ОБЩАЯ ИНФОРМАЦИЯ
«Кто владеет информацией — тот владеет миром» — Уинстон Черчилль
Вопросы обеспечения информационной безопасности (ИБ) для современной организации являются жизненно важными.
Наличие системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта ISO/IEC 27001 поможет организации сберечь её активы и обеспечить целостность, надежность и конфиденциальность информации.
С 2005 г. сертификационный аудит на соответствие требованиям стандарта ISO/IEC 27001 прошло более 20 тыс. компаний по всему миру (по данным IRCA).
Стандарт 27001 – источник лучших практик при проектировании систем управления, применим практически к любой организации, независимо от формы собственности, вида деятельности, размера и внешних условий. Он нейтрален в технологическом плане и всегда оставляет возможность выбора технологий.
«Именно то, как Вы собираете, организуете и используете информацию, определяет, победите Вы или проиграете» — Билл Гейтс
Система менеджмента информационной безопасности (СМИБ) – часть общей системы управления, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации.
Основные элементы системы ИБ:
- защита от несанкционированного доступа (НСД) к системам,
- в том числе и внутренняя защита от НСД сотрудников организации;
- авторизация и аутентификация;
- защита каналов передачи данных, обеспечение целостности;
- обеспечение актуальности данных при обмене информацией с клиентами;
- управление электронным документооборотом;
- управление инцидентами ИБ;
- управление непрерывностью ведения бизнеса;
- внутренний и внешний аудит системы ИБ.
Основные задачи Стандарта:
- установление единых требований по обеспечению информационной безопасности организаций;
- обеспечение взаимодействие руководства и сотрудников;
- повышение эффективности мероприятий по обеспечению и поддержанию информационной безопасности организаций.
История стандарта
- В 1992 г. Министерство торговли и промышленности Великобритании опубликовало Кодекс управления информационной безопасностью (Code of Practice for Information Security Management).
- В 1995 г. Британский институт стандартов (BSI) принял Кодекс управления информационной безопасностью в качестве национального стандарта Великобритании и зарегистрировал его под номером BS 7799 — Part 1.
- В 1998 г. BSI публикует стандарт BS7799-2, состоящий из двух частей, одна из которых включила в себя свод практических правил, а другая – требования к системам менеджмента информационной безопасности. В стандарте была представлена процедура совершенствования мер обеспечения ИБ, в соответствии с циклом Деминга (Plan — Do — Check — Act), а также системный подход к управлению мерами.
- В процессе следующих пересмотров первая часть была опубликована как BS 7799:1999, Часть1. В 1999 году эта версия стандарта была переработана и передана в Международную Организацию по Сертификации.
- В 2000 г. утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005.
- В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 Part 2 Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью). Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».
- В 2005 г. стандарт ISO/IEC 17799 был включен в линейку стандартов 27-й серии и получил новый номер — ISO/IEC 27002:2005.
- 25 сентября 2013 года был опубликован обновленный стандарт ISO/IEC 27001:2013 «Системы Менеджмента Информационной Безопасности. Требования» (Information security management systems — Requirements). Изменения коснулись как структуры стандарта, так и требований.
Основные положения стандартов по ИБ РФ
Стандарт | ГОСТ Р ИСО/МЭК 27001-06 | ГОСТ Р ИСО/МЭК 17799-2006 | СТО БР ИББС–1.0-2014 |
Цель и задачи | Устанавливает требования по созданию, внедрению, эксплуатации, мониторингу, анализу и поддержки СМИБ, по внедрению мер, средств управления ИБ | Устанавливает руководящие принципы по управлению ИБ лицам, ответственным за планирование, реализацию, поддержку и усовершенствование ИБ в организации | Устанавливает рекомендации по разработке документов и требований по безопасности информационных и телекоммуникационных технологий организаций банковской системы РФ |
Область применения | Международная сертификация | Международная стандартизация | Стандартизация и сертификация в банковской сфере РФ |
Базовые разделы | Требования: к разработке СМИБ, документации. Ответственность руководства: обязательства, управление ресурсами. Внутренние аудиты СМИБ. Анализ СМИБ. Улучшение. | Политика безопасности. Организация ИБ. Управление активами. Безопасность, связанная с персоналом. Физическая и экологическая безопасность. Управление средствами связи. Контроль доступа. Разработка и обслуживание систем. Управление непрерывностью бизнеса. Соответствия. | Парадигма обеспечения ИБ. Основные принципы, модели угроз. Система ИБ: требования по обеспечению ИБ (персонал, жизненный цикл, управление доступом и регистрация, антивирусная защита, Интернет, криптография, технологические процессы, обработка персональных данных). СМИБ (организация, определение, выбор, реализация, эксплуатация, проверка, совершенствование, непрерывность и восстановление, документирование, служба ИБ). Проверка и оценка ИБ. |
Структура стандарта
ISO/IEC 27001 представляет собой перечень требований к СМИБ, обязательных для сертификации.
