Информация и информационные системы являются жизненно важными активами любой конкурентоспособной организации. Неправомерные или случайные действия по уничтожению, изменению, блокированию, копированию и распространению информации приводят к серьезному материальному или репутационному ущербу для организации, ее контрагентов и подконтрольных организаций.
Информация может быть представлена в различных формах: в электронном виде на серверах и персональных компьютерах, передаваемая по вычислительным сетям; на бумажных носителях; в виде устной речи и пр. Построение системы управления информационной безопасностью в соответствии с требованиями общепризнанного международного стандарта ISO 27001 предоставляет возможность комплексной защиты всех форм и средств обработки информации в целях обеспечения ее конфиденциальности, целостности и доступности.
Ключевыми плюсами стандарта ISO 27001 являются:
- Применим к любым организациям
Стандарт не несет в себе отраслевой специфики, и применим к организациям любого размера.
- Не навязывает средства и меры защиты
Стандарт описывает систему управления, в рамках которой защита информации строится на основе оценки рисков. При этом организация должна самостоятельно определить методику оценки рисков и уровень рисков, приемлемых для нее. Это позволяет определить ключевые направления обеспечения безопасности, расходовать ресурсы только на те организационные и технические защитные меры, которые действительно позволят снизить риски бизнеса, связанные с нарушением информационной безопасности защищаемых активов.
- Обеспечивает соответствие ИБ целям бизнеса и предусматривает постоянное совершенствование системы управления информационной безопасностью
Стандарт разработан на базе известного стандарта на системы менеджмента качества – ISO 9001, и включает в число обязательных требований наличие таких процессов, как обучение персонала, внутренние аудиты, анализ со стороны руководства, управление корректирующими и предупреждающими действиями, что обеспечивает возможность проведения периодического контроля соответствия реализованных защитных мер целям и требованиям не только подразделения ИБ, но и бизнеса в целом.
Среди преимуществ, которые получают организации после внедрения системы управления информационной безопасностью и прохождения сертификационного аудита на соответствие требованиям стандарта ISO 27001, стоит отметить:
- повышение доверия клиентов, партнеров и других заинтересованных сторон за счет подтверждения соответствия определенному уровню защищенности информации;
- укрепление имиджа организации на внутреннем и внешнем рынке;
- повышение стабильности функционирования организации и уровня управляемости;
- интеграция процессов управления информационной безопасностью в общую систему корпоративного управления организации;
- четкое определение ролей и ответственности по обеспечению информационной безопасности для всех вовлеченных лиц;
- адекватность выбранных защитных мер реальным угрозам информационной безопасности;
- регулярная независимая оценка действующей системы управления информационной безопасности;
- предотвращение и/или снижение ущерба от инцидентов информационной безопасности;
- снижение операционных издержек и исключение «перекрестного» финансирования в рамках единой системы управления информационной безопасности;
- улучшение:
- взаимодействия между бизнес-сектором, ИТ и ИБ;
- в обеспечении непрерывности бизнес-процессов;
- применяемых методов обеспечения информационной безопасности с учетом практик, подтвердивших свою эффективность (best practice);
- в обеспечении прозрачности управления информационной безопасности организации для руководства организации;
- уровня соответствия управления информационной безопасностью организации мировым практикам управления;
- в эффективности использования времени и ресурсов;
- облегчение внедрения иных стандартов в области обеспечения информационной безопасности (например, PCI DSS) и в области систем управления (например, ISO/IEC 20000-1, ISO 22301);
- повышение компетентности персонала в области информационной безопасности и снижение влияния человеческого фактора на бизнес-процессы организации.
Кроме того, после внедрения в организации системы управления информационной безопасностью и прохождения сертификационного аудита на соответствие требованиям стандарта ISO 27001 преимущества также получают:
- контрагенты организации за счет:
- гарантии выполнения предусмотренных законодательством и предъявляемых самими контрагентами требований по информационной безопасности;
- собственники и инвесторы организации за счет:
- роста конкурентоспособности организации на российских и международных рынках;
- повышения инвестиционной привлекательности организации;
- увеличения стоимости нематериальных активов;
- увеличения доли рынка и улучшения результатов деятельности организации;
- повышения капитализации организации;
- увеличения шансов на победу в тендерах и конкурсах;
- сотрудники ИБ-службы организации за счет:
- снижения количества вопросов и специфичных требований в области информационной безопасности со стороны клиентов организации (благодаря наличию признаваемого сертификата соответствия, выданного независимой организацией).
Проект по внедрению системы управления информационной безопасностью с последующим выходом на сертификацию состоит из следующих этапов:
- Проведение анализа расхождений действующих процессов управления информационной безопасности организации с требованиями стандарта ISO 27001 и разработка Плана внедрения системы управления информационной безопасностью;
- Определение и документирование Области применения системы управления информационной безопасностью организации;
- Разработка/доработка комплекта документации системы управления информационной безопасностью в соответствии с требованиями стандарта ISO 27001;
- Проведение оценки рисков информационной безопасности в рамках утвержденной области применения системы управления информационной безопасностью и выбор средств и мер защиты информации, наиболее подходящих актуальным рискам информационной безопасности;
- Реализация с нашим участием и под нашим контролем согласованного Плана внедрения системы управления информационной безопасностью, включая внедрение процессов обеспечения информационной безопасности;
- Внедрение с нашим участием и под нашим контролем выбранных средств и мер защиты информации;
- Подтверждение корректности реализации согласованного Плана внедрения системы управления информационной безопасностью в ходе предсертификационных проверок совместно с сотрудниками организации;
- Сертификация системы управления информационной безопасностью на соответствие требованиям стандарта ISO 27001.