ISO/IEC 27001

• ОБЩАЯ ИНФОРМАЦИЯ
• ИСТОРИЯ СТАНДАРТА
• СТРУКТУРА СТАНДАРТА
• ИНЦИДЕНТЫ ИБ И ИХ ПОСЛЕДСТВИЯ
• ВЫГОДЫ ОТ ВНЕДРЕНИЯ (СЕРТИФИКАЦИИ)
• ПОЧЕМУ БЕЛПРОЕКТКОНСАЛТИНГ
• ОБЩИЙ ПЛАН РАБОТ И РАЗРАБАТЫВАЕМАЯ ДОКУМЕНТАЦИЯ СМИБ
• НАШИ СЕМИНАРЫ ПО IS0/IEC 27001
• ОНЛАЙН-ЗАЯВКА НА РАЗРАБОТКУ СМИБ ПО ISO/IEC 27001

ОБЩАЯ ИНФОРМАЦИЯ

Вопросы обеспечения информационной безопасности (ИБ) для современной организации являются жизненно важными. Наличие системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта ISO/IEC 27001 поможет организации сберечь её активы и обеспечить целостность, надежность и конфиденциальность информации.

С 2005 г. сертификационный аудит на соответствие требованиям стандарта ISO/IEC 27001 прошло более 20 тыс. компаний по всему миру (по данным IRCA). Стандарт 27001 – источник лучших практик при проектировании систем управления, применим практически к любой организации, независимо от формы собственности, вида деятельности, размера и внешних условий. Он нейтрален в технологическом плане и всегда оставляет возможность выбора технологий.

ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC27 Объединенного технического комитета JTC 1. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).

Назначение стандарта
В стандарте ISO/IEC 27001  собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).

Основные задачи Стандарта:

• установление единых требований по обеспечению информационной безопасности организаций;
• обеспечение взаимодействие руководства и сотрудников;
• повышение эффективности мероприятий по обеспечению и поддержанию информационной безопасности организаций.

Цель стандарта
Цель СМИБ - выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Основные понятия

• Информационная безопасность - сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.
• Конфиденциальность - обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).
• Целостность - обеспечение точности и полноты информации, а также методов её обработки.
• Доступность - обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Само понятие «защиты информации» трактуется международным стандартом как обеспечение конфиденциальности, целостности и доступности информации. Основа стандарта ISO/IEC 27001 — система управления рисками, связанными с информацией. Система управления рисками позволяет получать ответы на следующие вопросы:

• на каком направлении информационной безопасности требуется сосредоточить внимание;
• сколько времени и средств можно потратить на данное техническое решение для защиты информации.

Система менеджмента информационной безопасности (СМИБ) – часть общей системы управления, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации.

Основные элементы системы ИБ:

• защита от несанкционированного доступа (НСД) к системам;
• в том числе и внутренняя защита от НСД сотрудников организации;
• авторизация и аутентификация;
• защита каналов передачи данных, обеспечение целостности;
• обеспечение актуальности данных при обмене информацией с клиентами;
• управление электронным документооборотом;
• управление инцидентами ИБ;
• управление непрерывностью ведения бизнеса;
• внутренний и внешний аудит системы ИБ.

ИСТОРИЯ СТАНДАРТА

• В 1992 г. Министерство торговли и промышленности Великобритании опубликовало Кодекс управления информационной безопасностью (Code of Practice for Information Security Management).
• В 1995 г. Британский институт стандартов (BSI) принял Кодекс управления информационной безопасностью в качестве национального стандарта Великобритании и зарегистрировал его под номером BS 7799 - Part 1.
• В 1998 г. BSI публикует стандарт BS7799-2, состоящий из двух частей, одна из которых включила в себя свод практических правил, а другая – требования к системам менеджмента информационной безопасности. В стандарте была представлена процедура совершенствования мер обеспечения ИБ, в соответствии с циклом Деминга (Plan - Do - Check - Act), а также системный подход к управлению мерами.
• В процессе следующих пересмотров первая часть была опубликована как BS 7799:1999, Часть1. В 1999 году эта версия стандарта была переработана и передана в Международную Организацию по Сертификации.
• В 2000 г. утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005.
• В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 Part 2 Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью). Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».
• В 2005 г. стандарт ISO/IEC 17799 был включен в линейку стандартов 27-й серии и получил новый номер - ISO/IEC 27002:2005.
• 25 сентября 2013 года был опубликован обновленный стандарт ISO/IEC 27001:2013 «Системы Менеджмента Информационной Безопасности. Требования» (Information security management systems — Requirements). Изменения коснулись как структуры стандарта, так и требований.