ISO/IEC 27001:2005 | ISO/IEC 27001:2013 |
0. Введение 1. Область применения 2. Нормативные ссылки 3. Термины и определения 4. Система информационной безопасности 5. Обязательства руководства 6. Внутренние аудиты 7. Анализ системы менеджмента 8. Совершенствование |
0. Введение 1. Область применения 2. Нормативные ссылки 3. Термины и определения 4. Контекст организации 5. Лидерство 6. Планирование 7. Поддержка 8. Операции (Эксплуатация) 9. Оценка (Измерение) результативности 10. Совершенствование (Улучшение) |
В Приложении А стандарта приведен перечень методов управления.
ISO/IEC 27001:2005 | ISO/IEC 27001:2013 |
А.5 Политика в области безопасности А.6 Организация системы безопасности A.7 Классификация активов и управление A.8 Безопасность и персонал A.9 Физическая и внешняя безопасность A.10 Менеджмент компьютеров и сетей A.11 Управление доступом к системе A.12 Приобретение, разработка и обслуживание информационных систем A.13 Менеджмент инцидентов A.14 Обеспечение непрерывности бизнеса A.15 Соответствие законодательству |
A.5 Политики информационной безопасности A.6 Организация информационной безопасности A.7 Безопасность человеческих ресурсов (персонала) A.8 Управление активами A.9 Управление доступом A.10 Криптография A.11 Физическая безопасность и защита от окружающей среды A.12 Безопасность операций A.13 Безопасность коммуникаций A.14 Приобретение, разработка и обслуживание информационных систем A.15 Взаимоотношения с поставщиками A.16 Менеджмент инцидентов A.17 Обеспечение непрерывности бизнеса A.18 Соответствие законодательству |
Требования «Приложения А» являются обязательными для выполнения, но стандарт позволяет исключить направления, которые невозможно применить на предприятии.
Стандарт ISO 27001 обеспечивает:
- определение целей и представление о направлении и принципах деятельности относительно информационной безопасности;
- определение подходов к оценке и управлению рисками в организации;
- управление информационной безопасностью в соответствии с применимым законодательством и нормативными требованиями;
- использование единого подхода при создании, внедрении, эксплуатации, мониторинге, анализе, поддержке и совершенствовании системы менеджмента с тем, чтобы цели в области информационной безопасности были достигнуты;
- определение процессов системы менеджмента информационной безопасности;
- определение статуса мероприятий по обеспечению информационной безопасности;
- использование внутренних и внешних аудитов для определения степени соответствия системы менеджмента информационной безопасности требованиям стандарта;
- предоставление адекватной информации партнерам и другим заинтересованным сторонам о политике информационной безопасности.
Интеграция с другими стандартами
Преимуществом внедрения стандарта ISO/IEC 27001 является прямая выгода для организаций, желающих внедрить более одной системы менеджмента одновременно. СМИБ, например, может быть интегрирована с:
- системой менеджмента непрерывности бизнеса (ISO/IEC 22301),
- системой менеджмента IT-услуг (ISO/IEC 20000-1)
- или системой менеджмента качества (ISO 9001).
Схожая структура стандартов позволяет сэкономить время и деньги, так как стала возможной реализация интегрированных политики и процедуры.
Выгоды от внедрения и сертификации
- повышение доверия клиентов, партнеров и других заинтересованных сторон;
- повышение стабильности функционирования организаций;
- получение международного признания и укрепление имиджа компании на внутреннем и внешнем рынке;
- достижение адекватности мер по защите от реальных угроз информационной безопасности;
- предотвращение и(или) снижение ущерба от инцидентов информационной безопасности;
- демонстрация определенного уровня информационной безопасности для обеспечения конфиденциальности информации заинтересованных сторон;
- увеличение стоимости нематериальных активов, уменьшение страховых взносов, что делает ценность компании более высокой;
- снижение операционных издержек и исключения «перекрестного» финансирования в рамках единой СМИБ;
- расширение возможностей участия компании в крупных государственных контрактах;
- может существенно облегчить прохождение аудитов на соответствие PCI DSS, ISO/IEC 20000-1.
Что дает внедрение ISO/IEC 27001?
Главным преимуществом создания и внедрения СМИБ в соответствии с требованиями ISO/IEC 27001 является независимое доказательство стабильности и надежности бизнес-процессов организации, в том числе:
- повышение доверия к организации;
- повышение стабильности функционирования организации в целом;
- достижение адекватности мер по защите от реальных угроз информационной безопасности;
- предотвращение и(или) снижение ущерба от инцидентов информационной безопасности.
Экономическими преимуществами являются:
- независимое подтверждение факта, что в организации должным образом реализован менеджмент рисков, соответствующие процедуры систем менеджмента разработаны и внедрены, постоянно анализируются и улучшаются компетентным и ответственным персоналом;
- доказательство соблюдения действующих законов и нормативных актов (выполнение системы обязательных требований);
- доказательство стремления и ответственности высшего руководства к обеспечению системы менеджмента в требуемом объеме для всей организации в соответствии с установленными требованиями;
- демонстрация определенного уровня «зрелости» систем менеджмента для обеспечения высокого уровня обслуживания клиентов и партнеров организации;
- демонстрация проведения регулярных аудитов систем менеджмента , оценки результативности и постоянных улучшений.
