В отрыве от целей и задач бизнеса специалисты по информационной безопасности (ИБ) не могут оценить, что критично для компании и требует защиты в первую очередь. При этом оценить достаточность ресурсов на безопасность нетривиальная задача для руководства – важно соблюдать баланс между предотвращением инцидентов и предоставляемым финансированием. Эти вопросы требуют как понимания специалистами по ИБ специфики компании и ее целей, так и вовлечение руководства и сотрудников компании в обеспечение ИБ.
Как же наладить коммуникацию между ИБ и бизнесом? Предлагаем обратиться к стандарту ISO 27001, содержащему общепризнанные подходы к управлению информационной безопасностью.
Что такое стандарт ISO 27001?
ISO 27001 – это международный стандарт ISO/IEC 27001:2022 (далее – Стандарт, ISO 27001), который содержит требования к системе управления информационной безопасностью (СУИБ). Внедрение Стандарта помогает организациям систематически и последовательно построить защиту своих активов – конфиденциальной информации, инфраструктуры и людских ресурсов.
Стандарт был разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). В России действует идентичиный международному стандарт – ГОСТ Р ИСО/МЭК 27001-2021. Актуальная международная версия Стандарта – ISO/IEC 27001:2022.
Пять важных фактов об ISO 27001
- Универсальность: ISO 27001 содержит требования и рекомендации по построению системы управления ИБ (СУИБ или СМИБ), которые можно реализовать в любой организации – некоммерческой или коммерческой, с любой формой собственности – государственной или частной, вне зависимости от размера и количества сотрудников.
- Риск ориентированный подход: эффективное управление ИБ невозможно без оценки рисков, то есть выявления возможных негативных событий, которые влияют на деятельность организации. По результатам такой оценки организация может выбирать, как обеспечивать защиту своих активов и каким направлениям ИБ стоит отдать приоритет.
- Не только IT: управление информационной безопасностью охватывает не только ИТ-инфраструктуру и информационные системы, но и бизнес-процессы организации, а также учитывает контекст организации – внешние и внутренние факторы, влияющие на организацию, например, конкурентную среду и требования регуляторов.
- Вовлечение руководства: построение СУИБ невозможно без вовлеченности топ-менеджемента организации. Руководство необходимо для оценки результативности СУИБ, принятия ключевых решений и выделения требуемых ресурсов.
- Независимая оценка ИБ: сертификат соответствия СУИБ является инструментом для повышения доверия, демонстрируя, что представляемые продукты и услуги отвечают потребностям заказчиков в области информационной безопасности.
Как получить сертификат ISO 27001. Пошаговая инструкция
- Провести оценку текущего состояния системы управления информационной безопасностью и ее соответствие требованиям Стандарта
- Составить план внедрения СУИБ, включающий основные этапы дальнейших работ определение области действия СУИБ, разработку процедур, оценку рисков ИБ и выбор мер по управлению рисками
- Определить область действия СУИБ и контекст, в котором функционирует организация
- Разработать процедуры управления ИБ в соответствии с требованиями Стандарта
- Провести оценку рисков ИБ и выбрать меры по управлению рисками из приложения А к Стандарту
- Разработать процедуры обеспечения ИБ в соответствии с выбранными мерами защиты
- Начать эксплуатировать СУИБ в соответствии с процедурами, обучать персонал и сохранять свидетельства реализации процедур
- По результатам эксплуатации СУИБ на протяжении как минимум 3-6 месяцев провести внутренний аудит и исправить выявленные недостатки
- Выбрать аккредитованный сертифицирующий орган, подать заявку на сертификацию и запланировать сертификационный аудит
- Успешно пройти сертификационный аудит, состоящий из двух этапов: проверка документации и оценка соответствия “на месте”
- Получить сертификат соответствия СУИБ требованиям ISO/IEC 27001
- Проходить регулярные надзорные аудиты со стороны сертифицирующего органа для продления сертификата
Рекомендации по получению сертификации
- Подготовка: заранее оцените требуемые ресурсы для построения СУИБ и обеспечения ее функционирования
- Консультации: привлекайте опытных консультантов по информационной безопасности если вам необходима экспертиза. «Информзащита» входит в число партнеров, например, одной из ведущих сертифицирующих по требованиям Стандарта компаний – TUV Austria
- Обучение: регулярно проводите обучение и повышение квалификации сотрудников в области информационной безопасности
- Коммуникация: поддерживайте открытое общение по вопросам ИБ между работниками всех уровней в компании
- Постоянное улучшение: внедряйте СУИБ постепенно, чтобы избежать крупных единовременных затрат. Например, можно ограничить область действия СУИБ наиболее значимыми для бизнеса подразделениями и бизнес-процессами
- Никаких формальностей: избегайте “покупки” номинального сертификата, которая на текущий момент предлагается на рынке услуг по ИБ. Номинальный сертификат не несет ценности с точки зрения повышения уровня ИБ, эффективного распределения ресурсов на защиту активов и построения коммуникаций внутри организации по вопросам обеспечения ИБ.
Обязательна ли сертификация по требованиям ISO 27001?
Сертификация СУИБ по требованиям ISO 27001 является добровольной. Сертификат нужен организациям, стремящимся защитить свои активы и повысить доверие клиентов и партнеров. Однако для некоторых отраслей и типов бизнеса наличие сертификации является требованием клиентов, партнеров или регулирующих органов. Кроме того, наличие сертификата может значительно повысить конкурентоспособность компании на рынке.
Наши специалисты ответят на любой интересующий вопрос по услуге.