- ОБЩАЯ ИНФОРМАЦИЯ
- ИСТОРИЯ СТАНДАРТА
- СЕРТИФИКАЦИЯ ISO/IEC 27001
- СТРУКТУРА СТАНДАРТА
- ИНЦИДЕНТЫ ИБ И ИХ ПОСЛЕДСТВИЯ
- ВЫГОДЫ ОТ ВНЕДРЕНИЯ (СЕРТИФИКАЦИИ)
- ПОЧЕМУ БЕЛПРОЕКТКОНСАЛТИНГ?
- НАШИ КЛИЕНТЫ ПО РАЗРАБОТКЕ И СЕРТИФИКАЦИИ СМИБ ISO/IEC 27001 (СТБ ISO/IEC 27001)
- ОБЩИЙ ПЛАН РАБОТ И РАЗРАБАТЫВАЕМАЯ ДОКУМЕНТАЦИЯ СМИБ
- НАШИ СЕМИНАРЫ ПО IS0/IEC 27001
- НОВЫЙ СЕМИНАР ПО НАЦИОНАЛЬНОМУ ЗАКОНОДАТЕЛЬСТВУ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- ОНЛАЙН-ЗАЯВКА НА РАЗРАБОТКУ СМИБ ПО ISO/IEC 27001
ОБЩАЯ ИНФОРМАЦИЯ
Вопросы обеспечения информационной безопасности (ИБ) для современной организации являются жизненно важными. Наличие системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта ISO/IEC 27001 поможет организации сберечь её активы и обеспечить целостность, надежность и конфиденциальность информации.
С 2005 г. сертификационный аудит на соответствие требованиям стандарта ISO/IEC 27001 прошло более 20 тыс. компаний по всему миру (по данным IRCA). Стандарт 27001 – источник лучших практик при проектировании систем управления, применим практически к любой организации, независимо от формы собственности, вида деятельности, размера и внешних условий. Он нейтрален в технологическом плане и всегда оставляет возможность выбора технологий.
ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC27 Объединенного технического комитета JTC 1. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).
Назначение стандарта
В стандарте ISO/IEC 27001 собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).
Основные задачи Стандарта:
- установление единых требований по обеспечению информационной безопасности организаций;
- обеспечение взаимодействие руководства и сотрудников;
- повышение эффективности мероприятий по обеспечению и поддержанию информационной безопасности организаций.
Цель стандарта
Цель СМИБ - выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.
Основные понятия
- Информационная безопасность - сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.
- Конфиденциальность - обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).
- Целостность - обеспечение точности и полноты информации, а также методов её обработки.
- Доступность - обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).
Само понятие «защиты информации» трактуется международным стандартом как обеспечение конфиденциальности, целостности и доступности информации. Основа стандарта ISO/IEC 27001 — система управления рисками, связанными с информацией. Система управления рисками позволяет получать ответы на следующие вопросы:
- на каком направлении информационной безопасности требуется сосредоточить внимание;
- сколько времени и средств можно потратить на данное техническое решение для защиты информации.
Система менеджмента информационной безопасности (СМИБ) – часть общей системы управления, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации.
Основные элементы системы ИБ:
- защита от несанкционированного доступа (НСД) к системам;
- в том числе и внутренняя защита от НСД сотрудников организации;
- авторизация и аутентификация;
- защита каналов передачи данных, обеспечение целостности;
- обеспечение актуальности данных при обмене информацией с клиентами;
- управление электронным документооборотом;
- управление инцидентами ИБ;
- управление непрерывностью ведения бизнеса;
- внутренний и внешний аудит системы ИБ.
ИСТОРИЯ СТАНДАРТА
- В 1992 г. Министерство торговли и промышленности Великобритании опубликовало Кодекс управления информационной безопасностью (Code of Practice for Information Security Management).
- В 1995 г. Британский институт стандартов (BSI) принял Кодекс управления информационной безопасностью в качестве национального стандарта Великобритании и зарегистрировал его под номером BS 7799 - Part 1.
- В 1998 г. BSI публикует стандарт BS7799-2, состоящий из двух частей, одна из которых включила в себя свод практических правил, а другая – требования к системам менеджмента информационной безопасности. В стандарте была представлена процедура совершенствования мер обеспечения ИБ, в соответствии с циклом Деминга (Plan - Do - Check - Act), а также системный подход к управлению мерами.
- В процессе следующих пересмотров первая часть была опубликована как BS 7799:1999, Часть1. В 1999 году эта версия стандарта была переработана и передана в Международную Организацию по Сертификации.
- В 2000 г. утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005.
- В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 Part 2 Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью). Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».
- В 2005 г. стандарт ISO/IEC 17799 был включен в линейку стандартов 27-й серии и получил новый номер - ISO/IEC 27002:2005.
- 25 сентября 2013 года был опубликован обновленный стандарт ISO/IEC 27001:2013 «Системы Менеджмента Информационной Безопасности. Требования» (Information security management systems — Requirements). Изменения коснулись как структуры стандарта, так и требований.
