Для чего нужен международный стандарт iso 27001
ISO 27001: Приведение организации в соответствие
ISO 27001 – международный стандарт качества, определяющий ряд требований к защите конфиденциальных данных. Сертификат ISO IEC 27001 выдается только тем компаниям, которые создают эффективную систему информационной безопасности.
Данный сертификат может быть выдан предприятию любой организационно-правовой формы, осуществляющему деятельность в любой сфере, включая государственные структуры и некоммерческие организации. Наиболее востребованным сертификат 27001 является среди предприятий, которым утеря конфиденциальных сведений может нанести наибольший ущерб. В частности:
Эксперты по ISO 27001
Музалевский Фёдор Александрович
Ведущий эксперт компьютерно-технического направления
Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»
Задать вопрос эксперту: Музалевский Фёдор Александрович Задать вопрос эксперту Все эксперты
Царев Евгений Олегович
Эксперт по информационной безопасности
Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года
Задать вопрос эксперту: Царев Евгений Олегович Задать вопрос эксперту Все эксперты
Кобец Дмитрий Андреевич
Эксперт в сфере информационной безопасности
Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года
Задать вопрос эксперту: Кобец Дмитрий Андреевич Задать вопрос эксперту Все эксперты
Гончаров Андрей Михайлович
Юрист в области информационной безопасности
Опыт: Профессиональный опыт в области IT-права с 2015 года
Задать вопрос эксперту: Гончаров Андрей Михайлович Задать вопрос эксперту Все эксперты
Что дает сертификат соответствия ISO IEC 27001?
Современные крупные компании обладают, как правило, сложной, территориально распределенной корпоративной информационной системой и значительным количеством критичных информационных ресурсов, и при этом их повседневная деятельность реализуется в условиях ежедневно растущих репутационных рисков и непрерывно меняющихся внешних требований.
В такой ситуации обеспечить безопасность информации при адекватных бюджетных расходах возможно лишь при использовании комплексного подхода, который подразумевает последовательное внедрение в компании организационных мер, программно-технических средств и процессов менеджмента, связанных в единую систему управления информационной безопасностью (СУИБ).
В настоящее время, стандартом де-факто в области построения СУИБ является международный стандарт ISO/IEC 27001:2005 «Information technology. Security techniques. Information security management systems. Requirements». Положения этого стандарта на добровольной основе применяет множество компаний в десятках стран мира.
Внедрение и сертификация СУИБ на соответствие стандарту ISO/IEC 27001:2005 позволяет убедиться всем заинтересованным сторонам в том, что система информационной безопасности построена правильно и функционирует эффективно.
Сертификат ISO 27001 — как получить?
Прежде, чем подавать заявку на получение сертификата, следует удостовериться, что система менеджмента безопасности на предприятии отвечает требованиям ISO. Стандарт ИСО 27001 предъявляет достаточно жесткие требования, и несоответствие даже одному из них автоматически влечет за собой отказ в выдаче документа.
Проверку СУИБ на соответствие ISO/IEC 27001:2005 могут выполнять аудиторские/консалтинговые фирмы – члены организации United Kingdom Accreditation Service (UKAS), такие как компания «BSi Management Systems» (www.BSi-global.com, www.BSi-russia.com) – подразделение Британского института стандартов, уполномоченного государственного органа Великобритании.
СУИБ организации должна отвечать следующим критериям:
Приведение в соответствие с ИСО 27001
Для достижения поставленных целей предлагается провести работы в 5 последовательных этапов:
Этап 1. Обследование текущего состояния СУИБ
Этап 2. Выделение Области действия СУИБ и планирование дальнейших работ
Этап 3. Проектирование СУИБ
Этап 4. Проведение оценки рисков ИБ
Этап 5. Внедрение СУИБ
RTM Group проводит свои работы в соответствии с действующим Российским законодательством на момент проведения работ. Спорные моменты, возникающие во время проведения работ, решаются в рамках рабочей группы.
При подготовке системы к прохождению сертификационного аудита, мы осуществляем взаимодействие с сертификационным органом British Standards Institution, чтобы гарантировать успешное прохождение итогового аудита.
Сертификационный аудит нужно проводить не менее чем через полгода после запуска СУИБ в организации (таковым можно считать, например, формальное утверждение политики СУИБ для ОД), к моменту сертификации СУИБ должен пройти один полный цикл PDCA.
Стоимость работ оговаривается индивидуально. Специалисты компании всегда готовы ответить на Ваши вопросы и проконсультировать по вопросам, связанным с выдачей Certificate ISO 27001.
