Для многих компаний утечка информации критична. Защитить данные от несанкционированного доступа можно за счет внедрения на предприятии международного стандарта ISO 27001, в котором зафиксированы требования к информационной безопасности.
Задача стандарта на предприятии — понять, на каком направлении инфобезопасности стоит сосредоточиться в первую очередь, и сколько денежных и временных ресурсов можно вложить в техническое решение для защиты инфоданных.
За основу стандарта ISO 27001 взята система управления рисками, связанными с информацией. Согласно с этой системой, любые информационные данные должны быть целостными, конфиденциальными и доступными только пользователям, которым их владелец предоставил такое право.
Первая версия стандарта по инфобезопасности была представлена в 1995 г., последняя (действующая) — в 2013 г.
Объект стандартизации: СМИБ — система менеджмента информационной безопасности.
Полное название стандарта: ISO/IEC 27001:2013 “Information technology — Security techniques — Information security management systems — Requirements”.
Национальная версия: ГОСТ Р ИСО/МЭК 27001-2006 “Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования”.
Область применения: любые предприятия, у которых есть информация, не подлежащая разглашению.
Каким компаниям выгодно внедрение стандарта?
- Компаниям, которые хотят защитить свои данные.
- Компаниям, которым желают доказать контрагентам, что важная информация находится под надежной защитой.
- Компаниям, стремящимся участвовать в тендерах национального и международного значения, организаторы которых требуют внедрения данного стандарта.
- Компании, которым важна инфобезопасность из-за удаленной работы или применения мобильных устройств.
Преимущества внедрения стандарта ISO 27001 для предприятия
- Выявление основных угроз безопасности для бизнес-процессов компании.
- Улучшение репутации на внутреннем и международном рынках.
- Повышение лояльности к компании со стороны госорганов, клиентов и партнеров, благодаря возможности предоставить гарантию безопасности (сертификат).
- Появление четкого алгоритма действий в случае критических для информационной безопасности ситуаций.
- Появление условий для абсолютного контроля за управлением информационными ресурсами.
- Снижение или сведение к нулю несанкционированного доступа к закрытым данным.
- Сохранность интеллектуальной собственности и финансовых данных.
- Соблюдение правил инфобезопасности сотрудниками.
- Оптимизация затрат на инфобезопасность.
!! Стандарт совместим с другими международными стандартами менеджмента, что облегчает его интеграцию.
Что требуется для сертификации на соответствие требованиям ISO 27001
Сертификация по этому стандарту не обязательна. Получить сертификат соответствия можно на добровольной основе. Проводят процедуру независимые органы по сертификации. Срок действия сертификата — 3 года, после этого необходимо проходить процедуру заново.
После получения сертификата предприятию следует регулярно анализировать СМИБ и проводить мероприятия по ее усовершенствованию.
Подробнее ознакомиться с сертификацией ГОСТ Р ИСО/МЭК 27001-2006 - система менеджмента информационной безопасности ISO/IEK 27001:2013 можно здесь.