Полезным преимуществом является эффективное управление аутсорсингом за счет четких критериев оценки поставщиков услуг и ответственности обеих сторон.
Конкурентным преимуществом является доказательство того, что процессы обеспечения ИБ организации способны удовлетворять потребности внешних пользователей в долгосрочной перспективе, риски оценены и управляются.
Сертификация СМИБ на соответствие требованиям ISO/IEC 27001 соответственно – единственное общепринятое в мировой практике подтверждение соответствия международным требованиям.
Статистика гласит, что организации, обладающие международными сертификатами соответствия стандартам СМИБ, получают скидки, сопоставимые с затратами на проведение сертификации.
Преимущества внедрения нового стандарта ISO/IEC 27001:2013
Гармонизация стандарта ISO/IEC 27001 к новой структуре поможет организациям, желающим внедрить более одной системы менеджмента одновременно. Схожая структура стандартов позволит сэкономить время и деньги организаций, так как они могут реализовывать интегрированные политики и процедуры.
Переход к ISO/IEC 27001:2013 — обеспечение более гибкого, оптимизированного подхода, с целью более эффективного управления рисками в современных условиях.
Изменения средств управления безопасностью (Приложение А) позволяют обеспечить актуальность стандарта, адекватную защиту и применимость его к современным рискам, а именно, хищению личных данных, угрозам, связанным с использованием мобильных устройств и другим сетевым уязвимостям.
Кроме того, стандарт ISO/IEC 27001 модифицирован с целью адаптации к новой общей структуре, применяемой во всех стандартах на системы менеджмента, что упрощает его интеграцию с другими системами менеджмента.
Переход на новую редакцию стандарта ISO/IEC 27001 не проблематичен и очень полезен, т.к. подразумевает поэтапную программу и интеграцию с мероприятиями по непрерывному улучшению и плановыми надзорными аудитами.
По желанию Организации проведение проверки по новой версии ISO/IEC 27001:2013 может быть осуществлено РР в ходе очередной инспекционной проверки СМИБ или в рамках дополнительной проверки. В данном случае Организации необходимо направить в адрес РР соответствующую заявку. В случае проведения такой проверки в рамках инспекционной проверки СМИБ, сроки действия нового сертификата останутся прежними.
Сроки действия сертификатов по версии ISO/IEC 27001:2005 года, оформленные после 30 сентября 2013 года, истекают 30 сентября 2015 года.
С 01 октября 2014 года аудиты и сертификация проводится по стандарту ISO/IEC 27001:2013.
Для организаций, сертифицированных до 01.10.2013:
До 30 сентября 2015года сохраняется возможность проведения плановых инспекционных и ресертификационных аудитов на соответствие требованиям ISO/IEC 27001:2005. При этом срок действия сертификатов (для ресертификационных аудитов) будет ограничен датой 30 сентября 2015 года.
Обращаем внимание организаций, что после 01 октября 2014 года не рекомендуется проводить аудиты по старой версии ISO/IEC 27001:2005, т.к. переход на новую версию ISO/IEC 27001:2013 может потребовать проведения дополнительно аудита.
Почему «Русский Регистр»?
Пройдя сертификацию системы менеджмента информационной безопасности в Русском Регистре, Вы можете получить:
- Подтверждение соответствия системы менеджмента информационной безопасности со стороны ведущего в России органа по сертификации с международной аккредитацией ANAB,
- Сертификат соответствия требованиям национального стандарта РФ ГОСТ Р ИСО/МЭК 27001-2006,
- Сертификат соответствия требованиям ISO/IEC 27001:2013 Международной сети органов по сертификации IQNet,
- Возможность пройти сертификацию интегрированной системы менеджмента на соответствие требованиям 2 и более стандартам,
- Возможность воспользоваться процедурой трансферта,
- Возможность сократить стоимость услуги за счет привлечения квалифицированных аудиторов ближайшего из филиалов или представительств, находящихся не только на территории Российской Федерации и СНГ, но и за рубежом,
- Широкий выбор курсов и семинаров
и многое другое.
Сертификация в Русском Регистре будет являться Вашим вкладом в мировую практику систем менеджмента информационной безопасности и предоставит шанс создать свою уникальную систему и войти в число лучших.
Формы заявок
Декларация-заявка на предварительную оценку/сертификацию Системы менеджмента
Приложение к Декларации-заявке для Организаций с несколькими филиалами
Приложение к Декларации-заявке — Анкета по системе менеджмента информационной безопасности
Критерии для оценки заявителем степени интеграции систем менеджмента при заполнении декларации-заявки
По Вашей заявке мы можем выслать ISO/IEC 27001:2013 в переводе Русского Регистра.