ГОСТ Р ИСО/МЭК 27001-2021 (ISO/IEC 27001:2013) СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ГОСТ Р ИСО МЭК 27001-2021 – это стандарт, который посвящен обеспечению информационной безопасности (сокращенно – ИБ) компаний различных направлений деятельности. Следование его положениям позволяет организациям эффективно защищать персональные данные клиентов, не допускать утечек информации, взломов и других опасных ситуаций, которые могут возникнуть в связи с использованием сети Интернет.

Российские предприятия применяют стандарт в добровольном порядке.

Что такое ISO 27001

Ранее на территории РФ действовал ГОСТ Р ИСО МЭК 27001-2006. В настоящее время данный документ заменен на обновленную версию от 2021 года - ГОСТ Р ИСО МЭК 27001-2021.

Центральным понятием в рамках отечественной версии и международного варианта ИСО 27001 является «Информационная безопасность». Ее обеспечение – это необходимость для легальной и результативной работы коммерческих и государственных организаций, которые исходя из специфики деятельности собирают, обрабатывают, хранят, передают информацию, в том числе конфиденциальные данные.

Чтобы обеспечить защиту таких сведений, фирмы внедряют в практическую деятельность принципы системы менеджмента в сфере ИБ (сокращенно – СМИБ). Эта модель охватывает следующие направления функционирования компании:

• разработку и использование на практике политики по ИБ;
• обнаружение потенциальных рисков, связанных с информацией, и их оценка;
• реализацию мероприятий, направленных на сокращение рисков (например, использование антивирусных программ, определение обязанностей и ответственности наемных работников и т.д.);
• применение специализированного программного обеспечения;
• обучение персонала;
• ведение документации, отчетности;
• контроль эффективности выстроенной СМИБ и принятие мер для улучшения этого показателя.

В рамках СМИБ осуществляется управление персоналом, программным обеспечением, коммуникациями между департаментами компании, правами доступа к информации.

Установлено, что фирма обязана выявлять риски, ставить цели, иметь необходимые ресурсы для их достижения, устранять факторы, ведущие к возникновению опасных ситуаций, обеспечивать сохранность данных и сведений, непрерывно совершенствовать построенные механизмы управления.

Нюансы внедрения ISO 27001 в организации

ISO 27001 – это универсальный стандарт, применимый для предприятий разной специфики деятельности вне зависимости от географического расположения. Его принципы и нормы можно применять как в масштабе всей организации, так и для определенных бизнес-процессов.

Чтобы выстроить модель менеджмента, необходимо проанализировать работу компании, т.е. те факторы изнутри и извне, которые прямо влияют на деятельность предприятия, способность сотрудников выполнять поставленные задачи.

Также следует обратить внимание на ожидания и запросы заинтересованных сторон, а именно:

• клиентов;
• учредителей;
• кредиторов;
• ключевых бизнес-партнеров и т.д.

Круг лиц фирма определяет самостоятельно, исходя из специфики своей деятельности.

Установлено, что топ-менеджмент организации обязан определить цели функционирования предприятия в части ИБ, те. сформировать политику, которая:

• отвечает имеющимся у организации целям;
• определяет цели и задачи в контексте защиты информации;
• устанавливает обязанности сотрудников по обеспечению ИБ.

Политика может быть оформлена на бумаге или в электронном формате. О ее положениях обязательно уведомляются сотрудники и заинтересованные лица.

Обязательный элемент СМИБ – изучение рисков.

По каждому риску определяются критерии принятия, анализа, определения негативных последствий и их вероятности.

Исходя из их анализа определяются цели. Они должны отвечать требованиям по достижимости, измеримости.

Цели фиксируются документально, о них сообщается заинтересованным лицам. Для каждой из них обеспечиваются необходимые ресурсы.

Зачем фирмам внедрение ИСО 27001 и сертификация

Выполнение положений ГОСТ 27001-2021 позволяет предприятию:

• надежно хранить конфиденциальную информацию;
• исключать утечки, кражи данных;
• обеспечивать высокий уровень ИБ;
• использовать современное оборудование и передовые технологии.

Построение СМИБ и прохождение сертификации дает предприятию возможность:

• работать с гос.тайной (в том числе при выполнении гособоронзаказа);
• поддерживать положительную деловую репутацию;
• делать свои услуги более конкурентоспособными для потенциальных клиентов;
• привлекать в бизнес инвестиции;
• быть более конкурентоспособным в закупочных процедурах;
• выходить со своим продуктом на международные рынки сбыта.

Система менеджмента информационной безопасности, основанная на принципах ИСО 27001, дает юрлицам возможность оптимизировать процесс взаимодействия между департаментами, соблюдать нормы законодательства по защите информации, повышать эффективность своей деятельности.

Особенно актуально применение принципов ISO 27001 для фирм, которые постоянно сталкиваются с информационными рисками. К этой категории относятся:

• кредитные организации;
• страховщики;
• лаборатории;
• финансовые организации;
• IT- компании;
• логистические фирмы;
• предприятия, работающие с гособоронзаказом и т.д.

В отношении держателей сертификатов ИСО 27001 предусмотрены периодические аудиты, которые оперативно «подсвечивают» недостатки в выстроенной схеме, практике управления и дают возможность совершать необходимые шаги для их устранения.

Как проводятся сертификационные процедуры по ISO 27001

Чтобы пройти оценку соответствия по стандарту ГОСТ 27001, заявителям следует обратиться к специалистам.

Для сотрудничества потребуются:

• заявление;
• сканированные копии ОГРН, ИНН;
• подробное описание деятельности заявителя;
• сведения о применяемом программном обеспечении, оборудовании;
• данные об организационной структуре фирмы;
• приказы о приеме на должность ответственных лиц по ИБ;
• имеющиеся лицензии, допуски;
• иное (по запросу).

Проанализировав все предоставленные данные, специалисты приступят к внедрению СМИБ, т.е. произведут:

• постановку целей функционирования системы;
• разработку документации (политики по ИП, программ, записей, должностных инструкций ответственных сотрудников и т.д.);
• унификацию форм отчетности в соответствии со стандартом и т.д.

Объем необходимой документации для сертификации по ИСО 27001 зависит от специфики деятельности компании, ее организационной структуры.

Процедура проводится аккредитованным органом и предполагает:

• проверку документации организации;
• выезд экспертной комиссии для аудита предприятия в части ИБ.

По итогам проведенной проверки заявителю выдается сертификат или выносится решение о необходимости устранения выявленных несоответствий. Документ оформляется на 3 года.

Чтобы подробнее узнать о сертификации ИСО 27001, обратитесь к экспертам «ЕАС Аудит». Консультации бесплатны.