ISO/IEC 27001:2013 Информационные технологии — Методы защиты — Системы менеджмента информационной безопасности – Требования
ISO/IEC 27001:2013 — это международный стандарт, который описывает наилучшую практику для системы управления информационной безопасностью (СМИБ). СМИБ обеспечивает системный подход к управлению информационной безопасностью организации. Она состоит из политик, процедур и других средств контроля, связанных с людьми, процессами и технологиями, и помогает организациям защищать свои данные от всевозможных угроз: внешних и внутренних, преднамеренных и непреднамеренных.
СМИБ может быть применена к организациям малого, среднего и крупного бизнеса в любом секторе промышленности. Сертификация ISO/IEC 27001 широко распространена в финансовом, IT, юридическом и здравоохранительном секторах.
Наличие сертификата соответствия ISO/IEC 27001 является демонстрацией партнерам и клиентам, что организация надлежащим образом и на регулярной основе управляет рисками информационной безопасности.
ISO/IEC 27001:2013 и управление рисками
Одной из главных целей системы является управление рисками. Организация должна определить область, охватываемую деятельностью по управлению рисками.
Процесс управления рисками включает – идентификацию рисков, анализ рисков, оценку рисков и обработку рисков. Так как СМИБ основана на регулярной оценке рисков, следовательно процесс управления рисками является повторяющимся.
Для более эффективного менеджмента рисками информационной безопасности следует руководствоваться ISO/IEC 27005:2018 и ISO 31000:2018.
Приложение А стандарта ISO/IEC 27001 определяет перечень задач управления безопасностью и соответствующих средств для их реализации, которые обязательны для применения. При этом стандарт допускает применение организациями иных средств в обоснованных случаях.
Рекомендации ISO/IEC 27001:2013 по управлению безопасностью
Преимущества сертификации по ISO/IEC 27001?
Конфиденциальная информация хранится в безопасности. СМИБ защищает личную информацию ваших клиентов, финансовые данные и интеллектуальную собственность от потери, повреждения или кражи.
Удовлетворенность клиентов. Клиенты и заинтересованные стороны обретают уверенность в том, как вы управляете информационной безопасностью.
Сокращение расходов, связанных с информационной безопасностью. Благодаря подходу ISO/IEC 27001 к оценке и анализу рисков вы можете сократить затраты на неразборчивое применение инструментов и средств информационной безопасности, которые могут не работать.
Соответствовать требованиям законодательства. ISO/IEC 27001 обеспечивает выполнение множества законодательных актов, требований, касающихся информационной безопасности, в том числе GDPR (Общие положения о защите данных).
Примечание. GDPR (Общее положение о защите данных) — это «общеевропейский» закон о защите данных, который заменил Директиву ЕС о защите данных 1995 года и все законы государств-членов на ее основе. GDPR должны соблюдать:
- все организации ЕС, которые собирают, хранят или иным образом обрабатывают личные данные лиц, проживающих в ЕС, даже если они не являются гражданами ЕС.
- организации, базирующиеся за пределами ЕС, которые предлагают товары или услуги резидентам ЕС, следят за их поведением или обрабатывают их личные данные.
Международное признание. Так как ISO 27001:2013 является международным стандартом — наличие сертификата СМИБ обеспечивает признание компании на международном уровне.
Создание внутрикорпоративной культуры информационной безопасности. Реализация требований ISO/IEC 27001 помогает в значительной степени определить и распределить роли и обязанности между персоналом, что способствует большей удовлетворенности сотрудников от работы, снижению внутренних конфликтов и достижению целей организации.
Для организаций, у которых уже есть сертифицированная (разработанная) в соответствии с требованиями ISO 9001:2015 система менеджмента качества (СМК), сертификация системы менеджмента информационной безопасности (СМИБ) по ISO/IEC 27001:2013 может проходить легче, в связи с тем, что часть требований к системам менеджмента пересекаются. Например – контекст организации, управление документацией, управление рисками и возможностями, управление компетентностью, управление ресурсами, внутренние аудиты и др.
Стандарты взаимосвязанные с ISO/IEC 27001:2013
- ISO/IEC 27002:2013 Информационные технологии — Методы защиты – Свод рекомендуемых правил для управления информационной безопасностью. ISO/IEC 27001 определяет 114 элементов управления, которые можно использовать для снижения рисков безопасности, а ISO/IEC 27002 может быть весьма полезным, поскольку в нем подробно описывается, как реализовать эти элементы управления.
- ISO/IEC 27004:2016, Информационные технологии – Техника безопасности – Система информационной безопасности- Мониторинг, меры, анализ и оценка. ISO/IEC 27004:2016 предоставляет руководящие указания, призванные помочь организациям в оценке эффективности информационной безопасности и эффективности системы управления информационной безопасностью для выполнения требований ISO/IEC 27001:2013, п. 9.1 (Мониторинг, измерение, анализ и оценка).
- ISO/IEC 27005:2018 Информационные технологии. Методы обеспечения безопасности. Менеджмент рисков информационной безопасности. Этот документ содержит рекомендации по управлению рисками информационной безопасности.
- ISO 31000:2018 Управление рисками – Руководство. Стандарт представляет руководящие принципы для эффективного и действенного управления рисками в простой форме. Стандарт применим к любым организациям и различным процессам от финансов до производства.