Для успешной и безопасной работы в эпоху цифровизации компаниям необходимо соответствовать высоким стандартам информационной безопасности. Международная организация по стандартизации (ISO) создала стандарт информационной безопасности в компаниях. Предприятия, которые соответствуют этому стандарту, могут получить соответствующий сертификат. Этот сертификат был разработан известными, признанными во всем мире экспертами по информационной безопасности. Он описывает методологию, которую компании должны применять для обеспечения высокого уровня информационной безопасности.
Что такое ISO 27001?
Международный стандарт ISO 27001 позволяет компаниям и организациям следовать эталону информационной безопасности. Стандарт построен таким образом, что размер компании и отрасль не играют никакой роли для его внедрения. После выполнения всех требований можно получить сертификат ISO 27001. Используя этот сертификат, компания может продемонстрировать клиентам и деловым партнерам, что она заслуживает доверия и серьезно относится к информационной безопасности.
Международный стандарт ISO 27001 регулирует информационную безопасность в частных, государственных или некоммерческих организациях. Он описывает требования к созданию, внедрению, эксплуатации и оптимизации документированной системы управления информационной безопасностью.
Преимущества ISO 27001 для компаний
Преимущества для компаний относятся к четырем различным областям. С одной стороны, этот сертификат предлагает основу для внедрения законодательных норм. С другой стороны, сертификат может обеспечить конкурентное преимущество. В конце концов, не все компании сертифицированы по ISO 27001. Компании, обладающие этим сертификатом, могут доказать своим клиентам, что они надежно обрабатывают конфиденциальную информацию. Соответствие стандарту снижает риск сбоев в информационной безопасности. Это означает, что ISO 27001 может также способствовать экономии средств, поскольку подобные инциденты обычно связаны с финансовыми расходами.
Кроме того, сертификация ISO 27001 оптимизирует процессы в компании. Время простоя персонала сводится к минимуму благодаря письменному определению основных процессов компании.
Дополнительные преимущества включают:
- Снижение бизнес-рисков
- Минимизация рисков ответственности
- Снижение страховых взносов
- Надежное обнаружение проблем и угроз
ISO 27001: основные компоненты
Стандарт ISO 27001 состоит из нескольких частей. Его основой является стандарт ISO/IEC 27001, созданный в 2005 году. В 2015 году он был тщательно пересмотрен и дополнен еще одним каталогом — второй частью. Эта часть представлена в виде приложения к стандарту и подробно описывает обновленные изменения. Стандарт можно условно разделить на три раздела: Собственно основная часть следует за вводными главами. Завершает стандарт упомянутое выше приложение.
Нормативная основная часть имеет решающее значение для сертификации по ISO 27001. Именно здесь точно объясняются цели мер. Но эти меры не являются инструкциями по внедрению требований; вместо этого они предназначены в качестве предложений для успешной реализации. Эти предложения в основном основаны на таких столпах, как конфиденциальность, доступность и целостность.
Для упрощения процессов и внедрения ISO 27001 также заимствует принципы из других стандартов. Параллели с другими стандартами — которые вы, возможно, уже знаете — действительно помогают и стимулируют организации при внедрении требований ISO 27001.
Какие требования предъявляются для сертификации?
В 2013 году требования ISO 27001 значительно изменились по сравнению с первой версией 2005 года. Общая структура стандарта была не только изменена, но и в значительной степени ужесточена.
Стандарт ISO 27001 придерживается процессно-ориентированного подхода при внедрении системы менеджмента информационной безопасности (ISMS). Хотя в предыдущей версии была явная ссылка на модель PDCA, теперь она не является обязательной. Требования применимы к организациям любого размера и типа.
ISO 27001 предусматривает, что компании должны определить и рассмотреть все внешние и внутренние аспекты, которые влияют на их способность успешно внедрить СУИБ. К ним в первую очередь относятся корпоративная культура, условия окружающей среды, нормативные требования, договорные и юридические обязательства, а также руководящие принципы управления. Стандарт ISO 27001 предполагает, что высшее руководство организации должно определить политику информационной безопасности, а также ответственность и компетенцию за выполнение требований. Кроме того, компания должна взять на себя обязательства по повышению осведомленности в вопросах информационной безопасности во всей организации.
