Организация системы безопасности 
A.7 Классификация активов и управление 
A.8 Безопасность и персонал 
A.9 Физическая и внешняя безопасность
A.10 Менеджмент компьютеров и сетей 
A.11 Управление доступом к системе 
A.12 Приобретение, разработка и обслуживание информационных систем
A.13 Менеджмент инцидентов 
A.14 Обеспечение непрерывности бизнеса 
A.15 Соответствие законодательству

A.5 Политики информационной безопасности 
A.6 Организация информационной безопасности 
A.7 Безопасность человеческих ресурсов (персонала) 
A.8 Управление активами 
A.9 Управление доступом 
A.10 Криптография 
A.11 Физическая безопасность и защита от окружающей среды 
A.12 Безопасность операций 
A.13 Безопасность коммуникаций 
A.14 Приобретение, разработка и обслуживание информационных систем
A.15 Взаимоотношения с поставщиками
A.16 Менеджмент инцидентов 
A.17 Обеспечение непрерывности бизнеса 
A.18 Соответствие законодательству

 

Требования «Приложения А» являются обязательными для выполнения, но стандарт позволяет исключить направления, которые невозможно применить на предприятии. 

Стандарт ISO 27001 обеспечивает:

  • определение целей и представление о направлении и принципах деятельности относительно информационной безопасности;
  • определение подходов к оценке и управлению рисками в организации;
  • управление информационной безопасностью в соответствии с применимым законодательством и нормативными требованиями;
  • использование единого подхода при создании, внедрении, эксплуатации, мониторинге, анализе, поддержке и совершенствовании системы менеджмента с тем, чтобы цели в области информационной безопасности были достигнуты;
  • определение процессов системы менеджмента информационной безопасности;
  • определение статуса мероприятий по обеспечению информационной безопасности;
  • использование внутренних и внешних аудитов для определения степени соответствия системы менеджмента информационной безопасности требованиям стандарта;
  • предоставление адекватной информации партнерам и другим заинтересованным сторонам о политике информационной безопасности.

 

ВЫГОДЫ ОТ ВНЕДРЕНИЯ (СЕРТИФИКАЦИИ)

  • повышение доверия клиентов, партнеров и других заинтересованных сторон;
  • повышение стабильности функционирования организаций;
  • получение международного признания и укрепление имиджа компании на внутреннем и внешнем рынке;
  • достижение адекватности мер по защите от реальных угроз информационной безопасности;
  • предотвращение и(или) снижение ущерба от инцидентов информационной безопасности;
  • демонстрация определенного уровня информационной безопасности для обеспечения конфиденциальности информации заинтересованных сторон;
  • увеличение стоимости нематериальных активов, уменьшение страховых взносов, что делает ценность компании более высокой;
  • снижение операционных издержек и исключения «перекрестного» финансирования в рамках единой СМИБ;
  • расширение возможностей участия компании в крупных государственных контрактах;
  • может существенно облегчить прохождение аудитов на соответствие PCI DSS, ISO/IEC 20000-1.

Что дает внедрение ISO/IEC 27001?

Главным преимуществом создания и внедрения СМИБ в соответствии с требованиями ISO/IEC 27001 является независимое доказательство стабильности и надежности бизнес-процессов организации, в том числе:

 

  • повышение доверия к организации;
  • повышение стабильности функционирования организации в целом;
  • достижение адекватности мер по защите от реальных угроз информационной безопасности;
  • предотвращение и(или) снижение ущерба от инцидентов информационной безопасности.

Экономическими преимуществами являются:

  • независимое подтверждение факта, что в организации должным образом реализован менеджмент рисков, соответствующие процедуры систем менеджмента разработаны и внедрены, постоянно анализируются и улучшаются компетентным и ответственным персоналом;
  • доказательство соблюдения действующих законов и нормативных актов (выполнение системы обязательных требований);
  • доказательство стремления и ответственности высшего руководства к обеспечению системы менеджмента в требуемом объеме для всей организации в соответствии с установленными требованиями;
  • демонстрация определенного уровня «зрелости» систем менеджмента для обеспечения высокого уровня обслуживания клиентов и партнеров организации;
  • демонстрация проведения регулярных аудитов систем менеджмента , оценки результативности и постоянных улучшений.

Полезным преимуществом является эффективное управление аутсорсингом за счет четких критериев оценки поставщиков услуг и ответственности обеих сторон. 
Конкурентным преимуществом является доказательство того, что процессы обеспечения ИБ организации способны удовлетворять потребности внешних пользователей в долгосрочной перспективе, риски оценены и управляются. 

Сертификация СМИБ на соответствие требованиям ISO/IEC 27001 соответственно – единственное общепринятое в мировой практике подтверждение соответствия международным требованиям. Статистика гласит, что организации, обладающие международными сертификатами соответствия стандартам СМИБ, получают скидки, сопоставимые с затратами на проведение сертификации.

