Позвоните нам 1-888-553-2256

Что такое ISO 27001?

Быстрое знакомство с основными фактами

what-is-iso27001-video-thumbnail ISO 27001 ― это международный стандарт, разработанный Международной организацией по стандартизации, который описывает, как управлять информационной безопасностью в компании. Последняя версия этого стандарта была опубликована в 2013 году, и его полное название на сегодня ― «ISO/IEC 27001:2013». Первая версия стандарта, опубликованная в 2005 году, базировалась на Британском стандарте BS 7799-2.

ISO 27001 может быть внедрён в любой организации: коммерческой или некоммерческой, частной или государственной, маленькой или большой. Он был написан ведущими мировыми экспертами в области информационной безопасности и предлагает методологию для внедрения управления информационной безопасностью на предприятии. Он также позволяет компаниям получить сертификацию, что означает, что независимый орган по сертификации подтвердит, что организация внедрила информационную безопасность в соответствии со стандартом ISO 27001.

ISO 27001 стал самым популярным в мире стандартом по информационной безопасности, и многие компании были сертифицированы в соответствии с ним. Здесь Вы можете узнать количество сертификатов за последние два года:

Number of ISO 27001 certificates RU

Источник: Исследование Международной организации по стандартизации на тему сертификации по стандарту системы управления

Как работает ISO 27001

Стандарт ISO 27001 сосредоточен на защите конфиденциальности, сохранности и доступности информации в компании. Это реализуется путём выяснения потенциальных проблем с информацией (т.е. оценки рисков), а затем определения необходимых шагов для предотвращения появления таких проблем (т.е. снижения или обработки рисков). Поэтому основная философия ISO 27001 базируется на управлении рисками: выяснить, где находятся риски, а затем систематически обрабатывать их.

ISO 27001 framework RU

Защитные меры (или контроли), которые должны внедряться, обычно выступают в форме политик, процедур и технического внедрения (например, программного обеспечения и оборудования). Однако, в большинстве случаев, компании уже располагают у себя всем оборудованием и программным обеспечением. Однако используют они их небезопасным способом, поэтому большая часть внедрений ISO 27001 будет связана с постановкой организационных правил (т.е. с написанием документов), которые необходимы для предотвращения нарушений в системе безопасности. Поскольку такое внедрение потребует управления множеством политик, процедур, людей, активов и т.д., в ISO 27001 описано, как состыковать вместе все эти элементы в системе менеджмента информационной безопасности.

Поэтому управление информационной безопасностью ― это не только ИТ-безопасность (т.е. фаерволы, антивирус и т.д.). Это также управление процессами, правовая защита, управление персоналом, физическая защита и т.д.

См. также: Основная логика ISO 27001: Как работает информационная безопасность?

Почему стандарт ISO 27001 подойдёт Вашей компании?

Вот четыре существенных преимущества в бизнесе, которые может получить компания при внедрении этого стандарта информационной безопасности:

Соответствие правовым требованиям – Появляется всё больше и больше законов, нормативных актов и договорных требований, связанных с информационной безопасностью. И хорошей новостью является то, что многие из них могут быть решены за счёт внедрения ISO 27001, поскольку этот стандарт предоставляет Вам идеальную методологию соблюдения всех их.

Достижение маркетингового преимущества – Если Ваша компания прошла сертификацию, а Ваши конкуренты нет, то Вы можете получить преимущество над конкурентами в глазах Ваших клиентов, которые очень трепетно относятся к вопросу безопасности их информации.

Снижение затрат – Основная философия ISO 27001 ― предотвращать появление инцидентов, связанных с нарушением безопасности, потому что любой инцидент, большой или маленький, стоит денег. Поэтому, предотвращая их, Ваша компания сэкономит довольно много денег. И что самое главное, инвестиции в ISO 27001 гораздо меньше ожидаемой экономии, которую Вы получите.

Улучшение организационного процесса – У типичных быстрорастущих компаний нет времени приостановиться и определить свои процессы и процедуры. Как следствие, сотрудники очень часто просто не знают, что и когда необходимо делать и кем это должно выполняться. Внедрение ISO 27001 помогает решить такие ситуации, потому что это способствует написанию компаниями своих основных процессов (даже тех, которые не связаны с безопасностью) и позволяет сократить потерю времени их сотрудниками.

См. также Бесплатный калькулятор окупаемости инвестиций в безопасность.

