ISO/IEC 27001: как устроен стандарт и зачем он бизнесу

Ведущий международный стандарт ISO/IEC 27001 помогает организациям любого размера и любой отрасли выстроить системную защиту информации. Фреймворк был выпущен Международной организацией по стандартизации (ISO) совместно с Международной электротехнической комиссией (IEC).

Сертификат ISO IEC 27001 входит в семейство международных стандартов ISO/IEC 27000, посвященных лучшим практикам в области информационной безопасности. При этом ISO IEC 27001 занимает в нем центральное место, так как охватывает все основные аспекты управления информационной безопасности.

Документ разделен на две части:

1. Основная часть включает 11 разделов (от 0 до 10). Разделы 0–3 являются вводными, а разделы 4–10 содержат обязательные требования для соответствия стандарту.

2 .Во второй части, приложении А, приведен перечень мер контроля, которые могут быть внедрены для снижения рисков и выполнения требований безопасности. В редакции 2022 года содержится 93 контроля, сгруппированных в четыре категории:

• организационные (А.5);
• кадровые (А.6);
• физические (А.7);
• технологические (А.8).

В основе документа лежит риск-ориентированный подход. Компания должна составить реестр информационных активов, оценить связанные с ними угрозы, определить уровень рисков и подобрать подходящие меры контроля. Данный подход позволяет не внедрять все контроли подряд, а сосредоточиться на тех мерах, которые действительно актуальны для компании.

Контроли из приложения А тесно связаны со стандартом ISO/IEC 27002, в котором содержатся рекомендации по их практическому применению. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности, а ISO 27002 помогает выбрать и внедрить меры контроля с учетом рисков ИБ.

Стандарт ISO IES 27001 требует, чтобы компания выстроила систему менеджмента информационной безопасности (СМИБ) для управления чувствительной информацией. СМИБ помогает организациям выявлять риски ИБ, внедрять соответствующие меры и постоянно улучшать процессы ИБ. СМИБ строится на циклической модели Plan – Do – Check – Act (PDCA, цикл Деминга).

Это означает, что организация планирует меры по ИБ, внедряет их, проверяет результат и при необходимости корректирует свои процессы ИБ. Такой подход показывает, что информационная безопасность – это не разовая мера, а непрерывный процесс. Модель PDCA состоит из четырех этапов:

1. Plan (Планирование): на этом этапе определяются требования к процессам ИБ, распределяются роли и обязанности, устанавливаются цели в области ИБ. Также выбирается подход к оценке рисков и определяются документы и ресурсы, необходимые для работы СМИБ.

2. Do (Исполнение): внедряются запланированные меры, выполняются процессов ИБ, проводится оценка и обработка рисков ИБ.

3. Check (Проверка): проводится оценка эффективности СМИБ с помощью мониторинга, внутренних аудитов, анализа инцидентов и контроля со стороны руководства.

4. Act (Корректировка): по результатам оценки принимаются корректирующие меры, устраняются выявленные несоответствия и поддерживается дальнейшее развитие системы.

Благодаря комплексному подходу стандарт помогает организациям выстроить управление информационной безопасностью и сделать внутренние бизнес-процессы более устойчивыми. Внедрение стандарта даёт компаниям несколько преимуществ:

1. Защита от угроз информационной безопасности: защищает компании как от внешних киберугроз, так и от ошибок сотрудников.

2. Снижение расходов: документ направлен на предотвращение инцидентов ИБ, каждый из которых приводит к финансовым потеря.

3. Конкурентное преимущество: сертификация может выделить организацию среди конкурентов, демонстрируя приверженность к сохранности информации.

4. Уверенность для клиентов: сертификат обеспечивает клиентам уверенность в том, что их данные хранятся и обрабатываются безопасно.

После полного внедрения СМИБ организация может пройти сертификацию по ISO/IEC 27001, признаваемую на международном уровне. Для этого необходимо привлечь аккредитованный орган по сертификации, который оценит соответствие системы менеджмента ИБ требованиям стандарта. Обычно аудит проходит в два этапа: сначала оцениваются документы и готовность организации, затем — работа СМИБ на практике. После успешного аудита компания получает сертификат ISO/IEC 27001, подтверждающий соответствие её СМИБ требованиям стандарта. Сертификат выдаётся на три года, при этом его действие поддерживается ежегодными надзорными аудитами.

В международной практике сертификацию проводят аккредитованные органы, например, TÜV (Германия, Австрия), Bureau Veritas (Франция), BSI (Великобритания) и др. Большинство из них приостановили работу в России, однако часть по-прежнему ведёт деятельность, например, Интерсертифика-ТЮФ (TÜV Thüringen), TÜV Austria и Bureau Veritas. Наряду с ними такую сертификацию осуществляют и российские органы по сертификации, например Русский Регистр и ЕВРОСЕРТ Интернациональ РУС. Важно, чтобы выбранный орган имел аккредитацию, признаваемую за рубежом, тогда сертификат будет действителен на международном рынке.

Физические лица также могут получить cтандарт безопасности ISO 27001, пройдя обучение и сдав экзамен, тем самым подтверждая потенциальным работодателям свои навыки внедрения или аудита СМИБ.

Обязательна ли сертификация по ISO/IEC 27001?
Нет, сертификация добровольна, однако она может требоваться заказчиками, регуляторами или отраслевыми стандартами. Компания может внедрить СМИБ без формального прохождения сертификации.

Сколько времени занимает внедрение?
Сроки зависят от масштаба компании и зрелости существующих процессов ИБ. В среднем – от 3 до 12 месяцев, включая разработку документации, оценку рисков, внедрение контролей и проведение внутреннего аудита.

Какие требования ISO IEC 27001?
Для соответствия стандарту компания должна разработать и поддерживать минимально необходимый набор документов, например, политики, планы, отчёты. Кроме того, требуется выполнять ряд обязательных действий, таких как оценка и обработка рисков, внутренний аудит и анализ со стороны руководства.