Что такое СМИБ ГОСТ Р ИСО/МЭК 27001-2006
Управление и контроль информационной безопасностью, используемые организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности (ИБ).
Подтверждение соответствия СМИБ проводится в соответствии с ISO/IEC 27007:2011 – «Информационные технологии. Методы обеспечения безопасности. Руководство для аудита систем менеджмента информационной безопасности» (ГОСТ Р ИСО/МЭК 27007-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности»).
Основные элементы системы ИБ:
- защита от несанкционированного доступа (НСД) к системам,
- в том числе и внутренняя защита от НСД сотрудников организации;
- авторизация и аутентификация;
- защита каналов передачи данных, обеспечение целостности;
- обеспечение актуальности данных при обмене информацией с клиентами;
- управление электронным документооборотом;
- управление инцидентами ИБ;
- управление непрерывностью ведения бизнеса;
- внутренний и внешний аудит системы ИБ.
Стандарт ISO 27001 обеспечивает:
- определение целей и представление о направлении и принципах деятельности относительно информационной безопасности;
- определение подходов к оценке и управлению рисками в организации;
- управление информационной безопасностью в соответствии с применимым законодательством и нормативными требованиями;
- использование единого подхода при создании, внедрении, эксплуатации, мониторинге, анализе, поддержке и совершенствовании системы менеджмента с тем, чтобы цели в области информационной безопасности были достигнуты;
- определение процессов системы менеджмента информационной безопасности;
- определение статуса мероприятий по обеспечению информационной безопасности;
- использование внутренних и внешних аудитов для определения степени соответствия системы менеджмента информационной безопасности требованиям стандарта;
- предоставление адекватной информации партнерам и другим заинтересованным сторонам о политике информационной безопасности.
Интеграция с другими стандартами:
Преимуществом внедрения стандарта ISO/IEC 27001 является прямая выгода для организаций, желающих внедрить более одной системы менеджмента одновременно. СМИБ, например, может быть интегрирована с:
- системой менеджмента непрерывности бизнеса (ISO/IEC 22301),
- системой менеджмента IT-услуг (ISO/IEC 20000-1)
- или системой менеджмента качества (ISO 9001).
Схожая структура стандартов позволяет сэкономить время и деньги, так как стала возможной реализация интегрированных политики и процедуры.
Основные задачи Стандарта:
- установление единых требований по обеспечению информационной безопасности организаций;
- обеспечение взаимодействие руководства и сотрудников;
- повышение эффективности мероприятий по обеспечению и поддержанию информационной безопасности организаций.
Сертификация и подтверждение соответствия СМИБ проводится по требованиям Системы добровольной сертификации, в которой предприятие решило сертифицировать свою СМИБ по следующей схеме:
- планирование работ по сертификации СМИБ;
- двухэтапный первичный аудит по сертификации СМИБ;
- инспекционный контроль в течение срока действия сертификата;
- ресертификационный аудит, который должен быть проведен до окончания срока действия сертификата на СМИБ.
Выгоды от внедрения:
- повышение доверия клиентов, партнеров и других заинтересованных сторон;
- повышение стабильности функционирования организаций;
- получение международного признания и укрепление имиджа компании на внутреннем и внешнем рынке;
- достижение адекватности мер по защите от реальных угроз информационной безопасности;
- предотвращение и(или) снижение ущерба от инцидентов информационной безопасности;
- демонстрация определенного уровня информационной безопасности для обеспечения конфиденциальности информации заинтересованных сторон;
- увеличение стоимости нематериальных активов, уменьшение страховых взносов, что делает ценность компании более высокой;
- снижение операционных издержек и исключения «перекрестного» финансирования в рамках единой СМИБ;
- расширение возможностей участия компании в крупных государственных контрактах;
- может существенно облегчить прохождение аудитов на соответствие PCI DSS, ISO/IEC 20000-1.
На какой срок оформляется добровольный сертификат?
Добровольный сертификат оформляется на срок от 1 до 3 лет.