Куда вписать управление информационной безопасностью в рамках компании?

Куда вписать управление информационной безопасностью в рамках компании?
В принципе, информационная безопасность является частью управления общими рисками в компании с областями, которые пересекаются с кибербезопасностью, управлением непрерывностью бизнеса и ИТ-управлением:
ISO 27001 - where does it fit RU

Как, на самом деле, выглядит ISO 27001?

ISO/IEC 27001 разбит на 11 разделов плюс приложение А. Разделы с 0 по 3 являются вводными (и не обязательны для внедрения), а разделы с 4 по 10 являются обязательными, то есть все их требования должны быть внедрены в организации, если она хочет соответствовать стандарту. Контроли из приложения А должны быть внедрены, только если они заявлены как применимые в Заявлении о применимости.

Согласно приложению SL Директив ISO/IEC Международной организации по стандартизации, названия разделов в стандарте ISO 27001 аналогичны названиям разделов стандарта ISO 22301:2012, нового стандарта ISO 9001:2015 и других стандартов управления, что позволяет упростить интеграцию этих стандартов.

Раздел 0: Введение – объясняет цель стандарта ISO 27001 и его совместимость с другими стандартами управления.

Раздел 1: Область применения – объясняет, что этот стандарт применим в организации любого типа.

Раздел 2: Нормативные ссылки – относятся к ISO/IEC 27000, как к стандарту, в котором даны термины и определения.

Раздел 3: Термины и определения – опять же относятся к ISO/IEC 27000.

Раздел 4: Особенности организации – Этот раздел является частью фазы планирования в цикле «Планирование, реализация, контроль, корректировка» и определяет требования для понимания внешних и внутренних проблем, заинтересованных сторон и их требований, а также для определения области применения системы менеджмента информационной безопасности.

Раздел 5: Ответственность руководства – Этот раздел является частью фазы планирования в цикле «Планирование, реализация, контроль, корректировка» и определяет обязанности топ-менеджмента, определяет роли и обязанности, а также содержание политики информационной безопасности верхнего уровня.

Раздел 6: Планирование – Этот раздел является частью фазы планирования в цикле «Планирование, реализация, контроль, корректировка» и определяет требования для оценки рисков, обработки рисков, заявления о применимости, плана по обработке рисков и постановки задач для информационной безопасности.

Раздел 7: Поддержка – Этот раздел является частью фазы планирования в цикле «Планирование, реализация, контроль, корректировка» и определяет требования к доступности ресурсов, компетенций, информированности, коммуникации и контролю документации и записей.

Раздел 8: Функционирование – Этот раздел является частью фазы реализации в цикле «Планирование, реализация, контроль, корректировка» и определяет внедрение оценки и обработки рисков, а также контролей и других процессов, необходимых для достижения целей информационной безопасности.

Раздел 9: Оценка эффективности – Этот раздел является частью фазы проверки в цикле «Планирование, реализация, контроль, корректировка» и определяет требования к мониторингу, измерению, анализу, оценке, внутреннему аудиту и анализу управления.

Раздел 10: Усовершенствование – Этот раздел является частью фазы корректировки в цикле «Планирование, реализация, контроль, корректировка» и определяет требования к несоответствиям, исправлениям, корректирующим действиям и непрерывному совершенствованию.

Приложение A – Это приложение содержит каталог из 114 контролей (защитных мер), размещённых в 14 разделах (разделы с A.5 по A.18).

См. также:  Был ли в новых версиях стандарта ISO удалён цикл «Планирование, реализация, контроль, корректировка»?

Как внедрить ISO 27001

Чтобы внедрить ISO 27001 в Вашей компании, Вам необходимо выполнить эти 16 шагов:

1) Получить поддержку топ-менеджмента
2) Использовать методологию управления проектом
3) Определить область применения системы менеджмента информационной безопасности
4) Написать политику информационной безопасности верхнего уровня
5) Определить методологию оценки рисков
6) Осуществить оценку и обработку рисков
7) Написать Заявление о применимости
8) Написать план обработки рисков
9) Определить, как измерить эффективность Ваших контролей и Вашей системы менеджмента информационной безопасности
10) Внедрить все соответствующие контроли и процедуры
11) Внедрить программы обучения и информирования
12) Осуществлять всю ежедневную деятельность, прописанную в Вашей документации системы менеджмента информационной безопасности
13) Контролировать и оценивать Вашу систему менеджмента информационной безопасности
14) Осуществить внутренний аудит
15) Осуществить анализ управления
16) Внедрить корректирующие действия

Для более детального объяснения этих шагов ознакомьтесь с перечнем для внедрения ISO 27001.

