Talk with Expert : +38 (050) 230 84 90

Про стандарт ISO/IEC 27001

  • Home
  • Про стандарт ISO/IEC 27001
13.01.2022
  • By: System Management

Системи менеджменту інформаційної безпеки

Питання забезпечення інформаційної безпеки (ІБ) для сучасної організації є життєво важливими.

Наявність системи менеджменту інформаційної безпеки відповідно до вимог стандарту ISO/IEC 27001 допоможе організації зберегти її активи та забезпечити цілісність, надійність та конфіденційність інформації.

З 2005 р. сертифікаційний аудит на відповідність вимогам стандарту ISO/IEC 27001 пройшло понад 25 тис. компаній у всьому світі (за даними IRCA).

Сертифікація є корисним інструментом для підвищення довіри, демонструючи тим самим, що продукти та послуги, що надаються, відповідають потребам замовників в області ІБ.

Стандарт ISO/IEC 27001 – джерело кращих практик при проєктуванні систем управління, застосовний практично до будь-якої організації, незалежно від форми власності, виду діяльності, розміру та зовнішніх умов. Він нейтральний у технологічному плані і завжди залишає можливість вибору технологій. ISO/IEC 27001 є одним із найвідоміших стандартів даної серії, що відповідає вимогам систем управління інформаційною безпекою. Існує понад десяток стандартів серії 27000.

Система менеджменту інформаційної безпеки (СМІБ) – частина загальної системи управління, заснованої на підході ділових ризиків, з метою створити, впровадити, експлуатувати, постійно контролювати, аналізувати, підтримувати в робочому стані і покращувати Захист інформації. Є системним підходом з управління конфіденційною інформацією. У дану систему входить персонал, процеси, що виробляються, та ІТ-системи, об’єднані шляхом впровадження процесів ризик-менеджменту.

З метою формування комплексних вимог до безпеки інформації стандарт визначає три основні показники:

  • оцінка ризиків, з якими стикається організація (визначення загрози для ресурсів, їх вразливість та ймовірність виникнення загроз, а також можливі збитки);
  • дотримання законодавчих, нормативних та договірних вимог, які мають виконуватися самою організацією, її партнерами з бізнесу, підрядниками та постачальниками послуг;
  • формування комплексу принципів, цілей та вимог до обробки інформації, розроблених організацією для підтримки своєї діяльності.

Основні елементи системи ІБ:

  • захист від несанкціонованого доступу (НСД) до систем, у тому числі і внутрішній захист від НСД співробітників організації;
  • авторизація та аутентифікація;
  • захист каналів передачі даних, забезпечення цілісності;
  • забезпечення актуальності даних при обміні інформацією з клієнтами;
  • управління електронним документообігом;
  • управління інцидентами ІБ;
  • управління безперервністю ведення бізнесу;
  • внутрішній і зовнішній аудит системи ІБ.

Стандарт ISO/IEC 27001 забезпечує:

  • визначення цілей та уявлення про напрям та принципи діяльності щодо інформаційної безпеки;
  • визначення підходів до оцінки та управління ризиками в організації;
  • управління інформаційною безпекою відповідно до чинного законодавства та нормативних вимог;
  • використання єдиного підходу при створенні, впровадженні, експлуатації, моніторингу, аналізі, підтримці та вдосконаленні системи менеджменту для того, щоб цілі в галузі інформаційної безпеки були досягнуті;
  • визначення процесів системи управління інформаційної безпеки;
  • визначення статусу заходів щодо забезпечення інформаційної безпеки;
  • використання внутрішніх та зовнішніх аудитів для визначення ступеня відповідності системи менеджменту інформаційної безпеки вимогам стандарту;
  • надання адекватної інформації партнерам та іншим зацікавленим сторонам щодо політики інформаційної безпеки.

Інтеграція з іншими стандартами

Перевагою впровадження стандарту ISO/IEC 27001 є пряма вигода для організацій, які бажають запровадити більше однієї системи управління одночасно. СМІБ, наприклад, може бути інтегрована з:

  • системою менеджменту безперервності бізнесу (ISO/IEC 22301),
  • системою менеджменту IT-послуг (ISO/IEC 20000–1)
  • або системою управління якістю (ISO 9001).

Подібна структура стандартів дозволяє заощадити час і гроші, оскільки стала можливою реалізація інтегрованих політики та процедури.

Вигоди від впровадження та сертифікації:

  • підвищення довіри клієнтів, партнерів та інших зацікавлених сторін;
  • підвищення стабільності функціонування організацій;
  • отримання міжнародного визнання та зміцнення іміджу компанії на внутрішньому та зовнішньому ринку;
  • досягнення адекватності заходів щодо захисту від реальних загроз інформаційній безпеці;
  • запобігання та (або) зниження збитків від інцидентів інформаційної безпеки;
  • демонстрація певного рівня інформаційної безпеки задля забезпечення конфіденційності інформації зацікавлених сторін;
  • збільшення вартості нематеріальних активів, зменшення страхових внесків, що робить цінність компанії більш високою;
  • зниження операційних витрат та виключення «перехресного» фінансування в рамках єдиного СМІБ;
  • розширення можливостей участі підприємства у великих державних контрактах;
  • може суттєво полегшити проходження аудитів на відповідність PCI DSS, ISO/IEC 20000–1.

Що пропонує впровадження ISO/IEC 27001

Головною перевагою створення та впровадження СМІБ відповідно до вимог ISO/IEC 27001 є незалежний доказ стабільності та надійності бізнес-процесів організації, у тому числі:

  • підвищення довіри до організації;
  • підвищення стабільності функціонування організації в цілому;
  • досягнення адекватності заходів щодо захисту від реальних загроз інформаційній безпеці;
  • запобігання та (або) зниження збитків від інцидентів інформаційної безпеки.

Економічними перевагами є:

  • незалежне підтвердження факту, що в організації належним чином реалізовано менеджмент ризиків, відповідні процедури систем менеджменту розроблено та впроваджено, постійно аналізуються та покращуються компетентним та відповідальним персоналом;
  • доказ дотримання чинних законів та нормативних актів (виконання системи обов’язкових вимог);
  • доказ прагнення і відповідальності вищого керівництва до забезпечення системи менеджменту в необхідному обсязі для всієї організації відповідно до встановлених вимог;
  • демонстрація певного рівня «зрілості» систем менеджменту задля забезпечення високого рівня обслуговування клієнтів та партнерів організації;
  • демонстрація проведення регулярних аудитів систем менеджменту, оцінки результативності та постійних покращень.

Корисною перевагою є ефективне управління аутсорсингом за рахунок чітких критеріїв оцінки постачальників послуг та відповідальності обох сторін.

Конкурентною перевагою є доказ того, що процеси забезпечення ІБ організації здатні задовольняти потреби зовнішніх користувачів у довгостроковій перспективі, ризики оцінені та управляються.

Сертифікація СМІБ на відповідність вимогам ISO/IEC 27001 відповідно – єдине загальноприйняте у світовій практиці підтвердження відповідності міжнародним вимогам.