Green-sell.info

Новые технологии
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Iso информационная безопасность

ISO 27000 — группа стандартов по информационной безопасности

найти еще статьи по теме:

Здесь я хочу сказать несколько слов о стандартах по информационной безопасности — группе стандартов ISO 27000 и их применению. В группе немало новых стандартов, так что надеюсь данный обзор будет полезен.

В самом начале — что такое информационная безопасность?

Для торговцев продуктами безопасности, понимание информационной безопасности ограничено тем, что они продают. Для многих директоров и менеджеров информационная безопасность — это то, что они не понимают и с чем должны справляться ИТ-менеджеры. Для большинства пользователей ИТ-оборудования информационная безопасность означает ограничение их деятельности.

Все эти мнения очень упрощенные и опасны!

Информационная безопасность относится не только к соблюдению соответствия, демонстрации лучшей практики или внедрению новейших технологических решений.

В основном, информационная безопасность связана с управлением рисками для самого ценного актива, который имеет любая организация – ИНФОРМАЦИЯ.

По стандарту ISO 27001:2005 информационная безопасность – это: “обеспечение конфиденциальности, целостности и доступности информации; также возможно обеспечение и других свойств, таких как аутентичность, идентифицируемость, отказоустойчивость и надёжность”

Вот чем занимается группа стандартов ISO 27000 — обеспечением информационной безопасности организации.

На сегодняшний день есть 17 утвержденных и опубликованных стандартов группы ISO 27000.

Есть 4 вида групп стандартов:

  • Стандарты для обзора и введения в терминологию
  • Стандарты, которые определяют обязательные требования к СУИБ (система управления информационной безопасностью)
  • Стандарты, определяющие требования и рекомендации для аудита СУИБ
  • Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ.

Стандарты для обзора и введения в терминологию:

ISO/IEC 27000:2009 – Информационные технологии. Средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и словарь

Данный стандарт обеспечивает определение основной терминологии, которая используется в стандартах по информационной безопасности. В каждом стандарте есть и дополнительные термины. В данный момент разрабатывается новая версия стандарта ISO 27000.

Стандарты, которые определяют обязательные требования к СУИБ:

ISO/IEC 27001:2005 – Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

Это основной стандарт группы. Он определяет требования к разработке, внедрению, поддержке и улучшению систем менеджмента информационной безопасности В данный момент разрабатывается новая версия стандарта ISO 27001.

Стандарты, определяющие требования и рекомендации для аудита СУИБ:

ISO/IEC 27006:2011 — Информационные технологии. Средства обеспечения безопасности. Требования для органов, выполняющих аудит и сертификацию систем менеджмента информационной безопасности

Этот стандарт расширяет требований стандарта ISO 17021 специально для органов, проводящих аудит и сертификацию СУИБ

ISO/IEC 27007:2011 — Информационные технологии. Средства обеспечения безопасности. Руководящие указания для аудита систем менеджмента информационной безопасности

Стандарт ISO 27007 предлагает рекомендации по проведению аудитов СУИБ со стороны сертификационных организаций. Он полезен для аудиторов этих организаций.

ISO/IEC TR 27008:2011 — Информационные технологии. Методы обеспечения безопасности — Руководство для аудиторов по мерам и средствам обеспечения информационной безопасности

Данный стандарт, как и ISO 27007 является дополнительным стандартом к ISO 19011:2011 специально для СУИБ. Он специализирован для аудита средств управления информационной безопасностью в организации

Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ:

ISO/IEC 27002:2005 — Информационные технологии. Средства обеспечения. Свод практики для менеджмента информационной безопасности

Самый популярный стандарт группы после ISO 27001. Он дает отличные указания для разработки, внедрения, поддержки и совершенствовании СУИБ. Он является библией для консультантов.

ISO/IEC 27003:2010 — Информационные технологии. Руководство по осуществлению системы менеджмента информационной безопасности

Стандарт дает указания и методику для процессов разработки и внедрения СУИБ.