СТРУКТУРА СТАНДАРТА

ISO/IEC 27001 представляет собой перечень требований к СМИБ, обязательных для сертификации.

В Приложении А стандарта приведен перечень методов управления.

Требования «Приложения А» являются обязательными для выполнения, но стандарт позволяет исключить направления, которые невозможно применить на предприятии.

Стандарт ISO 27001 обеспечивает:

• определение целей и представление о направлении и принципах деятельности относительно информационной безопасности;
• определение подходов к оценке и управлению рисками в организации;
• управление информационной безопасностью в соответствии с применимым законодательством и нормативными требованиями;
• использование единого подхода при создании, внедрении, эксплуатации, мониторинге, анализе, поддержке и совершенствовании системы менеджмента с тем, чтобы цели в области информационной безопасности были достигнуты;
• определение процессов системы менеджмента информационной безопасности;
• определение статуса мероприятий по обеспечению информационной безопасности;
• использование внутренних и внешних аудитов для определения степени соответствия системы менеджмента информационной безопасности требованиям стандарта;
• предоставление адекватной информации партнерам и другим заинтересованным сторонам о политике информационной безопасности.

ВЫГОДЫ ОТ ВНЕДРЕНИЯ (СЕРТИФИКАЦИИ)

• повышение доверия клиентов, партнеров и других заинтересованных сторон;
• повышение стабильности функционирования организаций;
• получение международного признания и укрепление имиджа компании на внутреннем и внешнем рынке;
• достижение адекватности мер по защите от реальных угроз информационной безопасности;
• предотвращение и(или) снижение ущерба от инцидентов информационной безопасности;
• демонстрация определенного уровня информационной безопасности для обеспечения конфиденциальности информации заинтересованных сторон;
• увеличение стоимости нематериальных активов, уменьшение страховых взносов, что делает ценность компании более высокой;
• снижение операционных издержек и исключения «перекрестного» финансирования в рамках единой СМИБ;
• расширение возможностей участия компании в крупных государственных контрактах;
• может существенно облегчить прохождение аудитов на соответствие PCI DSS, ISO/IEC 20000-1.

Что дает внедрение ISO/IEC 27001?

Главным преимуществом создания и внедрения СМИБ в соответствии с требованиями ISO/IEC 27001 является независимое доказательство стабильности и надежности бизнес-процессов организации, в том числе:

• повышение доверия к организации;
• повышение стабильности функционирования организации в целом;
• достижение адекватности мер по защите от реальных угроз информационной безопасности;
• предотвращение и(или) снижение ущерба от инцидентов информационной безопасности.

Экономическими преимуществами являются:

• независимое подтверждение факта, что в организации должным образом реализован менеджмент рисков, соответствующие процедуры систем менеджмента разработаны и внедрены, постоянно анализируются и улучшаются компетентным и ответственным персоналом;
• доказательство соблюдения действующих законов и нормативных актов (выполнение системы обязательных требований);
• доказательство стремления и ответственности высшего руководства к обеспечению системы менеджмента в требуемом объеме для всей организации в соответствии с установленными требованиями;
• демонстрация определенного уровня «зрелости» систем менеджмента для обеспечения высокого уровня обслуживания клиентов и партнеров организации;
• демонстрация проведения регулярных аудитов систем менеджмента , оценки результативности и постоянных улучшений.

Полезным преимуществом является эффективное управление аутсорсингом за счет четких критериев оценки поставщиков услуг и ответственности обеих сторон.
Конкурентным преимуществом является доказательство того, что процессы обеспечения ИБ организации способны удовлетворять потребности внешних пользователей в долгосрочной перспективе, риски оценены и управляются.

Сертификация СМИБ на соответствие требованиям ISO/IEC 27001 соответственно – единственное общепринятое в мировой практике подтверждение соответствия международным требованиям. Статистика гласит, что организации, обладающие международными сертификатами соответствия стандартам СМИБ, получают скидки, сопоставимые с затратами на проведение сертификации.

ПОЧЕМУ БЕЛПРОЕКТКОНСАЛТИНГ?

