Общая информация о СМИБ/ ГОСТ Р ИСО МЭК 27001 2021
Система менеджмента информационной безопасности
Международная система менеджмента информационной безопасности (СМИБ) была введена в 2006 году, но имела ряд уязвимостей, поэтому в 2021-м появилась новая версия стандарта. Документ может применяться компаниями любого масштаба, а также предприятиями любых отраслей.
Внедрение СМИБ – обязательное условие для создания конкурентоспособного и современного предприятия, а также возможность подтвердить ответственное отношение к управлению рисками для безопасности данных.
Основные понятия, используемые в стандарте
- СМИБ представляет собой совокупность внутренних документов и ресурсов, используемых для защиты активов.
- Под активом имеется в виду информация и средства ее обработки.
- В качестве рисков рассматривают вероятность наступления события, которое может нанести вред компании или физическим лицам в лице клиентов, партнеров, сотрудников.
- Меры безопасности – организационные, технические или физические решения, которые исключают или минимизируют риск. К мерам относят установку металлических дверей в серверных, использование авторизации, принятие стандартов и процедур и т.д.
Структура стандарта
ГОСТ содержит основную часть и приложения с перечнем возможных мер безопасности. Основной текст документа разбит на несколько разделов, каждый из которых представляет собой этап внедрения системы менеджмента ИБ:
- Планирование: оценка и обработка рисков, анализ ресурсов, необходимых для улучшения СМИБ, определение целей СМИБ.
- Исполнение: организация и контроль процессов, необходимых для соответствия требованиям СМИБ, мониторинг рисков.
- Оценка исполнения: оценка защищенности, внутренний аудит, контроль со стороны руководства.
- Улучшение СМИБ: устранение выявленных на предыдущих стадиях несоответствий.
В приложении к стандарту перечислены меры обеспечении безопасности, которые должны использоваться для защиты информации. Исключение какой-либо меры безопасности должно быть обосновано. В противном случае получить сертификат системы менеджмента информационной безопасности не получится.
Отличия версий 2006 и 2021 года
В новой версии документа появились понятия:
- Контекст деятельности – среда, в которой работает предприятие.
- Планы по достижению целей СМИБ – задачи, которые необходимо выполнить в процессе функционирования СМИБ.
- Владелец риска – представитель предприятия, который ответственен за активы и сопутствующие риски.
- Документированная информация – документы и записи, которые обеспечивают функционирование СМИБ.
Еще одно отличие обновленного стандарта – исчезла «лазейка», которая позволяла предприятия экономить на СМИБ, но при этом владеть соответствующим сертификатом.
В версии 2006 года именно заявители определяли области действия СМИБ на предприятии. Как правило, большинство концентрировалось на небольших процессах вроде технической поддержки, управления персоналом и т.д. Такой подход хоть и позволял сэкономить, но имел существенную уязвимость, ведь под защиту попадала лишь часть активов. Новая редакция требует защищать ПДн, КИИ и т.д.
Главным механизмом необходимости внедрения той или иной меры защиты по-прежнему остается оценка рисков, которая включает в себя несколько обязательных этапов:
- идентификация – поиск и систематизация рисков, связанных с активами;
- анализ – поиск причин возникновения рисков, вероятность наступления негативных последствий, значение каждого риска в баллах или стоимостном выражении;
- оценивание – определяется допустимый уровень риска в соответствии с собственной шкалой.
Внедрение СМИБ обеспечит предприятию не только конфиденциальность и сохранность важных данных, но и ряд других преимуществ:
- минимизирует риск хищения актива;
- позволит выявить существующие угрозы информационной безопасности;
- повысит доверие со стороны партнеров и клиентов.
Компания «АЛЬФА РЕГИСТР» поможет не только внедрить систему менеджмента информационной безопасности на вашем предприятии, но и подготовиться к процедуре сертификации. Доверяя нашим специалистам, вы экономите время и средства, а также гарантировано получаете тот результат, на который рассчитывали. В штате нашей компании только эксперты с богатым опытом, которые знают тонкости внедрения СМИБ на предприятиях самых разных отраслей.