Информация и информационные системы являются жизненно важными активами любой конкурентоспособной организации. Неправомерные или случайные действия по уничтожению, изменению, блокированию, копированию и распространению информации приводят к серьезному материальному или репутационному ущербу для организации, ее контрагентов и подконтрольных организаций.

Информация может быть представлена в различных формах: в электронном виде на серверах и персональных компьютерах, передаваемая по вычислительным сетям; на бумажных носителях; в виде устной речи и пр. Построение системы управления информационной безопасностью в соответствии с требованиями общепризнанного международного стандарта ISO/IEC 27001:2013 предоставляет возможность комплексной защиты всех форм и средств обработки информации в целях обеспечения ее конфиденциальности, целостности и доступности.

Ключевыми плюсами стандарта ISO/IEC 27001:2013 являются:

  • Применим к любым организациям
    Стандарт не несет в себе отраслевой специфики, и применим к организациям любого размера.
  • Не навязывает средства и меры защиты
    Стандарт описывает систему управления, в рамках которой защита информации строится на основе оценки рисков. При этом организация должна самостоятельно определить методику оценки рисков и уровень рисков, приемлемых для нее. Это позволяет определить ключевые направления обеспечения безопасности, расходовать ресурсы только на те организационные и технические защитные меры, которые действительно позволят снизить риски бизнеса, связанные с нарушением информационной безопасности защищаемых активов.
  • Обеспечивает соответствие ИБ целям бизнеса и предусматривает постоянное совершенствование системы управления информационной безопасностью
    Стандарт разработан на базе известного стандарта на системы менеджмента качества – ISO 9001, и включает в число обязательных требований наличие таких процессов, как обучение персонала, внутренние аудиты, анализ со стороны руководства, управление корректирующими и предупреждающими действиями, что обеспечивает возможность проведения периодического контроля соответствия реализованных защитных мер целям и требованиям не только подразделения ИБ, но и бизнеса в целом.

Среди преимуществ, которые получают организации после внедрения системы управления информационной безопасностью и прохождения сертификационного аудита на соответствие требованиям стандарта ISO/IEC 27001:2013, стоит отметить:

  • повышение доверия клиентов, партнеров и других заинтересованных сторон за счет подтверждения соответствия определенному уровню защищенности информации;
  • укрепление имиджа организации на внутреннем и внешнем рынке;
  • повышение стабильности функционирования организации и уровня управляемости;
  • интеграция процессов управления информационной безопасностью в общую систему корпоративного управления организации;
  • четкое определение ролей и ответственности по обеспечению информационной безопасности для всех вовлеченных лиц;
  • адекватность выбранных защитных мер реальным угрозам информационной безопасности;
  • регулярная независимая оценка действующей системы управления информационной безопасности;
  • предотвращение и/или снижение ущерба от инцидентов информационной безопасности;
  • снижение операционных издержек и исключение «перекрестного» финансирования в рамках единой системы управления информационной безопасности;
  • улучшение:
    • взаимодействия между бизнес-сектором, ИТ и ИБ;
    • в обеспечении непрерывности бизнес-процессов;
    • применяемых методов обеспечения информационной безопасности с учетом практик, подтвердивших свою эффективность (best practice);
    • в обеспечении прозрачности управления информационной безопасности организации для руководства организации; 
    • уровня соответствия управления информационной безопасностью организации мировым практикам управления;
    • в эффективности использования времени и ресурсов;
  • облегчение внедрения иных стандартов в области обеспечения информационной безопасности (например, PCI DSS) и в области систем управления (например, ISO/IEC 20000-1, ISO 22301);
  • повышение компетентности персонала в области информационной безопасности и снижение влияния человеческого фактора на бизнес-процессы организации.

Кроме того, после внедрения в организации системы управления информационной безопасностью и прохождения сертификационного аудита на соответствие требованиям стандарта ISO/IEC 27001:2013 преимущества также получают:

  • контрагенты организации за счет:
    • гарантии выполнения предусмотренных законодательством и предъявляемых самими контрагентами требований по информационной безопасности;
  • собственники и инвесторы организации за счет:
    • роста конкурентоспособности организации на российских и международных рынках;
    • повышения инвестиционной привлекательности организации;
    • увеличения стоимости нематериальных активов;
    • увеличения доли рынка и улучшения результатов деятельности организации;
    • повышения капитализации организации;
    • увеличения шансов на победу в тендерах и конкурсах;
  • сотрудники ИБ-службы организации за счет:
    • снижения количества вопросов и специфичных требований в области информационной безопасности со стороны клиентов организации (благодаря наличию признаваемого сертификата соответствия, выданного независимой организацией).

Проект по внедрению системы управления информационной безопасностью с последующим выходом на сертификацию состоит из следующих этапов:

  1. Проведение анализа расхождений действующих процессов управления информационной безопасности организации с требованиями стандарта ISO/IEC 27001:2013 и разработка Плана внедрения системы управления информационной безопасностью;
  2. Определение и документирование Области применения системы управления информационной безопасностью организации;
  3. Разработка/доработка комплекта документации системы управления информационной безопасностью в соответствии с требованиями стандарта ISO/IEC 27001:2013;
  4. Проведение оценки рисков информационной безопасности в рамках утвержденной области применения системы управления информационной безопасностью и выбор средств и мер защиты информации, наиболее подходящих актуальным рискам информационной безопасности;
  5. Реализация с нашим участием и под нашим контролем согласованного Плана внедрения системы управления информационной безопасностью, включая внедрение процессов обеспечения информационной безопасности;
  6. Внедрение с нашим участием и под нашим контролем выбранных средств и мер защиты информации;
  7. Подтверждение корректности реализации согласованного Плана внедрения системы управления информационной безопасностью в ходе предсертификационных проверок совместно с сотрудниками организации;
  8. Сертификация системы управления информационной безопасностью на соответствие требованиям стандарта ISO/IEC 27001:2013.

Свяжитесь с экспертами «Информзащиты».

Мы готовы ответить на ваши вопросы и подобрать оптимальное решение!