ISO/IEC 27001 — один из самых часто упоминаемых стандартов в информационной безопасности, но на практике далеко не все понимают, что именно он дает бизнесу и как его применять. В статье разобрали, как устроен стандарт, какие требования действительно обязательны и как применять его на практике — от построения системы менеджмента информационной безопасности (СМИБ) до прохождения сертификации.
ОГЛАВЛЕНИЕ
Что такое ISO/IEC 27001
Ведущий международный стандарт ISO/IEC 27001 помогает организациям любого размера и любой отрасли выстроить системную защиту информации. Фреймворк был выпущен Международной организацией по стандартизации (ISO) совместно с Международной электротехнической комиссией (IEC).
Сертификат ISO IEC 27001 входит в семейство международных стандартов ISO/IEC 27000, посвященных лучшим практикам в области информационной безопасности. При этом ISO IEC 27001 занимает в нем центральное место, так как охватывает все основные аспекты управления информационной безопасности.
Сертификат ISO IEC 27001 входит в семейство международных стандартов ISO/IEC 27000, посвященных лучшим практикам в области информационной безопасности. При этом ISO IEC 27001 занимает в нем центральное место, так как охватывает все основные аспекты управления информационной безопасности.
Что определяет стандарт ISO IEC 27001
Документ разделен на две части:
1. Основная часть включает 11 разделов (от 0 до 10). Разделы 0–3 являются вводными, а разделы 4–10 содержат обязательные требования для соответствия стандарту.
2 .Во второй части, приложении А, приведен перечень мер контроля, которые могут быть внедрены для снижения рисков и выполнения требований безопасности. В редакции 2022 года содержится 93 контроля, сгруппированных в четыре категории:
В основе документа лежит риск-ориентированный подход. Компания должна составить реестр информационных активов, оценить связанные с ними угрозы, определить уровень рисков и подобрать подходящие меры контроля. Данный подход позволяет не внедрять все контроли подряд, а сосредоточиться на тех мерах, которые действительно актуальны для компании.
Контроли из приложения А тесно связаны со стандартом ISO/IEC 27002, в котором содержатся рекомендации по их практическому применению. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности, а ISO 27002 помогает выбрать и внедрить меры контроля с учетом рисков ИБ.
1. Основная часть включает 11 разделов (от 0 до 10). Разделы 0–3 являются вводными, а разделы 4–10 содержат обязательные требования для соответствия стандарту.
2 .Во второй части, приложении А, приведен перечень мер контроля, которые могут быть внедрены для снижения рисков и выполнения требований безопасности. В редакции 2022 года содержится 93 контроля, сгруппированных в четыре категории:
- организационные (А.5);
- кадровые (А.6);
- физические (А.7);
- технологические (А.8).
В основе документа лежит риск-ориентированный подход. Компания должна составить реестр информационных активов, оценить связанные с ними угрозы, определить уровень рисков и подобрать подходящие меры контроля. Данный подход позволяет не внедрять все контроли подряд, а сосредоточиться на тех мерах, которые действительно актуальны для компании.
Контроли из приложения А тесно связаны со стандартом ISO/IEC 27002, в котором содержатся рекомендации по их практическому применению. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности, а ISO 27002 помогает выбрать и внедрить меры контроля с учетом рисков ИБ.
СМИБ 27001 как основа стандарта
Стандарт ISO IES 27001 требует, чтобы компания выстроила систему менеджмента информационной безопасности (СМИБ) для управления чувствительной информацией. СМИБ помогает организациям выявлять риски ИБ, внедрять соответствующие меры и постоянно улучшать процессы ИБ. СМИБ строится на циклической модели Plan – Do – Check – Act (PDCA, цикл Деминга).
Это означает, что организация планирует меры по ИБ, внедряет их, проверяет результат и при необходимости корректирует свои процессы ИБ. Такой подход показывает, что информационная безопасность – это не разовая мера, а непрерывный процесс. Модель PDCA состоит из четырех этапов:
1. Plan (Планирование): на этом этапе определяются требования к процессам ИБ, распределяются роли и обязанности, устанавливаются цели в области ИБ. Также выбирается подход к оценке рисков и определяются документы и ресурсы, необходимые для работы СМИБ.
2. Do (Исполнение): внедряются запланированные меры, выполняются процессов ИБ, проводится оценка и обработка рисков ИБ.
3. Check (Проверка): проводится оценка эффективности СМИБ с помощью мониторинга, внутренних аудитов, анализа инцидентов и контроля со стороны руководства.
4. Act (Корректировка): по результатам оценки принимаются корректирующие меры, устраняются выявленные несоответствия и поддерживается дальнейшее развитие системы.
Это означает, что организация планирует меры по ИБ, внедряет их, проверяет результат и при необходимости корректирует свои процессы ИБ. Такой подход показывает, что информационная безопасность – это не разовая мера, а непрерывный процесс. Модель PDCA состоит из четырех этапов:
1. Plan (Планирование): на этом этапе определяются требования к процессам ИБ, распределяются роли и обязанности, устанавливаются цели в области ИБ. Также выбирается подход к оценке рисков и определяются документы и ресурсы, необходимые для работы СМИБ.
2. Do (Исполнение): внедряются запланированные меры, выполняются процессов ИБ, проводится оценка и обработка рисков ИБ.
3. Check (Проверка): проводится оценка эффективности СМИБ с помощью мониторинга, внутренних аудитов, анализа инцидентов и контроля со стороны руководства.