 

ПОЧЕМУ БЕЛПРОЕКТКОНСАЛТИНГ? 

Обратившись к нам за разработкой системы менеджмента информационной безопасности по ISO/IEC 27001 Вы можете получить:

  • Подтверждение соответствия системы менеджмента информационной безопасности со стороны ведущего в России органа по сертификации с международной аккредитацией ANAB (Национальный Совет по аккредитации США - ANAB (American National Accreditation Board));
  • Сертификат соответствия требованиям национального стандарта РФ ГОСТ Р ИСО/МЭК 27001-2006;
  • Сертификат соответствия требованиям ISO/IEC 27001:2013 Международной сети органов по сертификации IQNet;
  • Возможность пройти сертификацию интегрированной системы менеджмента на соответствие требованиям 2-м и более стандартам;
  • Возможность воспользоваться процедурой трансферта;

 

ОБЩИЙ ПЛАН РАБОТ И РАЗРАБАТЫВАЕМАЯ НАМИ ДОКУМЕНТАЦИЯ 

  • Предварительное определение области действия СМИБ в соответствии с требованиями ISO/IEC 27001:2013 (проведение анкетирования для локализации и выявления  наиболее критичных бизнес-процессов с точки зрения ИБ );
  • Заключение договора на разработку и внедрение СМИБ по ISO/IEC 27001:2013;
  • Ознакомление с документами по основной  деятельности ЗАКАЗЧИКА, в том числе со структурой управления, уставом, штатным расписанием, лицензиями, видами работ 
  • Определение области действия СМИБ и перечня документации, необходимой для  системы менеджмента информационной безопасности 
  • Составление программы по разработке, внедрению и сертификации системы менеджмента информационной безопасности
  • Разработка  документации СМИБ и организационно-распорядительной документации:

 

  • Методическая помощь в разработке организационно-распорядительной документации по внедрению и поддержанию в рабочем состоянии системы менеджмента качества:

-Приказ о создании СМИБ;

-Анализ Приложения А (Базовые цели и средства управления ISO/IEC 27001:2013 на определение перечня необходимых документов в соответствии с фактической областью действия СМИБ);

Проекты Положений, Политик  СМИБ и консультирование по их внедрению:
- Политика информационной безопасности ( 5.2, 6.2)
- Политика управления доступом (А.9.1.1)

- Политика безопасности у поставщика (А.15.1.1)
 
  • Разработка документации СМИБ:
-СТП «Управление документацией»- Описание процессов «СМИБ процессов, функционирующих  в области действия сертификации »
-СТП «Внутренний аудит»
-Процедура по оценке и обработке рисков (СТП или SWOT-анализ)
-Отчет об оценке рисков
-План устранения рисков
-СТП  «Управление записями»
-СТП «Порядок и устранение неисправностей»
-СТП «Управление инцидентами»
-СТП «Контроль доступа»
-СТП «Персонал и СМИБ»
-СТП «Непрерывность бизнеса»
-СТП «Управление активами СМИБ»
-СТП «Соответствие законодательным  и договорным требованиям»
-СТП «Принципы инжиниринга безопасных систем»
-СТП «Безопасность информационных систем»
-СТП «Безопасность систем связи»
-СТП «Отношения с поставщиками»
-Руководство по СМИБ
-Приказы на введение в действие документов СМИБ
  • Оказание методической помощи в организации планирования обучения по требованиям СМК (план обучения);
  • Оказание методической помощи по унификации и упорядочению работы с должностными инструкциями персонала и Положениями о подразделениях (при необходимости) в части выполнения требований СМИБ;
  • Методическая помощь по созданию группы внутренних аудиторов Организации в соответствии с требованиями  ISO /IEC 27001:2013;
  • Совещание с высшим руководством Организации и группой аудиторов по требованиям и принципам проведения внутренних аудитов;
  • Методическая помощь в организации проведения внутренних аудитов;
  • Совместное проведение  внутреннего аудита СМИБ Организации  на соответствие требованиям МС ISO/IEC 27001:2013;
  • Методическая помощь в документальном оформлении результатов внутреннего аудита;
  • Совещание с высшим руководством Организации и группой аудиторов по результатам проведения внутреннего аудита;
  • Оказание методической помощи по составлению отчета(ов) по мониторингу и анализу информационной безопасности локализованных в области действия СМИБ процесса(ов)  ;
  • Оказание методической помощи по составлению отчета(ов) по анализу функционирования СМИБ  со стороны высшего руководства;
  • Оказание методической помощи по подаче документов на сертификацию;
  • Оказание методической помощи при проведении сертификационного аудита.

 

В зависимости от вида деятельности организации и локализации системы менеджмента информационной безопасности по её бизнесс-процессам перечень работ и разрабатываемых документов может быть изменён!

 

 

 

Задать свой вопрос