СТРУКТУРА СТАНДАРТА
ISO/IEC 27001 представляет собой перечень требований к СМИБ, обязательных для сертификации.
ISO/IEC 27001:2005 |
ISO/IEC 27001:2013 |
0. Введение |
0. Введение |
В Приложении А стандарта приведен перечень методов управления.
ISO/IEC 27001:2005 |
ISO/IEC 27001:2013 |
А.5 Политика в области безопасности |
A.5 Политики информационной безопасности |
Требования «Приложения А» являются обязательными для выполнения, но стандарт позволяет исключить направления, которые невозможно применить на предприятии.
Стандарт ISO 27001 обеспечивает:
- определение целей и представление о направлении и принципах деятельности относительно информационной безопасности;
- определение подходов к оценке и управлению рисками в организации;
- управление информационной безопасностью в соответствии с применимым законодательством и нормативными требованиями;
- использование единого подхода при создании, внедрении, эксплуатации, мониторинге, анализе, поддержке и совершенствовании системы менеджмента с тем, чтобы цели в области информационной безопасности были достигнуты;
- определение процессов системы менеджмента информационной безопасности;
- определение статуса мероприятий по обеспечению информационной безопасности;
- использование внутренних и внешних аудитов для определения степени соответствия системы менеджмента информационной безопасности требованиям стандарта;
- предоставление адекватной информации партнерам и другим заинтересованным сторонам о политике информационной безопасности.
ВЫГОДЫ ОТ ВНЕДРЕНИЯ (СЕРТИФИКАЦИИ)
- повышение доверия клиентов, партнеров и других заинтересованных сторон;
- повышение стабильности функционирования организаций;
- получение международного признания и укрепление имиджа компании на внутреннем и внешнем рынке;
- достижение адекватности мер по защите от реальных угроз информационной безопасности;
- предотвращение и(или) снижение ущерба от инцидентов информационной безопасности;
- демонстрация определенного уровня информационной безопасности для обеспечения конфиденциальности информации заинтересованных сторон;
- увеличение стоимости нематериальных активов, уменьшение страховых взносов, что делает ценность компании более высокой;
- снижение операционных издержек и исключения «перекрестного» финансирования в рамках единой СМИБ;
- расширение возможностей участия компании в крупных государственных контрактах;
- может существенно облегчить прохождение аудитов на соответствие PCI DSS, ISO/IEC 20000-1.
Что дает внедрение ISO/IEC 27001?
Главным преимуществом создания и внедрения СМИБ в соответствии с требованиями ISO/IEC 27001 является независимое доказательство стабильности и надежности бизнес-процессов организации, в том числе:
- повышение доверия к организации;
- повышение стабильности функционирования организации в целом;
- достижение адекватности мер по защите от реальных угроз информационной безопасности;
- предотвращение и(или) снижение ущерба от инцидентов информационной безопасности.
Экономическими преимуществами являются:
- независимое подтверждение факта, что в организации должным образом реализован менеджмент рисков, соответствующие процедуры систем менеджмента разработаны и внедрены, постоянно анализируются и улучшаются компетентным и ответственным персоналом;
- доказательство соблюдения действующих законов и нормативных актов (выполнение системы обязательных требований);
- доказательство стремления и ответственности высшего руководства к обеспечению системы менеджмента в требуемом объеме для всей организации в соответствии с установленными требованиями;
- демонстрация определенного уровня «зрелости» систем менеджмента для обеспечения высокого уровня обслуживания клиентов и партнеров организации;
- демонстрация проведения регулярных аудитов систем менеджмента , оценки результативности и постоянных улучшений.
Полезным преимуществом является эффективное управление аутсорсингом за счет четких критериев оценки поставщиков услуг и ответственности обеих сторон.
Конкурентным преимуществом является доказательство того, что процессы обеспечения ИБ организации способны удовлетворять потребности внешних пользователей в долгосрочной перспективе, риски оценены и управляются.
Сертификация СМИБ на соответствие требованиям ISO/IEC 27001 соответственно – единственное общепринятое в мировой практике подтверждение соответствия международным требованиям. Статистика гласит, что организации, обладающие международными сертификатами соответствия стандартам СМИБ, получают скидки, сопоставимые с затратами на проведение сертификации.
ПОЧЕМУ БЕЛПРОЕКТКОНСАЛТИНГ?
