Сертификат ГОСТ Р ИСО 27001

Сертификация по стандарту ИСО 27001

Система менеджмента защиты информации

Мы являемся аккредитованным органом по сертификации. Аккредитованы в Федеральном агентстве по техническому регулированию и метрологии.
Регистрационный номер №РОСС RU.31172.04ЖНГ0

Стандарт ISO 27001

Впервые о стандартизации в области информационной безопасности задумались британцы. Их министерство торговли и промышленности, в 1992 году опубликовало собственную разработку – Кодекс информационной безопасности. Именно этот документ и стал основополагающим при дальнейшем создании международного стандарта ISO 27001.

В 1999 году на данный стандарт впервые обратила внимание Международная организации по стандартизации. Однако, это еще был не общеизвестный ныне ISO IEC 27001, а ISO 17799, который перенял нумерацию от государственных органов Великобритании.

И только в 2005 году данный стандарт был включен в линейку 27-й серии и получил свое нынешнее название ISO/IEC 27001:2005.

А в конце сентября 2013 года международная организация представила обновленный документ, который используется во всем мире прямо сейчас. Это ISO 27001 2013 — «Системы Менеджмента Информационной Безопасности. Требования». Таким образом, данный стандарт встал в одну линейку с другими общеизвестными и наиболее часто используемыми стандартами ISO.

ISO IEC 27001: назначение, цель и основные понятия

Стандарт ISO IEC 27001 собрал воедино обще мировые знания, накопленные в сфере управления обеспечения информационной безопасности. Этот документ дает точные требования к системе менеджмента и позволяет организации обеспечить максимальную защиту собственных информационных ресурсов. Это эталонная модель, которая поможет соответствующе подготовленным людям разработать, внедрить и поддерживать на актуальном уровне систему менеджмента информационной безопасности (СМИБ).

Цель данной системы менеджмента – создать такие условия управления безопасностью, которые позволят максимально защитить информационные активы компании и дадут соответствующие гарантии партнерам по бизнесу.

Под информационной безопасностью здесь и далее подразумевается – сохранение конфиденциальности, целостности и доступности информации.

• Конфиденциальность – обозначает, что доступ к информации получат только те люди, которые имеют на то соответствующие полномочия;
• Целостность – любая информация должна быть максимально полной и точной, а методы обработки достаточными;
• Доступность – авторизованные пользователи, имеющие право на получение определенной информации, должны получать ее в любое время.

Помимо вышеупомянутых понятий, в СМИБ участвуют еще и такие: подлинность, достоверность и невозможность отказа от авторства.

При этом основные требования ISO 27001 2006 направлены на то, чтобы определить, где именно существуют максимальные риски для безопасности информации, а также дают рекомендации по действиям, которые необходимо предпринять, чтобы минимизировать данные риски.

СМИБ, которая поддерживает международный стандарт ISO 27001, должна не просто описывать, как должна защищаться информация, а дает реальные инструменты для достижения поставленных целей. После внедрения подобной системы, любая организация получает действительно работающую модель.

Основные элементы работающей СМИБ:

• внешняя и внутренняя защита от несанкционированного доступа к информации;
• авторизация и аутентификация пользователей;
• обеспечение целостности информации;
• защита внутренних и внешних каналов передачи информации;
• поддержка актуальности информации при работе с партнерами;
• управление и организация электронного документооборота;
• управление непрерывностью ведения бизнеса;
• управление рисками и инцидентами;
• аудит системы менеджмента информационной безопасности.

ISO 27001 2013 изменения и нововведения

В соответствии с современной политикой Международной организации по стандартизации, обновленный документ стандарта ISO IEC 27001 приведен к единой, со всеми остальными стандартами, структуре. При этом среди изменений можно найти не только структурные. Ряд исправлений коснулись именно требований к организации системы менеджмента информационной безопасности.

Современная структура ISO 27001 на русском выглядит так:

1. Введение
2. Область применения
3. Нормативные ссылки
4. Термины и определения
5. Контекст организации
6. Лидерство
7. Планирование
8. Поддержка
9. Эксплуатация
10. Анализ результативности
11. Улучшение

Кроме того, в приложении А данного стандарта появились новые подразделы: А10 – Криптография, А13 – Безопасность коммуникации, А15 – Взаимодействие с поставщиками.

В новой версии более четко определены цели СМИБ в любой организации. Формулировки значительно актуализированы и понятны большинству руководителей.

Теперь текстовое описание рисков заметно упрощено. А с высшего руководства больше не требуют выпускать «Положение о принятии остаточных рисков».

В новой редакции ISO IEC 27001 2013 в ряде пунктов заменено понятие «Владелец актива» на новое понятие «Владелец риска». Для последнего дано соответствующее определение и расписаны требования.

В документе более подробно расписано, как должен проходить мониторинг СМИБ. Большинство требований сформулированы более четко, даны некоторые дополнительные требования.

Упрощена система документооборота. Управление записями и документами системы информационной безопасности теперь содержит более актуальные вопросы.

Больше внимания уделено системе коммуникации между различными подразделениями внутри одной организации.

Взаимосвязь с другими стандартами

Компании, которые планомерно внедряют международные стандарты качества, давно обратили внимание, что сейчас большинство стандартов связаны между собой. ISO 27001 2006 не является исключением и может быть одним из звеньев, когда принято решение внедрить интегрированную СМК на предприятии.

Кроме того, в современном мире, когда цена информации заметно выросла, а промышленный шпионаж не является чем-то сказочным, информационная безопасность и защита данных вообще ставятся многими в приоритет. В таких условиях, стандарт ИСО 27001 является практически обязательным для внедрения в любой организации. Но наибольшая связь у данного документа все-таки прослеживается со следующими стандартами:

• ISO 9001 – Система менеджмента качества;
• ISO 20000:1 – Система менеджмента IT-услуг;
• ISO 22301 – Система непрерывности бизнес-процессов.

В России данный стандарт соответствует внутреннему стандарту ГОСТ Р ИСО/МЭК 27001, который полностью соответствует международному документу и повторяет его статьи. Таким образом, российские органы стандартизации поддерживают мировые тенденции в обеспечении защиты информационных активов и позволяют организациям, получившим сертификат ГОСТ Р ИСО 27001 участвовать в общемировых процессах и экономических отношениях.

Сейчас международный стандарт ISO 27001 используется во всех развитых странах мира и большинстве развивающихся. Местные государственные органы высоко оценивают его значение для нормального функционирования любого предприятия и повсеместно продвигают идею о необходимости его внедрения наряду с другими международными, общепринятыми стандартами.

Получение СМИБ ISO 27001

1. Изучение уже существующей системы безопасности клиента, что поможет сэкономить время и средства.

2. Сопоставление системы безопасности клиента со стандартами ISO 27001 2005.

3. Анализ степени готовности предприятия к оценке.

4. Проверка готовности организации применять стандарты и требования сертификата ISO 27001.

5. Непосредственно сертификация.

6. Дальнейшее сотрудничество организации с менеджерами по работе с клиентами.

Сертификация повышает уровень управляемости компании, дает возможность контроля за капиталами и акциями компании.

ISO 27001

• Ориентация на международный уровень.
• Высокий уровень доверия клиентов.
• Наличии сертификации дает преимущества перед конкурентами.
• Соответствие законодательным нормам.
• Сертификация создает имидж предприятия.
• Объективная оценка функционирования организации.

Сотрудники Единого Центра Сертификации будут регулярно посещать организацию для проверки действующей системы на соответствие со стандартами и работы с ее постоянным усовершенствованием.