Почему RTM Group?
Заказать работы по приведению в соответствие с ISO 27001
Для уточнения стоимости и сроков звоните или пишите нам:
Что такое сертификация ISO 27001 и зачем мы ее прошли
Что конкретно сертифицировалось, и как этот процесс проходил.
Недавно компания TÜV AUSTRIA выдала нам сертификат, подтверждающий, что мы применяем систему менеджмента информационной безопасности в соответствии со стандартом ISO/IEC 27001:2013 к процессам «Доставка вредоносных и подозрительных файлов с помощью инфраструктуры Kaspersky Security Network (KSN), их безопасное хранение в Kaspersky Lab Distributed File System (KLDFS) и обеспечение доступа». Мы решили рассказать подробнее о том, что это за сертификация, зачем она нужна и почему это так важно для нас.
Что такое ISO 27001
ISO 27001 — это международный стандарт, в котором собраны требования для создания и развития системы менеджмента информационной безопасности. По большому счету это коллекция «лучших практик», которая позволяет выбрать меры управления безопасностью таким образом, чтобы обеспечить защиту информации и предоставить клиентам соответствующие гарантии.
При проведении сертификации независимая компания TÜV AUSTRIA направляет аудиторов, основной целью которых является проверка процессов обеспечения информационной безопасности на соответствие «лучшим мировым практикам». В рамках проверок аудиторы оценивают многочисленные процессы компании в разных подразделениях — HR, IT, R&D, Security — и составляют отчет, который в целях дополнительного подтверждения беспристрастности анализируют другие независимые эксперты и выясняют, насколько правильно был проведен аудит. И только после этого выдается сертификат, свидетельствующий о том, что система управления информационной безопасностью находится на высоком уровне.
Что мы сертифицировали
Наших клиентов в первую очередь интересует, обеспечена ли максимальная безопасность процессов передачи вредоносных и подозрительных объектов (файлов) для проведения автоматизированных и ручных проверок антивирусными экспертами. А также безопасно ли эти вредоносные файлы хранятся в нашей инфраструктуре. Данная область, можно сказать, является одной из центральных в антивирусной компании. Поэтому мы решили сертифицировать механизмы доставки вредоносных и подозрительных файлов с помощью инфраструктуры Kaspersky Security Network и их безопасное хранение в Kaspersky Lab Distributed File System. Но это не значит, что аудиторы проверяли исключительно эту область. В компании многие сервисы и процессы устроены сходным образом.
На безопасность любого процесса влияет множество факторов, и система менеджмента информационной безопасности способна обеспечить распознавание этих факторов и своевременную защиту от них. Многие вопросы в ней являются базовыми: кто имеет доступ к информационным системам и критичным данным? Как проверяют этих людей при отборе на должность? Как в компании работают с документами и информационными системами? Как здесь отзывают права доступа при увольнении сотрудников? Насколько сотрудники осведомлены о возможных киберугрозах и противодействии им? Как администраторы работают с компьютерами, на которых осуществляются критические операции? Как процессы обеспечены документами и ресурсами? В системе защиты рассматриваются также и новые типы угроз и противодействия им: например, защита от APT-атак, обеспечение защиты при использовании новейших технологий, в том числе с применением алгоритмов машинного обучения.
Поэтому аудиторы проверяли документацию, общались с сотрудниками из разных отделов, анализировали как технические аспекты защиты информации, так и организационные, например процессы рекрутинга, увольнения, профессионального обучения. Изучали, как IT-служба поддерживает корпоративную сеть, посещали центры обработки данных. Наблюдали, как сотрудники трудятся на рабочих местах, выясняли, не завалялись ли где съемные носители или распечатки, блокируется ли монитор, когда специалисты куда-то отходят, что выведено на экранах мониторинга и дашбордах. Проверяли, какие программы используют сотрудники в работе. То есть анализировали практики, которые распространяются на всю компанию. Особое внимание aудиторы уделили проверке системных процессов управления информационной безопасностью, таких как анализ безопасности руководством, управление рисками, инцидентами, корректирующими действиями, проведение аудитов, обеспечение осведомленности и непрерывности бизнеса.
Что дальше?
Теперь все заинтересованные клиенты могут ознакомиться с сертификатом, являющимся заключением уважаемой компании. Надо сказать, вопрос о наличии сертификата ISO 27001 стал все чаще возникать при проведении тендеров. Потому что сертифицированные сервисы задействованы большинством наших решений.
