ГОСТ Р ИСО/МЭК 27001-2021 (ISO/IEC 27001:2013) СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ГОСТ Р ИСО МЭК 27001-2021 – это стандарт, который посвящен обеспечению информационной безопасности (сокращенно – ИБ) компаний различных направлений деятельности. Следование его положениям позволяет организациям эффективно защищать персональные данные клиентов, не допускать утечек информации, взломов и других опасных ситуаций, которые могут возникнуть в связи с использованием сети Интернет.
Российские предприятия применяют стандарт в добровольном порядке.
Что такое ISO 27001
Ранее на территории РФ действовал ГОСТ Р ИСО МЭК 27001-2006. В настоящее время данный документ заменен на обновленную версию от 2021 года - ГОСТ Р ИСО МЭК 27001-2021.
Центральным понятием в рамках отечественной версии и международного варианта ИСО 27001 является «Информационная безопасность». Ее обеспечение – это необходимость для легальной и результативной работы коммерческих и государственных организаций, которые исходя из специфики деятельности собирают, обрабатывают, хранят, передают информацию, в том числе конфиденциальные данные.
Чтобы обеспечить защиту таких сведений, фирмы внедряют в практическую деятельность принципы системы менеджмента в сфере ИБ (сокращенно – СМИБ). Эта модель охватывает следующие направления функционирования компании:
- разработку и использование на практике политики по ИБ;
- обнаружение потенциальных рисков, связанных с информацией, и их оценка;
- реализацию мероприятий, направленных на сокращение рисков (например, использование антивирусных программ, определение обязанностей и ответственности наемных работников и т.д.);
- применение специализированного программного обеспечения;
- обучение персонала;
- ведение документации, отчетности;
- контроль эффективности выстроенной СМИБ и принятие мер для улучшения этого показателя.
В рамках СМИБ осуществляется управление персоналом, программным обеспечением, коммуникациями между департаментами компании, правами доступа к информации.
Установлено, что фирма обязана выявлять риски, ставить цели, иметь необходимые ресурсы для их достижения, устранять факторы, ведущие к возникновению опасных ситуаций, обеспечивать сохранность данных и сведений, непрерывно совершенствовать построенные механизмы управления.
Нюансы внедрения ISO 27001 в организации
ISO 27001 – это универсальный стандарт, применимый для предприятий разной специфики деятельности вне зависимости от географического расположения. Его принципы и нормы можно применять как в масштабе всей организации, так и для определенных бизнес-процессов.
Чтобы выстроить модель менеджмента, необходимо проанализировать работу компании, т.е. те факторы изнутри и извне, которые прямо влияют на деятельность предприятия, способность сотрудников выполнять поставленные задачи.
Также следует обратить внимание на ожидания и запросы заинтересованных сторон, а именно:
- клиентов;
- учредителей;
- кредиторов;
- ключевых бизнес-партнеров и т.д.
Круг лиц фирма определяет самостоятельно, исходя из специфики своей деятельности.
Установлено, что топ-менеджмент организации обязан определить цели функционирования предприятия в части ИБ, те. сформировать политику, которая:
- отвечает имеющимся у организации целям;
- определяет цели и задачи в контексте защиты информации;
- устанавливает обязанности сотрудников по обеспечению ИБ.
Политика может быть оформлена на бумаге или в электронном формате. О ее положениях обязательно уведомляются сотрудники и заинтересованные лица.
Обязательный элемент СМИБ – изучение рисков.
По каждому риску определяются критерии принятия, анализа, определения негативных последствий и их вероятности.
Исходя из их анализа определяются цели. Они должны отвечать требованиям по достижимости, измеримости.
Цели фиксируются документально, о них сообщается заинтересованным лицам. Для каждой из них обеспечиваются необходимые ресурсы.
Зачем фирмам внедрение ИСО 27001 и сертификация
Выполнение положений ГОСТ 27001-2021 позволяет предприятию:
- надежно хранить конфиденциальную информацию;
- исключать утечки, кражи данных;
- обеспечивать высокий уровень ИБ;
- использовать современное оборудование и передовые технологии.
Построение СМИБ и прохождение сертификации дает предприятию возможность:
- работать с гос.тайной (в том числе при выполнении гособоронзаказа);
- поддерживать положительную деловую репутацию;
- делать свои услуги более конкурентоспособными для потенциальных клиентов;
- привлекать в бизнес инвестиции;
- быть более конкурентоспособным в закупочных процедурах;
- выходить со своим продуктом на международные рынки сбыта.
Система менеджмента информационной безопасности, основанная на принципах ИСО 27001, дает юрлицам возможность оптимизировать процесс взаимодействия между департаментами, соблюдать нормы законодательства по защите информации, повышать эффективность своей деятельности.