ISO/IEC 27004:2009 — Информационные технологии. Средства обеспечения безопасности. Измерения менеджмента информационной безопасности

Стандарт является руководством для выбора, проектирования, управления и улучшения средств и методов измерения эффективности и результативности системы

ISO/IEC 27005:2011 — Информационные технологии . Методы защиты. Менеджмент рисков информационной безопасности.

Этот стандарт является одним из самых важных в группе. Несмотря на то, что он только указательный, а не обязательный стандарт, его назначение состоит в том, что управление рисками — один из самых важных процессов (я думаю самый важный) для информационной безопасности.

ISO/IEC 27011:2010 — Информационные технологии. Средства обеспечения безопасности. Руководящие указания по менеджменту информационной безопасности для телекоммуникаций на основе ISO / IEC 27002

Это специализированное руководство по СУИБ в телекоммуникационных организациях.

ISO/IEC 27031:2011 — Информационные технологии — Методы обеспечения защиты – Руководство для готовности информационных и коммуникационных технологий по обеспечению непрерывности бизнеса

Новый, интересный стандарт — руководство по обеспечению непрерывности бизнеса в ИКТ

ISO/IEC 27033-1:2009 — Информационные технологии — Методы обеспечения защиты – Сетевая безопасность – Част 1 – Обзор и понятия

Первый из группы специализированных стандартов в области обеспечения информационной безопасности сетевой инфраструктуры

ISO/IEC 27033-3:2010 — Информационные технологии — Методы обеспечения защиты – Сетевая безопасность – Част 3 – Сетевые сценарии — Угрозы, методы проектирования и управления вопросами

Другой стандарт из группы специализированных стандартов в области обеспечения информационной безопасности сетевой инфраструктуры — с практическим значением

ISO/IEC 27034-1:2011 — Информационные технологии — Методы обеспечения защиты – Безопасность приложений – Част 1: Обзор и понятия

Первый из другой группы специализированных стандартов в области обеспечения информационной безопасности прикладного программного обеспечения.

ISO/IEC 27035:2011 — Информационные технологии — Методы обеспечения защиты – Управление инцидентами по информационной безопасности

Один из ценных стандартов в группе с практической стоимостью в области управления инцидентами по информационной безопасностью

ISO 27799:2008 — Информатика в здравоохранении. Менеджмент безопасности информации по стандарту ISO/IEC 27002

Это специализированное руководство по СУИБ в здравоохранении.

ISO/IEC 24762:2008 — Информационные технологии — Методы обеспечения защиты – Рекомендации по услугами для аварийного восстановления информационных и коммуникационных технологий

Тоже интересный стандарт с точки зрения практических рекомендаций по обеспечению аварийного восстановления ИКТ

Группа стандартов ISO 27000 получила очень серьезное развитие в последние годы. В настоящее время в различных стадиях подготовки находятся еще 25 новых стандартов, которые обеспечат необходимую помощь при разработке, внедрении, поддержании и улучшении СУИБ.

ps: Приношу свои извинения всем читателям данной статьи за возможные стилистические и грамматические ошибки, но я надеюсь, что написанное мной будет полезно заинтересованным сторонам в области информационной безопасности.

В будущем постараюсь улучшить свой стиль письма 🙂

Слав Петров
iSMS консультант, ITSMS консультант, iSMS аудитор

Информационная безопасность: как внедрить ИСО 27001

Что представляет собой стандарт ISO 27001? Зачем уделять особое внимание информационной безопасности организации? Как внедрить стандарт ИСО 27001? Об этом нам расскажут специалисты компании «ЛенТехСертификация».

Читать еще:  Gmail безопасность и вход

Кому и для чего нужен сертификат ISO 27001?

Электронный документооборот оказался не только удобным инструментом, но и принес собой ряд серьезных проблем:

  • финансовые данные могут стать доступны конкурентам и нарушить планы организации;
  • личные данные клиентов, контрагентов и сотрудников оказываются под угрозой атак злоумышленников;
  • интеллектуальные разработки и авторское право требуют особенно тщательной охраны;
  • базы данных становятся предметом интереса конкурентов.

Сегодня любая серьезная организация стремится соответствовать стандартам информационной безопасности.