Но на этом работа не останавливается. Раз в три года нам предстоит проводить ресертификацию, то есть повторный аудит, и подтверждать право владения сертификатом. Кроме того, ежегодно аудитор будет делать точечные проверки.
Дополнительную информацию о сертификате можно получить здесь.
Сертификация ISO27001
Однажды мой хороший друг сказал мне: «вся индустрия аудита основана на том, что люди друг другу врут». Это как нельзя лучше отражало истинную причину почему банкам и другим финансовым институтам нужно получать заключение внешних аудиторов каждый год – для того, чтобы другие институты верили их финансовой отчетности.
Похожая ситуация в ИТ. Любая компания может сказать: «мы защищаем свои системы и следим за безопасностью передачи данных. Но так ли это? И насколько хорошо защищают? Cертификация ISO 27001 отвечает на эти вопросы за вас, и позволяет сэкономить время на доказательствах. Под катом пример подготовки к сертификации ISO 27001 одной маленькой, европейской ИТ компании.
Предыстория
ISO 27001 — это международный стандарт, в котором собраны требования для создания и развития системы менеджмента информационной безопасности. Сертификация ISO 27001 особенно актуальна для крупных компаний, но в последнее время его стали требовать от маленьких компаний на этапе обсуждения контракта.
Раньше было так: Заказчик предоставляет альтернативу: либо у подрядчика есть сертификат ISO 27001, либо если компания не прошла сертификацию, можно продемонстрировать в соответствии с официальными договорными обязательствами, что у компании есть «план безопасности».
Сегодня альтернатива становится сложной, все больше и больше компаний выбирая между двумя разными подрядчиками, остановятся на тех, у кого уже есть ISO сертификат.
Компания, в которой проходила подготовка к сертификации, продает услуги по информационной безопасности, поэтому здесь вопрос получения сертификата стал по сути вопросом сохранения своего места на рынке:
Коротко о стандарте
ISO 27001 состоит из двух частей – Body (основная часть стандарта, своего рода стратегия) и Annex A (114 потенциально применимых контролей).
Body of the Standard:
О компании, которая получает сертификацию:
ИТ консалтинг, всего 25 человек сотрудников, из которых двое это топ менеджмент и двое это администрация. Основные данные хранятся на внешних облачных серверах. В процессе 2020 года администрация (бухгалтерия, учет времени сотрудников) также переехали с внутренних серверов на внешние сервисы.
Из поставщиков – внешние услуги техподдержки, а также все «физические» поставщики, охрана офиса, уничтожение старого оборудования, документов.
В команду проекта по подготовке к сертификации вошли старший консультант, он же внутренний сотрудник, который понятия не имел о том, как устроены информационные системы компании и внешний консультант по информационной безопасности и законодательству. И, конечно, топ менеджмент.
С чего начать и чем закончить
Вот здесь хорошо описаны стадии принятия сертификации. Особенно остро отрицание, гнев, ярость проходят в маленькой и уютной компании. Здесь любая бюрократическая новация наталкивается на стену непонимания, документация устаревает раньше чем ее успеваешь дописать, а основная сложность это объяснить сотруднику-старожилу зачем ему вдруг нужно менять годами устоявшиеся практики.
Зато именно в маленьких компаниях нагляднее всего видны результаты подготовки.
Несколько практических советов на этапе старта проекта:
Стандарт диктует: «определите границы и сферы информационных систем».
Это можно сделать либо простым изложением на бумаге, но для нас по-настоящему все началось с нарисованной схемы информационных систем. Это кажется очень просто, и в маленькой компании даже лишним – и так все все понимают, — но, удивительное дело, картинка меняет все.
Первая кривоватая схема где были обозначены ноутбуки, сервера, VPN и Firewalls была встречена на ура и указала на много не замеченных деталей: протоколы VPN, backups, позже добавились облачные серверы, etc.
Самый простой инструмент работы и самый эффективный – общая папка в SharePoint, где под каждый контроль и пункт стандарта есть отдельная подпапка с соответствующим названием, где сохраняется вся документация.
В нашем случае то, что мы давали «отлежаться» нашим политикам и потом возвращались к ним и переписывали, сказалось на качестве только лучшим образом. Они получились своего рода «выдержанным». Все лишнее стало нагляднее отследить, к тому же за год, то, что мы начинали писать в начале 2020 уже потеряло актуальность. Но слегка изменить политику всегда проще, чем заново ее написать.