Планирование также играет ключевую роль в сертификации ISO 27001. Например, требования включают оценку конкретных рисков информационной безопасности для организации, а также разработку плана действий. Ответственность за определение рисков и их предотвращение лежит исключительно на организации. Более того, стандарт предусматривает, что компания должна выделять ресурсы для обеспечения постоянного совершенствования, а также поддержания и реализации СУИБ. ISMS также должна быть тщательно документирована. Кроме того, через определенные промежутки времени необходимо проводить оценку эффективности. Компании должны пересматривать, измерять и анализировать эффективность своей СУИБ — также через установленные промежутки времени.
Каталог наиболее важной информации, а также приложение, содержащее наиболее актуальные изменения с 2013 года, можно найти на сайте Dekra. Сразу после создания СУИБ ценности компании классифицируются. При этом также соблюдаются три принципа: конфиденциальность, целостность и доступность. Эта классификация делится на три уровня.
Уровень 1 охватывает, например, публичные документы, фальсификация которых нанесет относительно незначительный ущерб компании в размере до 500 долларов. Этот уровень относится к документам, для которых даже постоянное нарушение стандартов ISO в течение недели вряд ли приведет к существенному ущербу для организации.
Уровень 2 охватывает внутренние документы компании, такие как счета и платежные ведомости. Здесь нарушение стандарта информационной безопасности ISO приведет к умеренному финансовому ущербу в размере до 5 000 долларов. Такой инцидент не должен продолжаться более 24 часов.
Наконец, уровень 3 охватывает особо важные внутренние документы компании. Фальсификация этих документов приведет к ущербу, превышающему порог в 5 000 долларов. Этот тип инцидента не может длиться дольше трех часов.
Внедрение стандарта и последующая сертификация
Внедрение стандарта ISO/IEC 27001 требует определенных шагов, которые не одинаково применимы в каждой компании. В зависимости от организации могут возникать уникальные проблемы, и каждая СУИБ должна быть адаптирована к конкретному случаю. Поэтому в следующем разделе мы объясним шаги, которые применимы к большинству организаций независимо от отрасли.
Первым шагом для успешной сертификации компании является обеспечение поддержки и приверженности высшего руководства. Руководство должно расставить приоритеты для успешного внедрения СУИБ и четко определить цели политики информационной безопасности для всех сотрудников.
После этого следует определить некоторые элементы политики информационной безопасности. Организация устанавливает цели этой политики и обеспечивает стратегический фокус для принципов информационной безопасности. Это послужит основой для будущих разработок.
Как только политика информационной безопасности установлена, организация определяет области применения СУИБ. Здесь важно указать все аспекты информационной безопасности, которые могут быть эффективно решены с помощью СУИБ. Необходимо также подготовить анализ рисков, связанных с мерами информационной безопасности. Он должен определить потенциальные опасности, которые необходимо учитывать. Таким образом, в ходе анализа необходимо рассмотреть слабые места существующей системы.
А для снижения существующих рисков организация должна затем определить подходящие меры. Результатом этого анализа является каталог мер, который постоянно контролируется и корректируется по мере необходимости. После успешного внедрения организация проводит предварительный аудит, который проводится перед фактическим сертификационным аудитом. Цель предварительного аудита — выявить потенциальные уязвимости и проблемы, которые могут негативно повлиять на результаты реального сертификационного аудита. Любые области несоответствия стандарту ISO 27001 должны быть устранены.
Последним шагом для успешного внедрения стандарта ISO 27001 является проведение реального сертификационного аудита. Теперь независимый сертифицирующий орган изучит действующую СУИБ и даст свою оценку. Если план соответствует требованиям ISO 27001, аудит будет успешно завершен, и сертификация может быть продолжена. Затем сертифицирующий орган выдаст сертификат. Однако важно регулярно проводить контрольные аудиты. Это гарантирует, что требования стандарта по-прежнему выполняются на постоянной основе. Контрольные аудиты проводятся каждые три года. Сертификат будет продлен независимым органом по сертификации еще на три года только в случае успешного проведения контрольных аудитов.
Затраты на сертификацию
Затраты на успешную сертификацию всегда зависят от индивидуальной ситуации в организации. Такие факторы затрат, как обучение и специальная литература, внешняя поддержка и затраты на технологию, играют важную роль. Кроме того, организация не должна забывать, что вводный период для персонала также будет стоить денег. Существуют также затраты на саму сертификацию.
Стоимость сертификации варьируется и зависит от размера организации. Кроме того, затраты также определяются количеством дней, необходимых для проведения окончательного аудита. Для малого и среднего бизнеса работа, как правило, длится всего около десяти рабочих дней. Более крупные компании или корпорации, соответственно, должны иметь больше времени и больший бюджет.