Обязательная документация

ISO 27001 требует, чтобы была написана следующая документация:

  • Область применения системы менеджмента информационной безопасности (пункт 4.3)
  • Политика информационной безопасности и задачи (пункты 5.2 и 6.2)
  • Методология оценки и обработки рисков (пункт 6.1.2)
  • Заявление о применимости (пункт 6.1.3 d)
  • План обработки рисков (пункты 6.1.3 e и 6.2)
  • Отчёт по оценке рисков (пункт 8.2)
  • Определение ролей и обязанностей по обеспечению безопасности (пункты A.7.1.2 и A.13.2.4)
  • Инвентаризация активов (пункт A.8.1.1)
  • Приемлемое использование активов (пункт A.8.1.3)
  • Политика контроля доступа (пункт A.9.1.1)
  • Операционные процедуры для ИТ-управления (пункт A.12.1.1)
  • Инженерные принципы системы защищённой системы (пункт A.14.2.5)
  • Политика безопасности поставщика (пункт A.15.1.1)
  • Процедура управления инцидентами (пункт A.16.1.5)
  • Процедуры непрерывности бизнеса (пункт A.17.1.2)
  • Законодательные, нормативные и контрактные требования (пункт A.18.1.1)

А это обязательные записи:

  • Записи о подготовке, навыках, опыте и квалификации (пункт 7.2)
  • Результаты контроля и измерений (пункт 9.1)
  • Программа внутреннего аудита (пункт 9.2)
  • Результаты внутренних аудитов (пункт 9.2)
  • Результаты анализа управления (пункт 9.3)
  • Результаты корректирующих действий (пункт 10.1)
  • Журнал действий пользователей, исключений и событий в системе безопасности (пункты A.12.4.1 и A.12.4.3)

Конечно, компания может решить и написать дополнительные документы по безопасности, если сочтёт это необходимым.

Чтобы получить более подробное объяснение каждого из этих документов, скачайте бесплатный перечень обязательной документации, требуемой по ISO 27001:2013.

Как получить сертификацию

Существуют два типа сертификации ISO 27001: (а) для организаций, и (б) для частных лиц. Организации могут пройти сертификацию, чтобы доказать, что они соответствуют всем обязательным пунктам стандарта; частные лица могут посетить курсы и сдать экзамен для того, чтобы пройти сертификацию.

Чтобы получить сертификацию организация должна внедрить стандарт, как это изложено в предыдущих разделах, а затем пройти сертификационный аудит, под руководством органа по сертификации. Сертификационный аудит выполняется в следующей последовательности:

  • 1-й этап аудита (обзор документации): аудиторы рассматривают всю документацию.
  • 2-й этап аудит (основной аудит): аудиторы проводят аудит на месте, чтобы проверить, совместима ли вся деятельность компании со стандартом ISO 27001 и документацией системы менеджмента информационной безопасности.
  • Визиты с инспектированием: после выдачи сертификата в течение 3-летнего его срока действия, аудиторы проверяют, насколько компания поддерживает свою систему менеджмента информационной безопасности.

См. также Прохождение сертификации по ISO 27001 – Как подготовиться к сертификационному аудиту.

Частные лица могут пройти несколько курсов для того, чтобы получить сертификаты. Самыми популярными курсами являются:

  • Курс «Ведущий аудитор ISO 27001»: этот пятидневный курс обучит Вас, как проводить сертификационный аудит. Он предназначен для аудиторов и консультантов.
  • Курс «Ведущий реализатор 27001»: этот пятидневный курс обучит Вас, как внедрять стандарт. Курс предназначен для практиков в области информационной безопасности и для консультантов.
  • Курс внутреннего аудитора ISO 27001 ― это двух- или трёхдневный курс, который обучит Вас основам стандарта и как осуществить внутренний аудит. Курс предназначен для новичков в этой теме и для внутренних аудиторов.

См. также: Как узнать о версиях ISO 27001.

Версии 2005 и 2013 стандарта ISO 27001

Как упоминалось ранее, ISO 27001 был впервые опубликован в 2005 году, а его новая версия появилась в 2013 году, поэтому текущая действительная версия ― ISO/IEC 27001:2013.