План vs реальность
План подготовки к ISO 27001 был следующий:
▍Из положительного:
▍Из отрицательного:
▍Из практических результатов:
Оповещение сотрудников
Оповещение сотрудников о подготовке к сертификации это одновременно и возможность закрыть пункт A_7.2.2 Awareness, а также получить обратную связь на все написанные политики и процедуры.
В нашем случае удачной находкой стал чеклист для сотрудников. Политик много, и часто уже после прочтения первой появляется сонливость и уверенность в том, что все всему соответствует и нет необходимости читать дальше.
Загвоздка в том, что сертифицирующий орган будет спрашивать с сотрудников чтобы их действия соответствовали формальным процедурам написанным в документах. И желательно чтобы все отвечали примерно одно и то же.
Чеклист это просто список вопросов, разбитых по темам, например:
Тема: Безопасность офиса
— Я знаю, как активировать систему сигнализации
— Я знаю, как действовать в случае утери входного баджа
И т.д., такой чеклист сильно упрощает коммуникацию и снимает головную боль, появляется что-то практическое, с чем можно работать.
Что было дальше
Подготовка к сертификации не означает саму сертификацию. Впереди аудит сертифицирующего органа, интервью, предоставление доказательств действующих контролей. Кроме того, когда все пройдет успешно, надо будет подтверждать сертификацию каждый год. Но со временем это перестает казаться чем-то сложным или необычным. Совсем как простой финансовый аудит.
Россия. Сертификат ISO 27001 «Системы менеджмента информационной безопасности»
Что такое стандарт ИСО/МЭК 27001
Понятие и применение
• обеспечение защиты от незаконного доступа, включая внутреннюю защиту от проникновения в систему (сотрудниками);
• регистрация и проверка;
• целостная и надежная связь, передача данных;
• гарантия обмена актуальными данными с клиентами;
• система контроля над инцидентами;
• система контроля над электронным документооборотом;
• система контроля непрерывного ведения бизнес-процесса;
• аудит, как внутренний, так и внешний.
Кому он необходим
В связи с тем, что угрозы с каждым годом не только увеличиваются, но и усложняются, внедрение ИБ поможет многим компаниям содержать данные в сохранности при использовании коллективом, и защищая их и вычислительные ресурсы. Без стандарта попросту не обойтись, компаниям в сфере IT, HR, банкам и тем, которые функционируют с БД. Среди основных задач, возложенных на него, выделяют следующие:
• постановку единых требований по обеспечению ИБ;
• активное взаимодействие управленческого аппарата с рядовыми сотрудниками;
• принятие наиболее эффективных мер, гарантирующих ИБ.
Потенциальные преимущества
Сертификация ISO 27001, в целом, позволяет увеличить процент доверия к компании, способствует ведению более стабильной деятельности, предотвращает или существенно сокращает причинение вреда от разного рода инцидентов с ИБ. Что касается экономических преимуществ, к ним можно отнести следующие:
• объективное подтверждение, что в компании имеется управленческая система, разработаны, внедрены и подвергаются непрерывному анализу ее процедуры, улучшая компетентность и ответственное поведение работников; • обеспечение соблюдения актуальных норм закона и правовых актов;
• подтверждение стремления к ответственному отношению высшего звена компании к следованию ISO IEC 27001 в нужном объеме согласно действующим требованиям;
• выражение достаточной «зрелости» управленческого процесса с целью достижения высшего уровня сервиса;
• демонстрирование позитивных результатов регулярных проверок с тенденцией постоянного улучшения.
К достоинству стандарта можно отнести успешный контроль за аутсорсингом при соблюдении четких критериев ответственности всех участников. Конкурентность обеспечивается доказательной базой, что ИБ соответствует требованиям пользователей на длительный период времени, а также контроля и адекватной оценки рисков.
Статистика показывает, что компании, у которых внедрен стандарт ISO IEC 27001, получают льготы, нивелирующие затраты на проведение сертификации. Еще большую выгоду организация имеет возможность получить, если одновременно с этим стандартом внедрит и другие международные системы, такие как:
• управление непрерывностью процесса бизнеса ISO IEC 22301;
• контроль за соблюдением качества ISO 9001;
• управленческая система IT-услуг ISO ISC 20000-1.
Эти стандарты обладают похожим устройством, благодаря чему достигается значительная экономия денег и времени, повышая при этом внешнюю лояльность к организации.
