Стандарт ISO IEC 27001

Екатерина Лапина

эксперт по сертификации

Готова проконсультировать по любым вопросам касаемо разрешительной документации

В современном мире информация играет огромнейшую роль. Промышленный шпионаж во всех сферах экономики выходит на новый уровень. Для слежки за конкурентами применяют самые новейшие технические разработки.

В таких условиях, для любого серьезного предприятия, вопрос обеспечения безопасности информации выходит на одно из первых мест.

Чтобы помочь компаниям выработать стратегию в данном вопросе, Международная организация разработала стандарт ISO/IEC 27001, который поможет спроектировать систему управления, способную защитить важную информацию на предприятии.

Немного из истории стандарта 27001

Первые попытки структурировать международные знания в данном вопросе предприняли британцы. В конце XX века Министерство торговли выпустило Кодекс управления информационной безопасностью. Через три года данный документ стал национальным стандартом.

В 1999 году на данный стандарт обратила внимание Международная организация по стандартизации. И уже через год был предложен межнациональный стандарт ISO/IEC 17799.

В 2005 году формат был немного изменен. А все стандарты имеющие отношение к информационной безопасности были включены в линейку 27-й серии.

После этого стандарт несколько раз дорабатывали, переделывали и, наконец, в 2013 году опубликовали полностью новую версию. Текущий актуальный документ носит название ISO IEC 27001 2013.

Зачем нужен стандарт 27001

В данном стандарте изложены описания основных мировых тенденций в части управления безопасностью информационных процессов. ИСО 27001 раскрывает требования, которые необходимо выполнять, чтобы защитить информационные ресурсы компании. Данный стандарт позволяет в любой организации разработать, внедрить и постоянно улучшать Систему Менеджмента Информационной Безопасности (СМИБ).

Целью СМИБ является выработка определенных мер, выполнение которых позволяет защитить информационные активы любой компании и дает гарантии для заинтересованных сторон.

Основные понятия, используемые в СМИБ:

Доступность информации – возможность получить доступ к ресурсам тогда, когда это необходимо;
Целостность информации – гарантия полноты и точности собранной и необходимой информации;
Конфиденциальность информации – получение доступа к любым документам только для определенного круга лиц, которым данная информация необходима.

Само понятие «защита информации» описывается в мировой практике как обеспечение трех вышеназванных пунктов.

Основные элементы СМИБ:

управление всеми электронными документами, а также их хождением в компании;
защита каналов, по которым передается информация;
авторизация и аутентификация пользователей;
защита информации и каналов от несанкционированного доступа (в том числе внутреннего);
разбор любых инцидентов связанных с безопасностью информации;
контроль за правильным функционированием СМИБ (аудит системы).

Основные задачи, которые решает стандарт 27001 на предприятии:

организация взаимодействия разных структур компании в вопросе информации;
разработка единых нормативов к документообороту;
повышение эффективности защиты информационной среды.

В результате решения данных задач можно не только добиться получения сертификата, но и получить ряд преимуществ для самого предприятия.

Интеграция стандарта ИСО 27001 в общую систему менеджмента

Стандарт ISO IEC 27001 гармонично вписывается в общую линейку стандартов ИСО. Основные принципы и процессный подход взяты из ISO 9001 и ISO 14001. Более того, часть документов и процедур аналогичны. Поэтому компания, которая проходит аудит на предмет сертификации по стандарту 9001, в будущем сможет использовать данные наработки при получении сертификата 27001.

Помимо этого ISO IEC 27001 2013 может быть интегрирована и с другими международными стандартами. В частности, есть определенные пересечения с ИСО 22301 (Непрерывность бизнеса) и с ИСО 20000 (Менеджмент IT-услуг).