4. Act (Корректировка): по результатам оценки принимаются корректирующие меры, устраняются выявленные несоответствия и поддерживается дальнейшее развитие системы.
Преимущества внедрения ISO/IEC 27001
Благодаря комплексному подходу стандарт помогает организациям выстроить управление информационной безопасностью и сделать внутренние бизнес-процессы более устойчивыми. Внедрение стандарта даёт компаниям несколько преимуществ:
1. Защита от угроз информационной безопасности: защищает компании как от внешних киберугроз, так и от ошибок сотрудников.
2. Снижение расходов: документ направлен на предотвращение инцидентов ИБ, каждый из которых приводит к финансовым потеря.
3. Конкурентное преимущество: сертификация может выделить организацию среди конкурентов, демонстрируя приверженность к сохранности информации.
4. Уверенность для клиентов: сертификат обеспечивает клиентам уверенность в том, что их данные хранятся и обрабатываются безопасно.
1. Защита от угроз информационной безопасности: защищает компании как от внешних киберугроз, так и от ошибок сотрудников.
2. Снижение расходов: документ направлен на предотвращение инцидентов ИБ, каждый из которых приводит к финансовым потеря.
3. Конкурентное преимущество: сертификация может выделить организацию среди конкурентов, демонстрируя приверженность к сохранности информации.
4. Уверенность для клиентов: сертификат обеспечивает клиентам уверенность в том, что их данные хранятся и обрабатываются безопасно.
Как проходит сертификация по ISO/IEC 27001
После полного внедрения СМИБ организация может пройти сертификацию по ISO/IEC 27001, признаваемую на международном уровне. Для этого необходимо привлечь аккредитованный орган по сертификации, который оценит соответствие системы менеджмента ИБ требованиям стандарта. Обычно аудит проходит в два этапа: сначала оцениваются документы и готовность организации, затем — работа СМИБ на практике. После успешного аудита компания получает сертификат ISO/IEC 27001, подтверждающий соответствие её СМИБ требованиям стандарта. Сертификат выдаётся на три года, при этом его действие поддерживается ежегодными надзорными аудитами.
В международной практике сертификацию проводят аккредитованные органы, например, TÜV (Германия, Австрия), Bureau Veritas (Франция), BSI (Великобритания) и др. Большинство из них приостановили работу в России, однако часть по-прежнему ведёт деятельность, например, Интерсертифика-ТЮФ (TÜV Thüringen), TÜV Austria и Bureau Veritas. Наряду с ними такую сертификацию осуществляют и российские органы по сертификации, например Русский Регистр и ЕВРОСЕРТ Интернациональ РУС. Важно, чтобы выбранный орган имел аккредитацию, признаваемую за рубежом, тогда сертификат будет действителен на международном рынке.
Физические лица также могут получить cтандарт безопасности ISO 27001, пройдя обучение и сдав экзамен, тем самым подтверждая потенциальным работодателям свои навыки внедрения или аудита СМИБ.
В международной практике сертификацию проводят аккредитованные органы, например, TÜV (Германия, Австрия), Bureau Veritas (Франция), BSI (Великобритания) и др. Большинство из них приостановили работу в России, однако часть по-прежнему ведёт деятельность, например, Интерсертифика-ТЮФ (TÜV Thüringen), TÜV Austria и Bureau Veritas. Наряду с ними такую сертификацию осуществляют и российские органы по сертификации, например Русский Регистр и ЕВРОСЕРТ Интернациональ РУС. Важно, чтобы выбранный орган имел аккредитацию, признаваемую за рубежом, тогда сертификат будет действителен на международном рынке.
Физические лица также могут получить cтандарт безопасности ISO 27001, пройдя обучение и сдав экзамен, тем самым подтверждая потенциальным работодателям свои навыки внедрения или аудита СМИБ.
FAQ от эксперта
Обязательна ли сертификация по ISO/IEC 27001?
Нет, сертификация добровольна, однако она может требоваться заказчиками, регуляторами или отраслевыми стандартами. Компания может внедрить СМИБ без формального прохождения сертификации.
Сколько времени занимает внедрение?
Сроки зависят от масштаба компании и зрелости существующих процессов ИБ. В среднем – от 3 до 12 месяцев, включая разработку документации, оценку рисков, внедрение контролей и проведение внутреннего аудита.
Какие требования ISO IEC 27001?
Для соответствия стандарту компания должна разработать и поддерживать минимально необходимый набор документов, например, политики, планы, отчёты. Кроме того, требуется выполнять ряд обязательных действий, таких как оценка и обработка рисков, внутренний аудит и анализ со стороны руководства.
Нет, сертификация добровольна, однако она может требоваться заказчиками, регуляторами или отраслевыми стандартами. Компания может внедрить СМИБ без формального прохождения сертификации.
Сколько времени занимает внедрение?
Сроки зависят от масштаба компании и зрелости существующих процессов ИБ. В среднем – от 3 до 12 месяцев, включая разработку документации, оценку рисков, внедрение контролей и проведение внутреннего аудита.
Какие требования ISO IEC 27001?
Для соответствия стандарту компания должна разработать и поддерживать минимально необходимый набор документов, например, политики, планы, отчёты. Кроме того, требуется выполнять ряд обязательных действий, таких как оценка и обработка рисков, внутренний аудит и анализ со стороны руководства.
Остались вопросы или нужна консультация эксперта?
Оставьте заявку >>>
