В отрыве от целей и задач бизнеса специалисты по информационной безопасности (ИБ) не могут оценить, что критично для компании и требует защиты в первую очередь. При этом оценить достаточность ресурсов на безопасность нетривиальная задача для руководства – важно соблюдать баланс между предотвращением инцидентов и предоставляемым финансированием. Эти вопросы требуют как понимания специалистами по ИБ специфики компании и ее целей, так и вовлечение руководства и сотрудников компании в обеспечение ИБ.
Как же наладить коммуникацию между ИБ и бизнесом? Предлагаем обратиться к стандарту ISO 27001, содержащему общепризнанные подходы к управлению информационной безопасностью.
Что такое стандарт ISO 27001?
ISO 27001 – это международный стандарт ISO/IEC 27001:2022 (далее – Стандарт, ISO 27001), который содержит требования к системе управления информационной безопасностью (СУИБ). Внедрение Стандарта помогает организациям систематически и последовательно построить защиту своих активов – конфиденциальной информации, инфраструктуры и людских ресурсов.
Стандарт был разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). В России действует идентичиный международному стандарт – ГОСТ Р ИСО/МЭК 27001-2021. Актуальная международная версия Стандарта – ISO/IEC 27001:2022.
Пять важных фактов об ISO 27001
- Универсальность: ISO 27001 содержит требования и рекомендации по построению системы управления ИБ (СУИБ или СМИБ), которые можно реализовать в любой организации – некоммерческой или коммерческой, с любой формой собственности – государственной или частной, вне зависимости от размера и количества сотрудников.
- Риск ориентированный подход: эффективное управление ИБ невозможно без оценки рисков, то есть выявления возможных негативных событий, которые влияют на деятельность организации. По результатам такой оценки организация может выбирать, как обеспечивать защиту своих активов и каким направлениям ИБ стоит отдать приоритет.
- Не только IT: управление информационной безопасностью охватывает не только ИТ-инфраструктуру и информационные системы, но и бизнес-процессы организации, а также учитывает контекст организации – внешние и внутренние факторы, влияющие на организацию, например, конкурентную среду и требования регуляторов.
- Вовлечение руководства: построение СУИБ невозможно без вовлеченности топ-менеджемента организации. Руководство необходимо для оценки результативности СУИБ, принятия ключевых решений и выделения требуемых ресурсов.
- Независимая оценка ИБ: сертификат соответствия СУИБ является инструментом для повышения доверия, демонстрируя, что представляемые продукты и услуги отвечают потребностям заказчиков в области информационной безопасности.
Как получить сертификат ISO 27001. Пошаговая инструкция
- Провести оценку текущего состояния системы управления информационной безопасностью и ее соответствие требованиям Стандарта
- Составить план внедрения СУИБ, включающий основные этапы дальнейших работ определение области действия СУИБ, разработку процедур, оценку рисков ИБ и выбор мер по управлению рисками
- Определить область действия СУИБ и контекст, в котором функционирует организация
- Разработать процедуры управления ИБ в соответствии с требованиями Стандарта
- Провести оценку рисков ИБ и выбрать меры по управлению рисками из приложения А к Стандарту
- Разработать процедуры обеспечения ИБ в соответствии с выбранными мерами защиты
- Начать эксплуатировать СУИБ в соответствии с процедурами, обучать персонал и сохранять свидетельства реализации процедур
- По результатам эксплуатации СУИБ на протяжении как минимум 3-6 месяцев провести внутренний аудит и исправить выявленные недостатки
- Выбрать аккредитованный сертифицирующий орган, подать заявку на сертификацию и запланировать сертификационный аудит
- Успешно пройти сертификационный аудит, состоящий из двух этапов: проверка документации и оценка соответствия “на месте”
- Получить сертификат соответствия СУИБ требованиям ISO/IEC 27001
- Проходить регулярные надзорные аудиты со стороны сертифицирующего органа для продления сертификата
Рекомендации по получению сертификации
- Подготовка: заранее оцените требуемые ресурсы для построения СУИБ и обеспечения ее функционирования
- Консультации: привлекайте опытных консультантов по информационной безопасности если вам необходима экспертиза. «Информзащита» входит в число партнеров, например, одной из ведущих сертифицирующих по требованиям Стандарта компаний – TUV Austria
- Обучение: регулярно проводите обучение и повышение квалификации сотрудников в области информационной безопасности
- Коммуникация: поддерживайте открытое общение по вопросам ИБ между работниками всех уровней в компании
- Постоянное улучшение: внедряйте СУИБ постепенно, чтобы избежать крупных единовременных затрат. Например, можно ограничить область действия СУИБ наиболее значимыми для бизнеса подразделениями и бизнес-процессами
- Никаких формальностей: избегайте “покупки” номинального сертификата, которая на текущий момент предлагается на рынке услуг по ИБ. Номинальный сертификат не несет ценности с точки зрения повышения уровня ИБ, эффективного распределения ресурсов на защиту активов и построения коммуникаций внутри организации по вопросам обеспечения ИБ.
Обязательна ли сертификация по требованиям ISO 27001?
Сертификация СУИБ по требованиям ISO 27001 является добровольной. Сертификат нужен организациям, стремящимся защитить свои активы и повысить доверие клиентов и партнеров. Однако для некоторых отраслей и типов бизнеса наличие сертификации является требованием клиентов, партнеров или регулирующих органов. Кроме того, наличие сертификата может значительно повысить конкурентоспособность компании на рынке.