Стандарт ГОСТ ИСО 27001 предполагает реализацию трех ключевых показателей:

  • определение требований и принципов обработки информации, принятых в организации;
  • оценка рисков: возможный ущерб и вероятность возникновения угроз в отношении информационных ресурсов;
  • контроль за соблюдением принятых в организации норм и правил обращения с данными (распространяется на сотрудников, партнеров, подрядчиков и других контрагентов).

Стандарт ISO 27001 вводится для решения следующих задач:

  • унификация требований по обеспечению ИБ организации;
  • создание алгоритмов взаимодействия руководства и сотрудников;
  • улучшение качества мероприятий по поддержанию ИБ организации.

Система информационной безопасности состоит из таких элементов, как:

  • внутренний и внешний аудит системы информационной безопасности;
  • авторизация и аутентификация;
  • защита от внешнего несанкционированного доступа к системам,
  • защита от внутреннего несанкционированного доступа к системам со стороны сотрудников организации;
  • обеспечение целостности системы;
  • защита каналов передачи данных;
  • актуализация данных при обмене информацией между сотрудниками и с клиентами;
  • управление электронным документооборотом;
  • управление инцидентами и анализ угроз;
  • управление непрерывностью ведения бизнеса.

Почему внедрение стандарта ИСО 27001 — оправданный шаг?

По оценкам экспертов, около 60% российских компаний за последние 2 года сталкивались с утечками информации по вине своих сотрудников. Более чем в половине случаев речь шла о «сливе» коммерческих данных, касающихся клиентов, партнеров и сделок. Техническая информация утекала реже ― в 24% случаев.

Персональные данные разглашаются в 20% случаев. Это серьезно подрывает уровень лояльности в отношении к организации. Поэтому треть российских компаний, увеличила бюджет на обеспечение информационной безопасности. Это не только забота о клиентах, но и попытка заручиться их доверием, а значит не лишиться своей прибыли.

Очевидно, что затраты на сертификацию и лицензирование по ГОСТ ИСО 27001 вписываются в бюджет не любой организации. Именно поэтому компания, которая хочет подчеркнуть свою надежность и статус вкладывается во внедрение стандартов информационной безопасности и делает это своим конкурентным преимуществом. Соответствие этому стандарту подчеркивает масштаб и уровень ответственности и притязаний компании.

Внедрение стандарта ИБ и сертификация оправданы потому, что:

  • обеспечивают стабильность функционирования организации;
  • увеличивают ресурс доверия клиентов в том числе за счет гарантии конфиденциальности информации;
  • повышают лояльность партнеров;
  • помогает сформировать позитивный имидж компании на международном и внутреннем рынке; позволяет предотвратить или снизить риск информационного ущерба;
  • дает возможность уменьшить страховые взносы, а, следовательно, повышает ценность организации;
  • позволяет сократить операционные издержки;
  • становится конкурентным преимуществом при участии в тендерах и аукционах.

Как подготовить организацию к сертификации на соответствие международным требованиям ИБ?

Фактически угрозы информационной безопасности тесно связаны с персоналом: это не технические сбои в чистом виде. А, значит, и организация системы информационной безопасности будет эффективна только в контексте работы с персоналом. Исходя из этого, подготовка к сертификации должна заключаться в прохождении ряда этапов:

Разработка плана подготовки и согласование с руководством

Выделите приоритетные направления по обеспечению ИБ и обозначьте четкие сроки. Руководство должно видеть смысл внедрения стандарта ISO 27001 и понимать ради чего расходуются временные и материальные ресурсы.

Определите границы сертификации

Большой организации с широким спектром деятельности целесообразно сертифицировать на соответствие ГОСТ Р ИСО 27001 часть бизнеса.

Определитесь с политикой информационной безопасности

Составьте документ «Политика Информационной безопасности», согласуйте его с руководством. Выявите критерии контроля за соблюдением политики и внедрите ее среди сотрудников. Важно донести до персонала саму суть Политики и рассказать о плюсах ее соблюдения.

Определите методологию оценки рисков

Договоритесь о правилах классификации и оценки рисков. Какие-то явления могут расцениваться как допустимые, другие будут нуждаться в немедленном устранении и корректировке общей стратегии.

