ИСО 27001:2013 (аналогичной версии российского стандарта в настоящий момент нет, можно пользоваться предыдущей – ГОСТ Р 27001-2006)

Презентация1.jpg

ИСО 27001:2013 «Системы менеджмента информационной безопасности. Требования». 

Потеря данных, конфиденциальность информации – риски, значение которых резко возросло в цифровую эпоху. Не только имидж, не только процветание, но зачастую существование компании зависит от сохранности информации. И это те события, о которых не только говорят в новостях и они касаются Google или Facebook, сохранность информации – кибератаки, вирусы, неквалифицированные или умышленные действия сотрудников, сбои в работе оборудования – это то, что может происходить повседневно в любой компании. Соответственно и важность управления информационной безопасностью – ключевая задача руководства. Стандарт ИСО 27001 – мировой опыт по организации информационной безопасности

 

История

Первым стандартом в данной области стал британский стандарт BS 7799 Часть 1 в 1995 году, который включал в себя 127 механизмов контроля для обеспечения менеджмента информационной безопасности, в 2002 г. вышла вторая часть, устанавливающая требования к системе менеджмента. В дальнейшем стандарт корректировался и был принят в качестве международного. В настоящее время действует версия ИСО/МЭК 27001:2013

 

Основное содержание

Действующая версия стандарта основана на структуре высокого уровня. Это означает, что он имеет аналогичное всем современным стандартам на системы менеджмента построение и структуру требований:

  • система менеджмента информационной безопасности (определение контекста, требований и ожиданий  заинтересованных сторон, процессный подход к управлению)

  • лидерство (ответственность руководителей и распределение ответственности  и полномочий в компании)

  • планирование (управление рисками и возможностями, установление целей компании и способов их достижения)

  • поддержка (требования к поддерживающим службам - обеспечение непрерывности работы инфраструктуры, обеспечение необходимой производственной среды, требования к компетентности и развитию персонала, управление документацией)

  • деятельность (планирование деятельности, обращение с рисками по информационной безопасности)

  • оценка показателей деятельности (внутренний аудит, самооценка показателей деятельности организации)

  • улучшение (постоянное улучшение процессов компании, предотвращение повторения ошибок).

Стандарт имеет обширный список средств и методов управления информационной безопасностью, которые направление на исключение или, по крайней мере, снижение рисков потери информации

 

Для кого

Для всех компаний, где работники используют компьютер, смартфон, бумажные и электронные документы. Степень применения разумеется может быть разной, не всем требуется проходить сертификацию (то есть получать независимое подтверждение наличия и функционирования системы менеджмента информационной безопасности), но базовые вопросы в области информационной безопасности и правила построения системы  управления безопасностью информации понадобятся рано или поздно всем компаниям

 

Преимущества для пользователей

  • Возможность построить систему защиты информации на основе лучших примеров мирового опыта

  • При сертификации, возможность продемонстрировать заинтересованным сторонам надежность своей системы защиты данных

 

Недостатки

  • Для небольших компаний, не занятых в сфере IT, стандарт может показаться сложным или избыточным. Но если не требуется сертификация , то можно выбирать – какие требования выполнять, а какие нет

Комментарий

Стандарт - третий по популярности стандарт ИСО на системы менеджмента. Существует большое количество законодательных требований по обеспечению безопасности (Закон о персональных данных Закон о коммерческой тайне и проч.), но они все указывают, что должно быть сделано, тогда как стандарт ИСО 27001 объясняет как это можно сделать