Сертификация по ISO 27001

Международный стандарт менеджмента безопасности ISO/IEC 27001 предназначен для разработки системы управления информационной безопасностью организации вне зависимости от ее сферы деятельности.

Стандарты ISO 27001 и ISO 17799

Служба безопасности, IT-отдел, руководство компании начинают работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных.

Положения стандарта описывают такие аспекты, как:

  • Политика безопасности
  • Организационные методы обеспечения информационной безопасности
  • Управление ресурсами
  • Пользователи информационной системы
  • Физическая безопасность
  • Управление коммуникациями и процессами
  • Контроль доступа
  • Приобретение, разработка и сопровождение информационных систем
  • Управление инцидентами информационной безопасности
  • Управление непрерывностью ведения безнеса
  • Соответствие требованиям

Стандарт ISO 27001 (BS 7799:2) представляет собой перечень требований, обязательных для сертификации, не вошедших в ISO 17799; дополнительно в приложении ISO 27001 приведен перечень основных требований ISO 17799, проверяемых при сертификации. Соответственно, ISO 27001 является стандартом, по которому проводится официальная сертификация системы управления информационной безопасностью (СУИБ).

Стандарт в России и странах СНГ

В последние несколько лет ISO 17799 начал уверенно продвигаться по странам СНГ. В Республике Беларусь с 1 ноября 2004 г. стал национальным государственным стандартом. В Молдове, благодаря позиции Национального Банка, все банки с 2003 года проходят регулярную проверку на соответствие ISO 17799.

В России в 2006 году вышел ГОСТ 17799 и с февраля 2008 года вступил в силу ГОСТ 27001.

Подробнее об истории развития стандарта ISO 17799 в России и странах СНГ можно узнать из следующей статьи: ISO 17799: Эволюция стандарта в период 2002-2007

Преимущества сертификации

Прежде всего, это "неформальные" преимущества: после проведения аудита информационная система компании становится "прозрачнее" для менеджмента, выявляются основные угрозы безопасности для бизнес-процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и недостатков в системе безопасности и управления. В результате компании предлагается комплексный план внесения изменений в систему управления информационной безопасностью как для повышения реального уровня защищенности, так и для непосредственного соответствия стандарту.

Сертификация на соответствие стандарту ISO 27001 позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает компании конкурентное преимущество, демонстрируя способность управлять информационными рисками, при этом также увеличивается капитализация компании

Методика проведения проверок соответствия системы управления информационной безопасностью требованиям международного стандарта ISO/IEC 27001

Для оценки соответствия системы управления информационной безопасностью требованиям ISO/IEC 27001 на первом этапе проводится анализ нормативных документов по информационной безопасности. На втором этапе с помощью методики Кондор проводится опрос ответственных лиц, вовлеченных в процесс управления информационной безопасностью (специалисты подразделений ИБ и ИТ), а также пользователей информационной системы Заказчика, выбранных случайным образом. Полученные в процессе опроса ответы анализируются и сравниваются с данными, полученными в процессе технологических проверок защищенности информационной системы. Итоговый вывод о выполнении требований стандарта ISO/IEC 27001 делается в случае подтверждения выполнения требований на практике.

Как пройти сертификацию

Для получения сертификата соответствия ISO 27001 компания должна пройти аудит информационной безопасности, провести подготовку информационной системы на соответствие стандарту, разработать и внедрить систему управления информационной безопасностью и провести окончательную проверку соответствия стандарту. Данную работу целесообразно разбить на несколько этапов.

Предварительный этап, который заключается в проведении аудита и, на его основании, подготовки необходимых изменений системы управления информационной безопасностью, может выполнить специализированная security-компания, имеющая опыт в проведении подобных работ. Затем, после разработки и внедрения системы управления ИБ, необходимо провести итоговую проверку формального соответствия ISO 27001, для чего требуется участие специалистов одной из консалтинговых компаний, которые владеют эксклюзивным правом выдачи данного сертификата и имеют аккредитацию при UKAS (United Kingdom Accreditation Service) – уполномоченном государственном органе Великобритании.

Сертификацию осуществляет независимая компания, имеющая необходимую аккредитацию. Среди партнеров Digital Security, которые имеют право сертифицировать по стандарту ISO 27001 – компании BSI и ТЮФ Рейнланд Групп.

Примеры выполненных работ:

Оставить заявку

Оставить заявку