Придерживайтесь утвержденной методологии оценки рисков

Регулярно оценивайте риски и ведите их учет. Для этого используют Реестр рисков. Анализ этого документа позволяет грамотно распределять ресурсы организации.

Определите ответственных за обработку рисков

Лица, ответственные за обработку рисков должны предпринимать установленные действия для устранения последствий и предупреждения аналогичных ситуаций.

Составьте «Положение о применимости»

Этот документ станет объектом пристального внимания органа сертификации при проведении аудита. В Положении должны содержаться механизмы и параметры контроля ИБ в вашей организации.

Внедрение средств управления информационной безопасностью обучение персонала

Чтобы все разработанные технологии защиты безопасности были эффективны, потребуется обучить персонал и регулярно проводить контроль выполнения требований ИБ.

Контролируйте процессы учета информационной безопасности

Аудиторы обратят внимание на то, как работают механизмы контроля в вашей организации, а руководству важно будет отследить как сотрудники и контрагенты выполняют правила. Для этого в установленном порядке ведутся записи. Анализ системы учета ИБ станет материалом внутреннего мониторинга и поможет усовершенствовать систему.

Создайте систему корректирующих и превентивных действий

Работа в соответствии со стандартом ГОСТ 27001 предполагает «постоянное стремление стать лучше». Все события анализируются, а результат анализа становится основой для превентивных действий.

В условиях напряженной борьбы за клиентов многие организации принимают решение не ограничиваться инвестициями в повышение качества продукции и рекламу своих услуг. Принципиально важным и перспективным направлением становится защита информации компании и ее клиентов. Поэтому инвестиции, направленные на преобразование работы в соответствии со стандартом ISO 27001 становятся вкладом в завтрашний успех и конкурентное преимущество.

Это длительный и непростой процесс, о чем говорит число организаций, прошедших сертификацию. 78 компаний уже сделали это, поэтому вам не стоит откладывать это непростое мероприятие.

На протяжении многих лет мы успешно оказываем помощь в сертификации и лицензировании. Наши специалисты расскажут, какие действия предпринять для построения системы информационной безопасности. Для этого свяжитесь с нами любым удобным образом — позвоните по указанному телефону, напишите на почту или просто заполните форму обратной связи.

Trust In, and Value From, Informatеуьзion Systems

Sign in to My ISACA

Help Remember my preferences

  • Главная >
  • Стандарты ISO >
  • ISO/IEC 27001:2013 Информационная Безопасность

ISO/IEC 27001:2013 Информационная Безопасность

ISO/IEC 27001:2013 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC27 Объединенного технического комитета JTC 1. Стандарт содержит требования в области ИБ для создания, развития и поддержания Системы Управления Информационной Безопасности (СУИБ).

Читать еще:  Разработка политики безопасности

Первым документом по информационной безопасности, является принятый на государственном уровне в 1995 году и разработанный Британским институтом стандартов (BSI) BS 7799 — Part 1. В 1999 году эта версия была переработана и передана в Международную Организацию по Сертификации, а в 2000 году утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией, принятой в 2005 году, является ISO/IEC 17799:2005. В сентябре 2002 года в силу вступила его вторая часть BS 7799 Part 2 Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью).

Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования»

В 2013 году Международной организацией по сертификации была разработана и принята новая версия стандарта ISO/IEC 27001:2013.

Изменения коснулись как структуры документа, так и требований.

Назначение стандарта

В ISO/IEC 27001:2013 собраны описания лучших мировых практик в области управления ИБ. Стандарт устанавливает требования к СУИБ для демонстрации способности организации защищать свои информационные ресурсы и подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения СУИБ.

Цель стандарта

Цель СУИБ — выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Основные понятия

Информационная безопасность — сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.

  • Конфиденциальность — обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).
  • Целостность — обеспечение точности и полноты информации, а также методов её обработки.
  • Доступность — обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Само понятие «защиты информации» трактуется как обеспечение конфиденциальности, целостности и доступности информации. Основа стандарта ISO/IEC 27001:2013 — система управления рисками, связанными с информационными активами.

ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001)

Системы менеджмента информационной безопасности

Вопросы обеспечения информационной безопасности (ИБ) для современной организации являются жизненно важными.

Наличие системы менеджмента информационной безопасности в соответствии с требованиями стандарта ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001) поможет организации сберечь её активы и обеспечить целостность, надежность и конфиденциальность информации.

С 2005 г. сертификационный аудит на соответствие требованиям стандарта ISO/IEC 27001 прошло более 25 тыс. компаний по всему миру (по данным IRCA).

Сертификация является полезным инструментом для повышения доверия, демонстрируя тем самым, что представляемые продукты и услуги отвечают потребностям заказчиков в области ИБ.

Стандарт ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001) – источник лучших практик при проектировании систем управления, применим практически к любой организации, независимо от формы собственности, вида деятельности, размера и внешних условий. Он нейтрален в технологическом плане и всегда оставляет возможность выбора технологий. ISO/IEC 27001 является одним из наиболее известных стандартов данной серии, отвечающим требованиям систем управления информационной безопасностью. Существует более десятка стандартов серии 27000.

Система менеджмента информационной безопасности (СМИБ) – часть общей системы управления, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации. Является системным подходом по управлению конфиденциальной информацией. В данную систему входит персонал, производимые процессы и ИТ-системы, объединенные путем внедрения процессов риск-менеджмента.

С целью формирования комплексных требований к безопасности информации стандарт определяет три основных показателя:

  • оценка рисков, с которыми сталкивается организация (определение угрозы для ресурсов, их уязвимость и вероятность возникновения угроз, а также возможный ущерб);
  • соблюдение законодательных, нормативных и договорных требований, которые должны выполняться самой организацией, ее партнерами по бизнесу, подрядчиками и поставщиками услуг;
  • формирование комплекса принципов, целей и требований к обработке информации, разработанных организацией для поддержки своей деятельности.

Основные элементы системы ИБ:

  • защита от несанкционированного доступа (НСД) к системам,
  • в том числе и внутренняя защита от НСД сотрудников организации;
  • авторизация и аутентификация;
  • защита каналов передачи данных, обеспечение целостности;
  • обеспечение актуальности данных при обмене информацией с клиентами;
  • управление электронным документооборотом;
  • управление инцидентами ИБ;
  • управление непрерывностью ведения бизнеса;
  • внутренний и внешний аудит системы ИБ.

Основные задачи Стандарта:

  • установление единых требований по обеспечению информационной безопасности организаций;
  • обеспечение взаимодействие руководства и сотрудников;
  • повышение эффективности мероприятий по обеспечению и поддержанию информационной безопасности организаций.

Стандарт ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001) обеспечивает:

  • определение целей и представление о направлении и принципах деятельности относительно информационной безопасности;
  • определение подходов к оценке и управлению рисками в организации;
  • управление информационной безопасностью в соответствии с применимым законодательством и нормативными требованиями;
  • использование единого подхода при создании, внедрении, эксплуатации, мониторинге, анализе, поддержке и совершенствовании системы менеджмента с тем, чтобы цели в области информационной безопасности были достигнуты;
  • определение процессов системы менеджмента информационной безопасности;
  • определение статуса мероприятий по обеспечению информационной безопасности;
  • использование внутренних и внешних аудитов для определения степени соответствия системы менеджмента информационной безопасности требованиям стандарта;
  • предоставление адекватной информации партнерам и другим заинтересованным сторонам о политике информационной безопасности.

Интеграция с другими стандартами

Преимуществом внедрения стандарта ISO/IEC 27001 является прямая выгода для организаций, желающих внедрить более одной системы менеджмента одновременно. СМИБ, например, может быть интегрирована с:

  • системой менеджмента непрерывности бизнеса (ISO/IEC 22301),
  • системой менеджмента IT‐услуг (ISO/IEC 20000–1)
  • или системой менеджмента качества (ISO 9001).

Схожая структура стандартов позволяет сэкономить время и деньги, так как стала возможной реализация интегрированных политики и процедуры.