Обратившись к нам за разработкой системы менеджмента информационной безопасности по ISO/IEC 27001 Вы можете получить:

• Подтверждение соответствия системы менеджмента информационной безопасности со стороны ведущего в России органа по сертификации с международной аккредитацией ANAB (Национальный Совет по аккредитации США - ANAB (American National Accreditation Board)), а также ведущих европейских органов по сертификации с аккредитацией Национального органа по аккредитации ФРГ DAKKS (NATIONALE AKKREDITIERUNGSSTELLE DER BUNDESRESPUBLIK DEUTSCHLAND);
• Сертификат соответствия требованиям национального стандарта РФ ГОСТ Р ИСО/МЭК 27001-2006;
• Сертификат соответствия требованиям ISO/IEC 27001:2013 Международной сети органов по сертификации IQNet;
• Возможность пройти сертификацию интегрированной системы менеджмента на соответствие требованиям 2-м и более стандартам;
• Возможность воспользоваться процедурой трансферта;

ОБЩИЙ ПЛАН РАБОТ И РАЗРАБАТЫВАЕМАЯ НАМИ ДОКУМЕНТАЦИЯ

• Предварительное определение области действия СМИБ в соответствии с требованиями ISO/IEC 27001:2013 (проведение анкетирования для локализации и выявления наиболее критичных бизнес-процессов с точки зрения ИБ );
• Заключение договора на разработку и внедрение СМИБ по ISO/IEC 27001:2013;
• Ознакомление с документами по основной деятельности ЗАКАЗЧИКА, в том числе со структурой управления, уставом, штатным расписанием, лицензиями, видами работ;
• Определение области действия СМИБ и перечня документации, необходимой для системы менеджмента информационной безопасности;
• Составление программы по разработке, внедрению и сертификации системы менеджмента информационной безопасности;
• Разработка документации СМИБ и организационно-распорядительной документации:

• Методическая помощь в разработке организационно-распорядительной документации по внедрению и поддержанию в рабочем состоянии системы менеджмента качества:

-Приказ о создании СМИБ;


-Анализ Приложения А (Базовые цели и средства управления ISO/IEC 27001:2013 на определение перечня необходимых документов в соответствии с фактической областью действия СМИБ);

• Разработка документации СМИБ:

• Оказание методической помощи в организации планирования обучения по требованиям СМИБ (план обучения);
• Оказание методической помощи по унификации и упорядочению работы с должностными инструкциями персонала и Положениями о подразделениях (при необходимости) в части выполнения требований СМИБ;
• Методическая помощь по созданию группы внутренних аудиторов Организации в соответствии с требованиями ISO/IEC 27007:2011;
• Совещание с высшим руководством Организации и группой аудиторов по требованиям и принципам проведения внутренних аудитов;
• Методическая помощь в организации проведения внутренних аудитов;
• Совместное проведение внутреннего аудита СМИБ Организации на соответствие требованиям МС ISO/IEC 27001:2013;
• Методическая помощь в документальном оформлении результатов внутреннего аудита;
• Совещание с высшим руководством Организации и группой аудиторов по результатам проведения внутреннего аудита;
• Оказание методической помощи по составлению отчета(ов) по мониторингу и анализу информационной безопасности локализованных в области действия СМИБ процесса(ов);
• Оказание методической помощи по составлению отчета(ов) по анализу функционирования СМИБ со стороны высшего руководства;
• Оказание методической помощи по подаче документов на сертификацию;
• Оказание методической помощи при проведении сертификационного аудита.

В зависимости от вида деятельности организации и локализации системы менеджмента информационной безопасности по её бизнесс-процессам перечень работ и разрабатываемых документов может быть изменён!

ОНЛАЙН-ЗАЯВКА НА РАЗРАБОТКУ СИСТЕМЫ  МЕНЕДЖМЕНТА 

• Что такое онлайн-конференции, онлайн-семинары, веб-обучение  и как принять участие?

• График проведения семинаров/вебинаров по разработке и внедрению систем менеджмента и онлайн-конференций

• Скачать заявку на аутсорсинг, разработку СМК, переработку документов СМК 

• Скачать заявку на участие в семинаре-тренинге 

• Перечень основных клиентов по разработке  и внедрению систем менеджмента 

• Какое признание Вашей компании мы обеспечиваем?