Особенно актуально применение принципов ISO 27001 для фирм, которые постоянно сталкиваются с информационными рисками. К этой категории относятся:
- кредитные организации;
- страховщики;
- лаборатории;
- финансовые организации;
- IT- компании;
- логистические фирмы;
- предприятия, работающие с гособоронзаказом и т.д.
В отношении держателей сертификатов ИСО 27001 предусмотрены периодические аудиты, которые оперативно «подсвечивают» недостатки в выстроенной схеме, практике управления и дают возможность совершать необходимые шаги для их устранения.
Как проводятся сертификационные процедуры по ISO 27001
Чтобы пройти оценку соответствия по стандарту ГОСТ 27001, заявителям следует обратиться к специалистам.
Для сотрудничества потребуются:
- заявление;
- сканированные копии ОГРН, ИНН;
- подробное описание деятельности заявителя;
- сведения о применяемом программном обеспечении, оборудовании;
- данные об организационной структуре фирмы;
- приказы о приеме на должность ответственных лиц по ИБ;
- имеющиеся лицензии, допуски;
- иное (по запросу).
Проанализировав все предоставленные данные, специалисты приступят к внедрению СМИБ, т.е. произведут:
- постановку целей функционирования системы;
- разработку документации (политики по ИП, программ, записей, должностных инструкций ответственных сотрудников и т.д.);
- унификацию форм отчетности в соответствии со стандартом и т.д.
Объем необходимой документации для сертификации по ИСО 27001 зависит от специфики деятельности компании, ее организационной структуры.
Процедура проводится аккредитованным органом и предполагает:
- проверку документации организации;
- выезд экспертной комиссии для аудита предприятия в части ИБ.
По итогам проведенной проверки заявителю выдается сертификат или выносится решение о необходимости устранения выявленных несоответствий. Документ оформляется на 3 года.
Чтобы подробнее узнать о сертификации ИСО 27001, обратитесь к экспертам «ЕАС Аудит». Консультации бесплатны.
ГОСТ Р ИСО 27001 относится к универсальным стандартам. Его можно использовать в любой организации вне зависимости от сферы деятельности, выпускаемого ассортимента товаров или предоставляемых услуг.
Но есть отдельные сферы деятельности, связанные с информационными рисками. Если работа компании связана с ними, то внедрение требований стандарта рекомендовано. Среди таких компаний:
- финансовые и банковские учреждения;
- научно-исследовательские институты;
- исследовательские и испытательные лаборатории;
- организации, работающие в сфере страхования;
- службы доставки товара, документов и различных имущественных ценностей.
При сертификации внедренная на предприятии СМК оценивается на соответствие требованиям, которые предъявляются к ней стандартом ГОСТ Р ИСО. Среди них:
- правильное определение рисков, для предотвращения которых внедрена СМК;
- наличие у предприятия всех ресурсов, необходимых для поддержания эффективного функционирования СМК;
- документирование процедур по нормам стандарта;
- постоянное совершенствование разработанной политики в области СМК;
- проведение действий для непрерывного улучшения работы системы.
Специалисты Центра в случае выявления несоответствий помогут скорректировать положения СМК для успешного прохождения сертификации.
Получение сертификата дает возможность:
- сформировать положительную репутацию в любой сфере деятельности и продемонстрировать клиентам заинтересованность в качестве и безопасности предоставляемых услуг;
- обеспечить соответствие деятельности компании требованиям законодательства;
- принять участие в тендерах, для участия в которых наличие сертификата – обязательное условие;
- минимизировать риски, связанные с информационными технологиями и безопасностью, сократить финансовые потери;
- обеспечить проведение непрерывного контроля качества и безопасности.
Для оформления документы необходимы:
- письменная заявка;
- скан ОГРН;
- скан ИНН;
- сведения о сфере деятельности компании – указывается список ОКВЭД;
- сведения о штате сотрудников и тех специалистах, которые будут ответственны за проведение внутреннего аудита;
- документы и записи, которые ведутся по уже внедренной СМК (при наличии);
- прочие документы и сведения.
Полный список вы можете получить по электронной почте – просто оставьте заявку онлайн.
Как и другие системы менеджмента качества, действующие на основании стандартов ИСО, СМК по ИСО 27001 универсальна. Это позволяет применять ее в комплексе с другими стандартами группы ИСО.
Возможно как одновременное внедрение СМК, так и поэтапное создание интегрированной СМК (ИСМ) на предприятии. Во втором случае возможно объединение уже действующей на предприятии СМК с ИСО 9001, системой экологического менеджмента и иными.
Внедрение ИСМ проводится одним из способов:
- внедряется базовая СМК, с которой потом присоединяют другие системы;
- сразу проводится разработка интегрированной СМК, состоящей из нескольких систем.
Комментарии
Оставьте Ваш комментарий