Общая информация о СМИБ/ ГОСТ Р ИСО МЭК 27001 2021
Система менеджмента информационной безопасности
Международная система менеджмента информационной безопасности (СМИБ) была введена в 2006 году, но имела ряд уязвимостей, поэтому в 2021-м появилась новая версия стандарта. Документ может применяться компаниями любого масштаба, а также предприятиями любых отраслей.
Внедрение ISO/IEC 27001:2013 (ГОСТ Р ИСО/МЭК 27001-2021) – обязательное условие для создания конкурентоспособного и современного предприятия, а также возможность подтвердить ответственное отношение к управлению рисками для безопасности данных.
Основные понятия, используемые в стандарте
- Международный стандарт ISO/IEC 27001:2013 (СМИБ)представляет собой совокупность внутренних документов и ресурсов, используемых для защиты активов.
- Под активом имеется в виду информация и средства ее обработки.
- В качестве рисков рассматривают вероятность наступления события, которое может нанести вред компании или физическим лицам в лице клиентов, партнеров, сотрудников.
- Меры безопасности – организационные, технические или физические решения, которые исключают или минимизируют риск. К мерам относят установку металлических дверей в серверных, использование авторизации, принятие стандартов и процедур и т.д.
Структура стандарта
ГОСТ Р ИСО/МЭК 27001-2021 содержит основную часть и приложения с перечнем возможных мер безопасности. Основной текст документа разбит на несколько разделов, каждый из которых представляет собой этап внедрения системы менеджмента ИБ:
- Планирование: оценка и обработка рисков, анализ ресурсов, необходимых для улучшения СМИБ, определение целей СМИБ.
- Исполнение: организация и контроль процессов, необходимых для соответствия требованиям СМИБ, мониторинг рисков.
- Оценка исполнения: оценка защищенности, внутренний аудит, контроль со стороны руководства.
- Улучшение СМИБ: устранение выявленных на предыдущих стадиях несоответствий.
В приложении к стандарту перечислены меры обеспечении безопасности, которые должны использоваться для защиты информации. Исключение какой-либо меры безопасности должно быть обосновано. В противном случае получить сертификат системы менеджмента информационной безопасности не получится.
Цели и суть стандарта ISO/IEC 27001
Главная цель ISO/IEC 27001:2013 — построить системный подход к управлению информационной безопасностью, при котором защита данных не ограничивается установкой антивируса или настройкой доступа, а становится частью стратегии компании.
Стандарт требует от организации:
- анализировать риски безопасности;
- внедрять управляемые меры защиты;
- документировать процессы;
- постоянно улучшать эффективность системы.
Основные требования ISO/IEC 27001:2013 (ГОСТ Р ИСО/МЭК 27001-2021)
| Требование стандарта | Что это значит на практике | Польза для компании |
| Контекст организации | Определение внешних и внутренних факторов, влияющих на безопасность данных, а также заинтересованных сторон (клиенты, регуляторы, партнёры). | Позволяет выстроить систему защиты с учётом бизнес-рисков и требований законодательства. |
| Лидерство и политика безопасности | Руководство утверждает политику ИБ, выделяет ресурсы, определяет роли и ответственность. | Повышается вовлечённость руководства и создаётся единый вектор действий. |
| Планирование и оценка рисков | Проводится идентификация угроз, уязвимостей и оценка рисков по вероятности и влиянию. | Даёт понимание приоритетных зон защиты и обоснованное распределение ресурсов. |
| Поддержка и осведомлённость персонала | Внедряются процедуры обучения, коммуникации, контроля компетенций и осведомлённости сотрудников в вопросах ИБ. | Уменьшается доля инцидентов, вызванных человеческим фактором. |
| Операционное управление | Реализуются технические и организационные меры безопасности: контроль доступа, резервное копирование, шифрование, журналирование, физическая защита. | Обеспечивается устойчивость и управляемость инфраструктуры. |
| Оценка результативности | Проводится внутренний аудит, мониторинг событий, оценка эффективности мер защиты. | Позволяет выявлять слабые места и оперативно их устранять. |
| Улучшение системы | Корректирующие действия по результатам аудитов, обновление политики и контрольных мер. | Постоянное развитие и адаптация системы к новым угрозам. |
Что обеспечивает внедрение стандарта ISO/IEC 27001
Внедрение стандарта позволяет выстроить комплексную систему управления информационной безопасностью, которая обеспечивает:
- стратегическое планирование и постановку целей в сфере ИБ;
- системную оценку и контроль рисков;
- единый подход к разработке и управлению политиками безопасности;
- прозрачные процессы внутреннего и внешнего аудита;
- документальное подтверждение уровня защиты данных;
- возможность объективной оценки состояния ИБ и корректировки мероприятий.
