+7 (812) 2750512, Санкт-Петербург, наб. Кутузова, 30

Система менеджмента информационной безопасности на основе ISO/IEC 27001

Информация является одним из самых главных деловых ресурсов, который обеспечивает организации добавочную стоимость, и вследствие ценности для организации этого нуждается в защите. «Слабые» места в защите информации могут привести к нарушениям непрерывности деятельности, финансовым потерям, и нанесению ущерба коммерческим операциям.

Стандарт ISO/IEC 27001 определяет процессы, представляющие возможность бизнесу устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации.

Система менеджмента информационной безопасности (СМИБ) — это часть общей системы менеджмента, основанная на управлении  бизнес-рисками  для создания, внедрения, эксплуатации, мониторинга, анализа, поддержания в рабочем состоянии и улучшения информационной безопасности любой организации.

Стандарт ISO/IEC 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут охватываться и другие свойства, такие как аутентичность (достоверность), возможность идентификации, неотказуемость и надежность».

Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи);

Целостность – обеспечение точности и полноты информации, а также методов ее обработки;

Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

ISO/IEC 27001 включает перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации, а стандарт ISO/IEC 27003 выступает в качестве  руководства по реализации системы менеджмента информационной безопасности , которое может использоваться при проектировании механизмов контроля (выборе средств управления), выбираемых организацией для уменьшения рисков информационной безопасности.

Система менеджмента информационной безопасности на основе стандарта ISO/IEC 27001 позволяет:

  • Идентифицировать активы, относящиеся к области применения СМИБ, и определить владельцев этих активов;
  • Оценить негативные воздействия для бизнеса компании, которые могут быть результатом нарушения безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности или доступности активов.
  • Выявлять основные угрозы безопасности для существующих бизнес-процессов;
  • Рассчитывать риски и принимать решения на основе бизнес-целей компании;
  • Обеспечить эффективное управление деятельностью в критичных ситуациях;
  • Осуществлять процесс контроля выполнения политик информационной безопасности (находить и исправлять слабые места в системе информационной безопасности);
  • Определить роли и  ответственность в рамках функционирования СМИБ;
  • Достигнуть снижения и оптимизации затрат для поддержки системы безопасности;
  • Продемонстрировать заинтересованным сторонам (клиентам, партнерам, владельцам бизнеса) свою приверженность для достижения целей информационной безопасности;
  • Получить международное признание и повысить имидж компании;
  • Подчеркнуть прозрачность и чистоту бизнеса по соблюдению законодательных требований благодаря соответствию требованиям стандарта.

Требования стандарта ISO/IEC 27001 имеют общий характер и могут быть использованы широким кругом организаций – малых, средних и больших – коммерческих и индустриальных секторов рынка: финансовом и страховом, в сфере телекоммуникаций, коммунальных услуг, в секторах розничной торговли и производства, различных отраслях сервиса, транспортной сфере, органах власти и многих других.

Настоящий международный стандарт согласован со стандартами  ISO 9001и ISO 14001 и базируется на их основных принципах. Более того, обязательные процедуры стандарта ISO 9001 требуются и стандартом ISO/IEC 27001. Большая часть документированных процедур, требуемая по ISO/IEC 27001, уже может быть разработана, и может использоваться в рамках ISO 9001.

Таким образом, если организация уже имеет систему менеджмента в соответствии, с ISO 9001 или ISO 14001, то предпочтительно осуществлять внедрение ISO/IEC 27001 путем интеграции основных процедур с процедурами уже существующих систем менеджмента, что предполагает значительное снижение внутренних затрат предприятия и стоимости работ по внедрению и сертификации.