Обратившись к нам за разработкой системы менеджмента информационной безопасности по ISO/IEC 27001 Вы можете получить:
- Подтверждение соответствия системы менеджмента информационной безопасности со стороны ведущего в России органа по сертификации с международной аккредитацией ANAB (Национальный Совет по аккредитации США - ANAB (American National Accreditation Board)), а также ведущих европейских органов по сертификации с аккредитацией Национального органа по аккредитации ФРГ DAKKS (NATIONALE AKKREDITIERUNGSSTELLE DER BUNDESRESPUBLIK DEUTSCHLAND);
- Сертификат соответствия требованиям национального стандарта РФ ГОСТ Р ИСО/МЭК 27001-2006;
- Сертификат соответствия требованиям ISO/IEC 27001:2013 Международной сети органов по сертификации IQNet;
- Возможность пройти сертификацию интегрированной системы менеджмента на соответствие требованиям 2-м и более стандартам;
- Возможность воспользоваться процедурой трансферта;
ОБЩИЙ ПЛАН РАБОТ И РАЗРАБАТЫВАЕМАЯ НАМИ ДОКУМЕНТАЦИЯ
- Предварительное определение области действия СМИБ в соответствии с требованиями ISO/IEC 27001:2013 (проведение анкетирования для локализации и выявления наиболее критичных бизнес-процессов с точки зрения ИБ );
- Заключение договора на разработку и внедрение СМИБ по ISO/IEC 27001:2013;
- Ознакомление с документами по основной деятельности ЗАКАЗЧИКА, в том числе со структурой управления, уставом, штатным расписанием, лицензиями, видами работ;
- Определение области действия СМИБ и перечня документации, необходимой для системы менеджмента информационной безопасности;
- Составление программы по разработке, внедрению и сертификации системы менеджмента информационной безопасности;
- Разработка документации СМИБ и организационно-распорядительной документации:
- Методическая помощь в разработке организационно-распорядительной документации по внедрению и поддержанию в рабочем состоянии системы менеджмента качества:
-Приказ о создании СМИБ;
-Анализ Приложения А (Базовые цели и средства управления ISO/IEC 27001:2013 на определение перечня необходимых документов в соответствии с фактической областью действия СМИБ);
- Политика безопасности взаимодействия с поставщиками (А.15.1.1)
- Разработка документации СМИБ:
- Методика по оценке и управлению рисками
-Отчет об оценке рисков
-План устранения рисков
-СТП «Управление записями»
-СТП «Порядок и устранение неисправностей»
-СТП «Управление инцидентами»
-СТП «Контроль доступа»
-СТП «Персонал и СМИБ»
-СТП «Непрерывность бизнеса»
-СТП «Управление активами СМИБ»
-СТП «Соответствие законодательным и договорным требованиям»
-СТП «Принципы инжиниринга безопасных систем»
-СТП «Безопасность информационных систем»
-СТП «Безопасность систем связи»
-СТП «Отношения с поставщиками»
-Руководство по СМИБ
- Оказание методической помощи в организации планирования обучения по требованиям СМИБ (план обучения);
- Оказание методической помощи по унификации и упорядочению работы с должностными инструкциями персонала и Положениями о подразделениях (при необходимости) в части выполнения требований СМИБ;
- Методическая помощь по созданию группы внутренних аудиторов Организации в соответствии с требованиями ISO/IEC 27007:2011;
- Совещание с высшим руководством Организации и группой аудиторов по требованиям и принципам проведения внутренних аудитов;
- Методическая помощь в организации проведения внутренних аудитов;
- Совместное проведение внутреннего аудита СМИБ Организации на соответствие требованиям МС ISO/IEC 27001:2013;
- Методическая помощь в документальном оформлении результатов внутреннего аудита;
- Совещание с высшим руководством Организации и группой аудиторов по результатам проведения внутреннего аудита;
- Оказание методической помощи по составлению отчета(ов) по мониторингу и анализу информационной безопасности локализованных в области действия СМИБ процесса(ов);
- Оказание методической помощи по составлению отчета(ов) по анализу функционирования СМИБ со стороны высшего руководства;
- Оказание методической помощи по подаче документов на сертификацию;
- Оказание методической помощи при проведении сертификационного аудита.
В зависимости от вида деятельности организации и локализации системы менеджмента информационной безопасности по её бизнесс-процессам перечень работ и разрабатываемых документов может быть изменён!
ЗАПИСАТЬСЯ НА СЕМИНАР ИЛИ ЗАПРОСИТЬ ПРОВЕДЕНИЕ КОРПОРАТИВНОГО ОБУЧЕНИЯ
ВИДЕОИНСТРУКЦИИ ПО РАБОТЕ С СЕРВИСОМ CLS И ПРОХОЖДЕНИЮ ЭЛЕКТРОННОГО КУРСА ПО СИСТЕМАМ МЕНЕДЖМЕНТА:
- ОНЛАЙН-РЕГИСТРАЦИЯ НА СЕМИНАР
- НАШ СЕРВИС ДИСТАНЦИОННОГО ОБУЧЕНИЯ И АВТОМАТИЗАЦИИ УЧЕБНЫХ ПРОЦЕССОВ
- АНОНСЫ НАШИХ СЕМИНАРОВ НА НА CYBER LEARN SYSTEMS В ВИДЕ ЭЛЕКТРОННЫХ КУРСОВ НА 3 МЕСЯЦА
- ОНЛАЙН-ЗАЯВКА НА РАЗРАБОТКУ СИСТЕМЫ МЕНЕДЖМЕНТА
- График проведения семинаров/вебинаров по разработке и внедрению систем менеджмента и онлайн-конференций
- Скачать заявку на аутсорсинг, разработку СМК, переработку документов СМК
- Перечень основных клиентов по разработке и внедрению систем менеджмента
- Какое признание Вашей компании мы обеспечиваем?
CYBER LEARN SYSTEMS - PROMO :