Стандарт ISO 27001
Стандарт ISO\IEC 27001 выступает в качестве общепризнанного международного стандарта системы управления информационной безопасности. Его основным отличием от других стандартов в области защиты информации является то обстоятельство, что он может успешно применяться в любых организациях, независимо от их рода деятельности. Подтверждением этому служит большой список организаций во всем мире, которые уже получили сертификат соответствия стандарту ISO\IEC 27001.
Еще одной особенностью стандарта ISO\IEC 27001 является то, что данный стандарт предъявляет основные требования не к техническим средствам защиты, а к системе управления информационной безопасностью. Это выступает главным качеством описываемого стандарта и потому Заказчик должен ясно представлять себе, что внедрение даже небольшой части требований стандарта ISO\IEC 27001 в первую очередь, скажется на процессах, а не на технических средствах.
Стандарт ISO\IEC 27001 также отличается от других стандартов по информационной безопасности областью своего применения. Широко известен тот факт, что прибыль в организации приносит эффективно функционирующий бизнес-процесс. Именно по этой причине стандарт ISO\IEC 27001 защищает бизнес-процесс в организации. Важно понимать, что целью всего стандарта является не достижение определенного уровня безопасности ради самой безопасности, а главное - внедрение соответствующих мер по защите активов компании, которые основаны на их критичности для бизнеса предприятия.
Внедрение рекомендаций стандарта ISO\IEC 27001.
Построение стандарта информационной безопасности позволяет четко отследить взаимосвязь процессов и подсистем информационной безопасности, т.е. получить конкретные и очевидные ответы на вопросы:
- кто отвечает за процессы и подсистемы ИБ:
- какие финансовые и трудовые ресурсы необходимы для их эффективного функционирования, и т. д.
Вся система управления ИБ строится в соответствии с международным стандартом ISO/IEC 27001, в результате чего Заказчик получает выгоды от внедрения системы управления информационной безопасностью и прохождения сертификационного аудита.
Даже если частично внедрить требования стандарта ISO/IEC 27001 происходит качественное улучшение СУИБ.
А если произвести полное внедрение требований стандарта ISO/IEC 27001, то Заказчик получит ряд следующих внутренних преимуществ:
- обеспечение выявления угроз информационной безопасности для бизнес-процессов;
- осуществление систематизации процессов обеспечения информационной безопасности;
- создание управляемой и контролируемой системы управления информационной безопасностью;
- в результате система информационной безопасности становится адекватна существующим уровням риска;
- происходит привязка приоритетов компании в области информационной безопасности к актуальным угрозам ее активам;
- обеспечивается снижение финансовых рисков и рисков прямых потерь компании достигаемое за счет повышения качества управления рисками;
- обеспечивается повышение текущего уровня защищенности от угроз информационной безопасности;
- происходит оптимизация расходов на информационную безопасность, обеспечивается их логичное обоснование;
- обеспечивается снижение операционных затрат достигаемое за счет формализации процессов информационной безопасности;
- достигается прозрачность в обеспечении информационной безопасности, а также прозрачность в управлении информационными системами компании;
- обеспечивается приведение уровня информационной безопасности в компании в соответствие законодательным, отраслевым, контрактным, внутрикорпоративным требованиям и целям бизнеса.
Кроме того, при полном внедрении требований стандарта ISO/IEC 27001, Заказчик также получает ряд следующих внешних преимуществ:
- обеспечение снижения операционных рисков и, как правило, последующее повышение экономической эффективности, что обусловлено тем, что риски информационной безопасности являются их достаточно большим подмножеством;
- снижение рисков для инвесторов, а также повышение прозрачности процессов внутри компании, что в свою очередь приводит увеличению котировочной стоимости для публичных компаний или повышению стоимости акций при выходе на IPO;
- обеспечивается повышение доверия клиентов, партнеров и заказчиков за счет демонстрации действий по минимизации рисков информационной безопасности, за счет демонстрации высокого уровня зрелости обеспечения ИБ всем заинтересованным сторонам;
- в случае слияния или поглощения компаний достигается уменьшение затрат ресурсов и вложений в информационную безопасность;
- достигается упрощение прохождения финансового аудита в части ИТ-аудита сопровождения;
- достигается значительная экономия времени, ресурсов и затрат на начальной стадии сбора информации при проведении любых внешних аудитов, включая аудиты Центробанка и финансовые аудиты.
При обращении в нашу компанию высокопрофессиональные специалисты окажут Вам качественные услуги по построению системы управления информационной безопасностью, а именно:
- организация и проведение аудита по выявлению несоответствий (gap analysis), что позволит точно определить, насколько текущая система управления организации соответствует ISO/IEC 27001, при этом для каждого процесса обеспечения или управления ИБ будет определена степень зрелости и будут разработаны рекомендации для соответствия требованиям ISO/IEC 27001.
Полученные в результате такого аудита данные могут быть использованы в качестве основы для составления плана-графика построения системы управления информационной безопасностью в организации. Необходимо также обратить внимание на то, что построение системы управления информационной безопасностью в соответствии с требованиями ISO/IEC 27001 в организации может предполагать проведение полного комплекса работ со стадии планирования СУИБ до стадии проведения сертификационного аудита. Если же проведение сертификации не является целью, то возможно только внедрение отдельных процессов, критичных с точки зрения организации.