Выгоды от внедрения и сертификации

  • повышение доверия клиентов, партнеров и других заинтересованных сторон;
  • повышение стабильности функционирования организаций;
  • получение международного признания и укрепление имиджа компании на внутреннем и внешнем рынке;
  • достижение адекватности мер по защите от реальных угроз информационной безопасности;
  • предотвращение и(или) снижение ущерба от инцидентов информационной безопасности;
  • демонстрация определенного уровня информационной безопасности для обеспечения конфиденциальности информации заинтересованных сторон;
  • увеличение стоимости нематериальных активов, уменьшение страховых взносов, что делает ценность компании более высокой;
  • снижение операционных издержек и исключения «перекрестного» финансирования в рамках единой СМИБ;
  • расширение возможностей участия компании в крупных государственных контрактах;
  • может существенно облегчить прохождение аудитов на соответствие PCI DSS, ISO/IEC 20000–1.
Читать еще:  Как при загрузке выбрать безопасный режим

Что дает внедрение ISO/IEC 27001

Главным преимуществом создания и внедрения СМИБ в соответствии с требованиями ISO/IEC 27001 является независимое доказательство стабильности и надежности бизнес‐процессов организации, в том числе:

  • повышение доверия к организации;
  • повышение стабильности функционирования организации в целом;
  • достижение адекватности мер по защите от реальных угроз информационной безопасности;
  • предотвращение и(или) снижение ущерба от инцидентов информационной безопасности.

Экономическими преимуществами являются:

  • независимое подтверждение факта, что в организации должным образом реализован менеджмент рисков, соответствующие процедуры систем менеджмента разработаны и внедрены, постоянно анализируются и улучшаются компетентным и ответственным персоналом;
  • доказательство соблюдения действующих законов и нормативных актов (выполнение системы обязательных требований);
  • доказательство стремления и ответственности высшего руководства к обеспечению системы менеджмента в требуемом объеме для всей организации в соответствии с установленными требованиями;
  • демонстрация определенного уровня «зрелости» систем менеджмента для обеспечения высокого уровня обслуживания клиентов и партнеров организации;
  • демонстрация проведения регулярных аудитов систем менеджмента, оценки результативности и постоянных улучшений.

Полезным преимуществом является эффективное управление аутсорсингом за счет четких критериев оценки поставщиков услуг и ответственности обеих сторон.

Конкурентным преимуществом является доказательство того, что процессы обеспечения ИБ организации способны удовлетворять потребности внешних пользователей в долгосрочной перспективе, риски оценены и управляются.

Сертификация СМИБ на соответствие требованиям ISO/IEC 27001:2013 соответственно – единственное общепринятое в мировой практике подтверждение соответствия международным требованиям.

Статистика гласит, что организации, обладающие международными сертификатами соответствия стандартам СМИБ, получают скидки, сопоставимые с затратами на проведение сертификации.

Преимущества внедрения стандарта ISO/IEC 27001

  • Гармонизация стандарта ISO/IEC 27001 к новой структуре поможет организациям, желающим внедрить более одной системы менеджмента одновременно.
  • Схожая структура стандартов позволит сэкономить время и деньги организаций, так как они могут реализовывать интегрированные политики и процедуры.
  • Обеспечение гибкого, оптимизированного подхода, с целью более эффективного управления рисками ИБ в современных условиях.
  • Средства управления безопасностью (Приложение А) позволяют обеспечить актуальность стандарта, адекватную защиту и применимость его к современным рискам, а именно, хищению личных данных, угрозам, связанным с использованием мобильных устройств и другим сетевым уязвимостям.

Кроме того, стандарт ISO/IEC 27001 модифицирован с целью адаптации к новой общей структуре, применяемой во всех стандартах на системы менеджмента, что упрощает его интеграцию с другими системами менеджмента.

Что такое сертификация ISO 27001 и зачем мы ее прошли

Что конкретно сертифицировалось, и как этот процесс проходил.

18 февраля 2020

Недавно компания TÜV AUSTRIA выдала нам сертификат, подтверждающий, что мы применяем систему менеджмента информационной безопасности в соответствии со стандартом ISO/IEC 27001:2013 к процессам «Доставка вредоносных и подозрительных файлов с помощью инфраструктуры Kaspersky Security Network (KSN), их безопасное хранение в Kaspersky Lab Distributed File System (KLDFS) и обеспечение доступа». Мы решили рассказать подробнее о том, что это за сертификация, зачем она нужна и почему это так важно для нас.