Немного истории и еще больше возможностей
• подтверждение соответствия СМИБ с м/н аккредитацией ANAB;
• документ м/н сети IQNet;
• сертификат, соответствующий требованиям внутреннего стандарта ГОСТ Р ИСО МЭК 27001;
• шанс пройти процедуру трансферта;
• право проведения интегрированной сертификации для получения двух и более документов;
• возможность снизить цены на услуги путем привлечения профессиональных зарубежных аудиторов из представительств и филиалов;
• многие иные преимущества.
Оформление сертификата ISO 27001 проходит в несколько этапов:
Стоимость сертификации и срок оформления в России ИСО 27001
Получить сертификат ГОСТ Р ИСО 39001 можно с внедрением и без внедрения
Для оформления документа компании достаточно предоставить необходимую информацию, заключить контракт и оплатить услуги. В результате уже на следующий рабочий день будут получены:
Полученная документация подходит для получения допуска СРО и участия в Государственных тендерах различного масштаба.
Внедрение стандарта ГОСТ Р ИСО 27001
Стоимость внедрение стандарта зависит от многих факторов. Поэтому о конечной стоимости можно узнать лишь после проведения консультации.
Для этого позвоните по телефону 8 (800) 200-87-81 и наши эксперты предоставят всю необходимую информацию для дальнейшего сотрудничества.
Образцы выдаваемых сертификатов ИСО 27001
Сертификат ИСО 27001 (основной бланк)
Разрешение на использование знака РосТестСтандарт
ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001)
Системы менеджмента информационной безопасности
Вопросы обеспечения информационной безопасности (ИБ) для современной организации являются жизненно важными.
Наличие системы менеджмента информационной безопасности в соответствии с требованиями стандарта ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001) поможет организации сберечь её активы и обеспечить целостность, надежность и конфиденциальность информации.
С 2005 г. сертификационный аудит на соответствие требованиям стандарта ISO/IEC 27001 прошло более 25 тыс. компаний по всему миру (по данным IRCA).
Сертификация является полезным инструментом для повышения доверия, демонстрируя тем самым, что представляемые продукты и услуги отвечают потребностям заказчиков в области ИБ.
Стандарт ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001) – источник лучших практик при проектировании систем управления, применим практически к любой организации, независимо от формы собственности, вида деятельности, размера и внешних условий. Он нейтрален в технологическом плане и всегда оставляет возможность выбора технологий. ISO/IEC 27001 является одним из наиболее известных стандартов данной серии, отвечающим требованиям систем управления информационной безопасностью. Существует более десятка стандартов серии 27000.
Система менеджмента информационной безопасности (СМИБ) – часть общей системы управления, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации. Является системным подходом по управлению конфиденциальной информацией. В данную систему входит персонал, производимые процессы и ИТ-системы, объединенные путем внедрения процессов риск-менеджмента.
С целью формирования комплексных требований к безопасности информации стандарт определяет три основных показателя:
Основные элементы системы ИБ:
Основные задачи Стандарта:
Стандарт ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001) обеспечивает:
Интеграция с другими стандартами
Преимуществом внедрения стандарта ISO/IEC 27001 является прямая выгода для организаций, желающих внедрить более одной системы менеджмента одновременно. СМИБ, например, может быть интегрирована с:
Схожая структура стандартов позволяет сэкономить время и деньги, так как стала возможной реализация интегрированных политики и процедуры.
Выгоды от внедрения и сертификации
Что дает внедрение ISO/IEC 27001
Главным преимуществом создания и внедрения СМИБ в соответствии с требованиями ISO/IEC 27001 является независимое доказательство стабильности и надежности бизнес-процессов организации, в том числе:
Экономическими преимуществами являются:
Полезным преимуществом является эффективное управление аутсорсингом за счет четких критериев оценки поставщиков услуг и ответственности обеих сторон.
Конкурентным преимуществом является доказательство того, что процессы обеспечения ИБ организации способны удовлетворять потребности внешних пользователей в долгосрочной перспективе, риски оценены и управляются.
Сертификация СМИБ на соответствие требованиям ISO/IEC 27001:2013 соответственно – единственное общепринятое в мировой практике подтверждение соответствия международным требованиям.
Статистика гласит, что организации, обладающие международными сертификатами соответствия стандартам СМИБ, получают скидки, сопоставимые с затратами на проведение сертификации.
Преимущества внедрения стандарта ISO/IEC 27001
Кроме того, стандарт ISO/IEC 27001 модифицирован с целью адаптации к новой общей структуре, применяемой во всех стандартах на системы менеджмента, что упрощает его интеграцию с другими системами менеджмента.