Самые важные изменения в версии 2013 относятся к структуре основной части стандарта, заинтересованным сторонам, целям, мониторингу и измерению. Кроме того, в приложении A было сокращено количество контролей с 133 до 114 и увеличено количество разделов с 11 до 14. Некоторые требования были удалены из версии 2013, например: предупреждающие действия и требования к документам определённых процедур.

См. также Инфографика: новая версия ISO 27001:2013 – Что изменилось?

Однако, все эти изменения практически не изменили стандарт, в целом. Его основная философия по-прежнему основана на оценке и обработке рисков, а аналогичные фазы в цикле «Планирование, реализация, контроль, корректировка» всё те же. Эту новую версию стандарта проще читать и понимать, и её намного легче интегрировать с другими стандартами управления, такими как ISO 9001, ISO 22301 и т.д.

Компании, которые прошли сертификацию на соответствие требованиям ISO/IEC 27001:2005, должны перейти к новой версии 2013 к сентябрю 2015 года, если они хотят сохранить действительным свой сертификат. Узнайте, как сделать это: How to make a transition from ISO 27001 2005 revision to 2013 revision.

Связанные стандарты по информационной безопасности и прочие стандарты

Стандарт ISO/IEC 27002 содержит рекомендации по внедрению контролей, указанных в ISO 27001. Стандарт ISO 27001 указывает на 114 контролей, которые можно использовать, чтобы снизить риски для безопасности. ISO 27002 может быть весьма полезен, потому что он содержит подробности того, как внедрить эти контроли. Стандарт ISO 27002, именуемый ранее как ISO/IEC 17799, появился на основе Британского стандарта BS 7799-1.

ISO/IEC 27004 содержит рекомендации для оценки информационной безопасности. Этот стандарт хорошо сочетается с ISO 27001, потому что объясняет, как определить, достигла ли система менеджмента информационной безопасности своих целей.

ISO/IEC 27005 содержит рекомендации для управления рисками нарушения информационной безопасности. Это очень хорошее дополнение к стандарту ISO 27001, потому что содержит детали того, как осуществлять оценку и обработку рисков (а это, возможно, самый сложный этап внедрения). ISO 27005 появился на основе Британского стандарта BS 7799-3.

ISO 22301 определяет требования к системам управления непрерывностью бизнеса. Стандарт очень хорошо сочетается с ISO 27001, потому что A.17 стандарта ISO 27001 требует внедрения непрерывности бизнеса, но не предоставляет слишком много подробностей. Узнайте больше о ISO 22301 здесь

ISO 9001 определяет требования к системам менеджмента качества. И хотя, на первый взгляд, у менеджмента качества и менеджмента информационной безопасности не так много общего, но, на самом деле, порядка 25% требований стандартов ISO 27001 и ISO 9001 аналогичны: управление документацией, внутренний аудит, анализ управления, корректирующие действия, постановка задач и управление компетенциями. Это значит, что если компания внедрила ISO 9001, то внедрить ISO 27001 будет намного проще. Узнайте больше о ISO 9001 здесь

dejan-circle-new

Деян Кошутич
Ведущий эксперт
ISO 27001/ISO 22301

Есть вопросы по любому из шагов?

Побеседуйте бесплатно с нашими консультантами

НАЗНАЧЬТЕ БЕСПЛАТНУЮ КОНСУЛЬТАЦИЮ

Бесплатный калькулятор окупаемости инвестиций в безопасность

(in English)

Вы когда-нибудь сталкивались с ситуацией, когда Вам говорили, что Ваши меры безопасности обходятся слишком дорого? Или когда Вам было сложно объяснить Вашему руководству, какие последствия могут быть в случае инцидента? Доказывать оправданность инвестиций в безопасность ― дело непростое. Но наш калькулятор окупаемости инвестиций в безопасность поможет Вам. Он совершенно бесплатный.

УЗНАТЬ БОЛЬШЕ

НАШИ КЛИЕНТЫ

НАШИ ПАРТНЕРЫ

  • Advisera – Провайдер TPECS, сертифицированный Exemplar Global, по Единицам Компетенции IS, QM, EM и AU.
  • ITIL® - зарегистрированная торговая марка AXELOS Limited. Используется по лицензии AXELOS Limited. Все права защищены.
  • DNV GL Business Assurance – один из ведущих провайдеров аккредитованной сертификации систем менеджмента.