Что представляет собой стандарт ISO 27001? Зачем уделять особое внимание информационной безопасности организации? Как внедрить стандарт ИСО 27001? Об этом нам расскажут специалисты компании «ЛенТехСертификация».
Получите бесплатную консультацию
Кому и для чего нужен сертификат ISO 27001?
Электронный документооборот оказался не только удобным инструментом, но и принес собой ряд серьезных проблем:
- финансовые данные могут стать доступны конкурентам и нарушить планы организации;
- личные данные клиентов, контрагентов и сотрудников оказываются под угрозой атак злоумышленников;
- интеллектуальные разработки и авторское право требуют особенно тщательной охраны;
- базы данных становятся предметом интереса конкурентов.
Сегодня любая серьезная организация стремится соответствовать стандартам информационной безопасности.
Стандарт ГОСТ ИСО 27001 предполагает реализацию трех ключевых показателей:
- определение требований и принципов обработки информации, принятых в организации;
- оценка рисков: возможный ущерб и вероятность возникновения угроз в отношении информационных ресурсов;
- контроль за соблюдением принятых в организации норм и правил обращения с данными (распространяется на сотрудников, партнеров, подрядчиков и других контрагентов).
Получите бесплатную консультацию
Стандарт ISO 27001 вводится для решения следующих задач:
- унификация требований по обеспечению ИБ организации;
- создание алгоритмов взаимодействия руководства и сотрудников;
- улучшение качества мероприятий по поддержанию ИБ организации.
Система информационной безопасности состоит из таких элементов, как:
- внутренний и внешний аудит системы информационной безопасности;
- авторизация и аутентификация;
- защита от внешнего несанкционированного доступа к системам,
- защита от внутреннего несанкционированного доступа к системам со стороны сотрудников организации;
- обеспечение целостности системы;
- защита каналов передачи данных;
- актуализация данных при обмене информацией между сотрудниками и с клиентами;
- управление электронным документооборотом;
- управление инцидентами и анализ угроз;
- управление непрерывностью ведения бизнеса.
Почему внедрение стандарта ИСО 27001 — оправданный шаг?
По оценкам экспертов, около 60% российских компаний за последние 2 года сталкивались с утечками информации по вине своих сотрудников. Более чем в половине случаев речь шла о «сливе» коммерческих данных, касающихся клиентов, партнеров и сделок. Техническая информация утекала реже ― в 24% случаев.
Получите бесплатную консультацию
Персональные данные разглашаются в 20% случаев. Это серьезно подрывает уровень лояльности в отношении к организации. Поэтому треть российских компаний, увеличила бюджет на обеспечение информационной безопасности. Это не только забота о клиентах, но и попытка заручиться их доверием, а значит не лишиться своей прибыли.
Очевидно, что затраты на сертификацию и лицензирование по ГОСТ ИСО 27001 вписываются в бюджет не любой организации. Именно поэтому компания, которая хочет подчеркнуть свою надежность и статус вкладывается во внедрение стандартов информационной безопасности и делает это своим конкурентным преимуществом. Соответствие этому стандарту подчеркивает масштаб и уровень ответственности и притязаний компании.
Внедрение стандарта ИБ и сертификация оправданы потому, что:
- обеспечивают стабильность функционирования организации;
- увеличивают ресурс доверия клиентов в том числе за счет гарантии конфиденциальности информации;
- повышают лояльность партнеров;
- помогает сформировать позитивный имидж компании на международном и внутреннем рынке; позволяет предотвратить или снизить риск информационного ущерба;
- дает возможность уменьшить страховые взносы, а, следовательно, повышает ценность организации;
- позволяет сократить операционные издержки;
- становится конкурентным преимуществом при участии в тендерах и аукционах.
Как подготовить организацию к сертификации на соответствие международным требованиям ИБ?
Фактически угрозы информационной безопасности тесно связаны с персоналом: это не технические сбои в чистом виде. А, значит, и организация системы информационной безопасности будет эффективна только в контексте работы с персоналом. Исходя из этого, подготовка к сертификации должна заключаться в прохождении ряда этапов:
Разработка плана подготовки и согласование с руководством
Выделите приоритетные направления по обеспечению ИБ и обозначьте четкие сроки. Руководство должно видеть смысл внедрения стандарта ISO 27001 и понимать ради чего расходуются временные и материальные ресурсы.
Получите бесплатную консультацию
Определите границы сертификации
Большой организации с широким спектром деятельности целесообразно сертифицировать на соответствие ГОСТ Р ИСО 27001 часть бизнеса.
Определитесь с политикой информационной безопасности
Составьте документ «Политика Информационной безопасности», согласуйте его с руководством. Выявите критерии контроля за соблюдением политики и внедрите ее среди сотрудников. Важно донести до персонала саму суть Политики и рассказать о плюсах ее соблюдения.
Определите методологию оценки рисков
Договоритесь о правилах классификации и оценки рисков. Какие-то явления могут расцениваться как допустимые, другие будут нуждаться в немедленном устранении и корректировке общей стратегии.
Придерживайтесь утвержденной методологии оценки рисков
Регулярно оценивайте риски и ведите их учет. Для этого используют Реестр рисков. Анализ этого документа позволяет грамотно распределять ресурсы организации.
Определите ответственных за обработку рисков
Лица, ответственные за обработку рисков должны предпринимать установленные действия для устранения последствий и предупреждения аналогичных ситуаций.
Составьте «Положение о применимости»
Этот документ станет объектом пристального внимания органа сертификации при проведении аудита. В Положении должны содержаться механизмы и параметры контроля ИБ в вашей организации.
Внедрение средств управления информационной безопасностью обучение персонала
Чтобы все разработанные технологии защиты безопасности были эффективны, потребуется обучить персонал и регулярно проводить контроль выполнения требований ИБ.
Контролируйте процессы учета информационной безопасности
Аудиторы обратят внимание на то, как работают механизмы контроля в вашей организации, а руководству важно будет отследить как сотрудники и контрагенты выполняют правила. Для этого в установленном порядке ведутся записи. Анализ системы учета ИБ станет материалом внутреннего мониторинга и поможет усовершенствовать систему.
Создайте систему корректирующих и превентивных действий
Работа в соответствии со стандартом ГОСТ 27001 предполагает «постоянное стремление стать лучше». Все события анализируются, а результат анализа становится основой для превентивных действий.
В условиях напряженной борьбы за клиентов многие организации принимают решение не ограничиваться инвестициями в повышение качества продукции и рекламу своих услуг. Принципиально важным и перспективным направлением становится защита информации компании и ее клиентов. Поэтому инвестиции, направленные на преобразование работы в соответствии со стандартом ISO 27001 становятся вкладом в завтрашний успех и конкурентное преимущество.
Это длительный и непростой процесс, о чем говорит число организаций, прошедших сертификацию. 78 компаний уже сделали это, поэтому вам не стоит откладывать это непростое мероприятие.
На протяжении многих лет мы успешно оказываем помощь в сертификации и лицензировании. Наши специалисты расскажут, какие действия предпринять для построения системы информационной безопасности. Для этого свяжитесь с нами любым удобным образом — позвоните по указанному телефону, напишите на почту или просто заполните форму обратной связи.