Основные задачи стандарта
| Задача | Суть на практике | Результат для компании |
| Формирование единых требований в сфере информационной безопасности | Создание унифицированной политики и регламентов, регулирующих обращение с данными, доступ и хранение информации. | Единый подход к защите данных на всех уровнях компании. |
| Налаживание взаимодействия между руководством и персоналом | Определение ролей, ответственности и каналов коммуникации в вопросах ИБ. | Повышается осведомлённость сотрудников, снижается риск ошибок и утечек. |
| Повышение эффективности мер защиты информации | Разработка системы постоянного контроля, оценки рисков и корректирующих действий. | Минимизация инцидентов, связанных с нарушением конфиденциальности и доступности данных. |
| Определение стратегических целей в области ИБ | Разработка долгосрочной политики и планов действий по обеспечению безопасности. | Чёткое направление развития и контроль достижения целей. |
| Управление рисками и их оценка | Формирование процедуры выявления угроз, анализа уязвимостей и планирования мер реагирования. | Рациональное распределение ресурсов на защиту критичных активов. |
| Соблюдение законодательства и нормативных требований | Приведение внутренних процессов в соответствие с ФЗ-152, GDPR и иными регламентами. | Исключение штрафов, санкций и репутационных потерь. |
| Мониторинг и совершенствование системы безопасности | Регулярные аудиты, анализ инцидентов, обновление мер защиты. | Постоянное развитие и повышение эффективности системы. |
| Информирование партнёров и клиентов | Прозрачное взаимодействие и подтверждение высокого уровня защиты данных. | Рост доверия и укрепление имиджа компании. |
Интеграция с другими стандартами
Одним из ключевых преимуществ ISO/IEC 27001 является возможность интеграции с другими системами менеджмента, благодаря унифицированной структуре стандартов (High Level Structure, HLS).
Это упрощает совместное внедрение нескольких систем и снижает нагрузку на персонал.
Примеры интеграции:
- ISO/IEC 22301 — система менеджмента непрерывности бизнеса (BCMS);
- ISO/IEC 20000-1 — система управления IT-услугами (ITSM);
- ISO 9001 — система менеджмента качества (СМК).
Единая структура позволяет использовать общие политики, процедуры и формы отчётности, что экономит время, снижает издержки и повышает управляемость.
Отличия версий ГОСТ Р ИСО/МЭК 2006 и 2021 года
В новой версии документа появились понятия:
- Контекст деятельности – среда, в которой работает предприятие.
- Планы по достижению целей СМИБ – задачи, которые необходимо выполнить в процессе функционирования СМИБ.
- Владелец риска – представитель предприятия, который ответственен за активы и сопутствующие риски.
- Документированная информация – документы и записи, которые обеспечивают функционирование СМИБ.
Еще одно отличие обновленного стандарта – исчезла «лазейка», которая позволяла предприятия экономить на системе информационной безопасности ISO/IEC 27001:2013, но при этом владеть соответствующим сертификатом.
В версии 2006 года именно заявители определяли области действия СМИБ на предприятии. Как правило, большинство концентрировалось на небольших процессах вроде технической поддержки, управления персоналом и т.д. Такой подход хоть и позволял сэкономить, но имел существенную уязвимость, ведь под защиту попадала лишь часть активов. Новая редакция требует защищать ПДн, КИИ и т.д.
Главным механизмом необходимости внедрения той или иной меры защиты по-прежнему остается оценка рисков, которая включает в себя несколько обязательных этапов:
- идентификация – поиск и систематизация рисков, связанных с активами;
- анализ – поиск причин возникновения рисков, вероятность наступления негативных последствий, значение каждого риска в баллах или стоимостном выражении;
- оценивание – определяется допустимый уровень риска в соответствии с собственной шкалой.
Внедрение международного стандарта ISO/IEC 27001:2013 (ГОСТ Р ИСО/МЭК 27001-2021)обеспечит предприятию не только конфиденциальность и сохранность важных данных, но и ряд других преимуществ:
- минимизирует риск хищения актива;
- позволит выявить существующие угрозы информационной безопасности;
- повысит доверие со стороны партнеров и клиентов.
Компания «АЛЬФА РЕГИСТР» поможет не только внедрить систему менеджмента информационной безопасности на вашем предприятии, но и подготовиться к процедуре сертификации. Доверяя нашим специалистам, вы экономите время и средства, а также гарантировано получаете тот результат, на который рассчитывали. В штате нашей компании только эксперты с богатым опытом, которые знают тонкости внедрения СМИБ на предприятиях самых разных отраслей.
