Стандарт ISO/IEC 27001:2013
ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC27 Объединенного технического комитета JTC 1.
Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности(СМИБ)
Лучшие мировые практики в области управления информационной безопасностью описаны в международном стандарте на системы менеджмента информационной безопасности ISO/IEC 27001:2013 (ISO/IEC 27001). ISO/IEC 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.
Понятие «защиты информации» трактуется международным стандартом как обеспечение конфиденциальности, целостности и доступности информации. Основа стандарта ISO/IEC 27001 — система управление рисками, связанными с информацией.
Система управления рисками позволяет получать ответы на следующие вопросы:
· на каком направлении информационной безопасности требуется сосредоточить внимание;
· сколько времени и средств можно потратить на данное техническое решение для защиты информации.
Сертификация
Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех стадий:
· стадия 1 — изучение аудитором ключевых документов системы менеджмента информационной безопасности — положение о применимости (SoA), план обработки рисков (RTP), и др. Может выполняться как на территории организации так и путём высылки этих документов внешнему аудитору;
· стадия 2 — детальный, глубокий аудит включая тестирование внедренных мер и оценка их эффективности. Включает полное изучение документов, которые требует стандарт;
· стадия 3 — выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.
ISO/IEC 27001:2013 в мире
В настоящее время более трех тысяч компаний по всему миру прошли сертификацию по международному стандарту ISO/IEC 27001:2013, определяющему основные требования к разработке и функционированию системы управления информационной безопасностью (ИБ).
Получение сертификата на соответствие системы управления ИБ требованиям ISO/IEC 27001 позволяет самой компании, а также ее партнерам убедиться в том, что система управления ИБ внедрена в общую систему управления бизнес-процессами компании, что она работает правильно и эффективно.
Это особенно важно в том случае, если компания работает с большими объемами ценной информации или если компания обрабатывает или хранит ценную информацию своих клиентов. Эффективная система управления ИБ, во-первых, обеспечивает необходимый уровень защиты всех информационных активов компании (т.е. существенно снижается риск нанесения ущерба компании из-за нарушения ИБ), и, во-вторых, гарантирует, что меры и средства защиты информации являются адекватными и пропорциональными возможному ущербу компании.
