Что такое ISO 27001?

ISO / IEC 27001: 2013 (также известный как ISO 27001) — международный стандарт информационной безопасности. Он устанавливает спецификацию системы менеджмента информационной безопасности (СМИБ).

Подход, основанный на передовой практике стандарта системы управления информационной безопасностью, помогает организациям управлять своей информационной безопасностью, обращаясь к людям, процессам и технологиям.

Сертификация по стандарту ISO 27001 признана во всем мире как показатель того, что ваша СМИБ соответствует передовой практике информационной безопасности.

Являясь частью серии стандартов информационной безопасности ISO 27000, ISO 27001 представляет собой структуру, которая помогает организациям «создавать, внедрять, эксплуатировать, отслеживать, анализировать, поддерживать и постоянно улучшать СМИБ».

Последняя версия стандарта информационной безопасности ISO 27001 была опубликована в сентябре 2013 года, заменив версию 2005 года.

 

Что такое СМИБ?

СМИБ — это целостный подход к обеспечению конфиденциальности, целостности и доступности (CIA) корпоративных информационных активов.

Он состоит из политик, процедур и других средств контроля с участием людей, процессов и технологий.

Основанная на регулярных оценках рисков информационной безопасности, СМИБ представляет собой эффективный, ориентированный на риски и технологически нейтральный подход к обеспечению безопасности ваших информационных активов.

 

Разделы и меры контроля ISO 27001

Стандарт содержит десять пунктов о системе менеджмента. Вместе с Приложением A, в котором перечислено 114 мер защиты информации, они поддерживают внедрение и сопровождение СМИБ.

1 Область применения

2. Нормативные ссылки
3. Термины и определения
4. Контекст
5. Лидерство
6. Планирование и управление рисками
7. Поддержка
8. Операции
9. Оценка эффективности
10. Улучшение

Преимущества ISO 27001

ISO 27001 — один из самых популярных существующих стандартов информационной безопасности. Независимая аккредитованная сертификация по стандарту признана во всем мире. Количество сертификатов выросло более чем на 450% за последние десять лет.

Внедрение Стандарта поможет вам соответствовать требованиям к информационной безопасности таких законов, как GDPR (Общий регламент по защите данных) ЕС и Правила NIS (Сетевые и информационные системы). Это помогает снизить расходы, связанные с утечкой данных.

ISO / IEC 27001: 2013 средства управления

Стандарт не требует, чтобы были реализованы все 114 средств контроля Приложения А. Оценка риска должна определить, какие средства контроля требуются, и предоставить обоснование того, почему другие средства контроля исключены из СМИБ.

Ниже приведен список контролей:

• A.5 Политики информационной безопасности
• A.6 Организация информационной безопасности
• A.7 Безопасность человеческих ресурсов
• A.8 Управление активами
• A.9 Контроль доступа
• A.10 Криптография
• A.11 Физическая безопасность и безопасность окружающей среды
• A.12 Безопасность операций
• A.13 Безопасность связи
• A.14 Приобретение, разработка и обслуживание системы
• A.15 Отношения с поставщиками
• A.16 Управление инцидентами информационной безопасности
• A.17 Аспекты информационной безопасности при управлении непрерывностью бизнеса
• A.18 Соответствие

 

Как добиться соответствия с ISO 27001

Внедрение СМИБ включает:

• Определение объема проекта.
• Обеспечение приверженности руководства и бюджета.
• Выявление заинтересованных сторон и юридических, нормативных и договорных требований.
• Проведение оценки рисков.
• Обзор и внедрение необходимых средств контроля.
• Развитие внутренней компетенции для управления проектом.
• Разработка соответствующей документации.
• Проведение обучения персонала.
• Отчетность (например, Заявление о применимости и план обработки рисков).
• Постоянное измерение, мониторинг, анализ и аудит СМИБ.
• Осуществление необходимых корректирующих и предупреждающих действий.