Что такое ISO 27001

ISO 27001 — это международный стандарт, в котором собраны требования для создания и развития системы менеджмента информационной безопасности. По большому счету это коллекция «лучших практик», которая позволяет выбрать меры управления безопасностью таким образом, чтобы обеспечить защиту информации и предоставить клиентам соответствующие гарантии.

При проведении сертификации независимая компания TÜV AUSTRIA направляет аудиторов, основной целью которых является проверка процессов обеспечения информационной безопасности на соответствие «лучшим мировым практикам». В рамках проверок аудиторы оценивают многочисленные процессы компании в разных подразделениях — HR, IT, R&D, Security — и составляют отчет, который в целях дополнительного подтверждения беспристрастности анализируют другие независимые эксперты и выясняют, насколько правильно был проведен аудит. И только после этого выдается сертификат, свидетельствующий о том, что система управления информационной безопасностью находится на высоком уровне.

Что мы сертифицировали

Наших клиентов в первую очередь интересует, обеспечена ли максимальная безопасность процессов передачи вредоносных и подозрительных объектов (файлов) для проведения автоматизированных и ручных проверок антивирусными экспертами. А также безопасно ли эти вредоносные файлы хранятся в нашей инфраструктуре. Данная область, можно сказать, является одной из центральных в антивирусной компании. Поэтому мы решили сертифицировать механизмы доставки вредоносных и подозрительных файлов с помощью инфраструктуры Kaspersky Security Network и их безопасное хранение в Kaspersky Lab Distributed File System. Но это не значит, что аудиторы проверяли исключительно эту область. В компании многие сервисы и процессы устроены сходным образом.

На безопасность любого процесса влияет множество факторов, и система менеджмента информационной безопасности способна обеспечить распознавание этих факторов и своевременную защиту от них. Многие вопросы в ней являются базовыми: кто имеет доступ к информационным системам и критичным данным? Как проверяют этих людей при отборе на должность? Как в компании работают с документами и информационными системами? Как здесь отзывают права доступа при увольнении сотрудников? Насколько сотрудники осведомлены о возможных киберугрозах и противодействии им? Как администраторы работают с компьютерами, на которых осуществляются критические операции? Как процессы обеспечены документами и ресурсами? В системе защиты рассматриваются также и новые типы угроз и противодействия им: например, защита от APT-атак, обеспечение защиты при использовании новейших технологий, в том числе с применением алгоритмов машинного обучения.

Поэтому аудиторы проверяли документацию, общались с сотрудниками из разных отделов, анализировали как технические аспекты защиты информации, так и организационные, например процессы рекрутинга, увольнения, профессионального обучения. Изучали, как IT-служба поддерживает корпоративную сеть, посещали центры обработки данных. Наблюдали, как сотрудники трудятся на рабочих местах, выясняли, не завалялись ли где съемные носители или распечатки, блокируется ли монитор, когда специалисты куда-то отходят, что выведено на экранах мониторинга и дашбордах. Проверяли, какие программы используют сотрудники в работе. То есть анализировали практики, которые распространяются на всю компанию. Особое внимание aудиторы уделили проверке системных процессов управления информационной безопасностью, таких как анализ безопасности руководством, управление рисками, инцидентами, корректирующими действиями, проведение аудитов, обеспечение осведомленности и непрерывности бизнеса.

Что дальше?

Теперь все заинтересованные клиенты могут ознакомиться с сертификатом, являющимся заключением уважаемой компании. Надо сказать, вопрос о наличии сертификата ISO 27001 стал все чаще возникать при проведении тендеров. Потому что сертифицированные сервисы задействованы большинством наших решений.

Но на этом работа не останавливается. Раз в три года нам предстоит проводить ресертификацию, то есть повторный аудит, и подтверждать право владения сертификатом. Кроме того, ежегодно аудитор будет делать точечные проверки.

Дополнительную информацию о сертификате можно получить здесь.

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector