ОБЩАЯ ИНФОРМАЦИЯ
Проблемы, связанные с информационной безопасностью существуют и на сегодняшний день. Наличие системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта ISO 27001:2005 поможет организации сберечь её активов и обеспечить целостность, надежность и конфиденциальность информации.
Система менеджмента информационной безопасности (СМИБ) – часть общей системы управления, основанная на управлении бизнес-рисками для создания, внедрения, эксплуатации, мониторинга, анализа, поддержания и улучшения информационной безопасности.
Стандарт ISO 27001 предъявляет требования к организации любого типа, вне зависимости от её размеров, от сферы деятельности и географической расположенности.
ИСТОРИЯ СТАНДАРТА
В ответ на возрастающие потребности общества в начале 90х годов XX века была создана рабочая группа по разработке стандартов в области информационной безопасности, первым в 1993 году были выпущены Практические правила менеджмента информационной безопасности. Данная работа получила свое развитие в первой версии британского стандарта BS 7799, который был опубликован в 1995. В 1998 году стандарт BS 7799 был пересмотрен, к тому времени он уже состоял из двух частей, одна из которых включала в себя свод практических правил, а другая – требования к системам менеджмента информационной безопасности. В процессе следующих пересмотров первая часть была опубликована как BS 7799:1999, Часть 1, а затем как стандарт ISO 17999:2000. После этого стандарт ISO 17999 был вновь пересмотрен и выпущен как ISO 17999:2005, а затем его название было изменено на ISO 27002:2005. Новая версия второй части британского стандарта была выпущена как BS 7799:2002, Часть 2, а в июле 2007 года опубликована международной организацией по стандартизации ISO как стандарт ISO 27001:2005.
СТРУКТУРА СТАНДАРТА
Требования к данной системе предъявляет международный стандарт ISO 27001:2005, в соответствии с которым СМИБ должна базироваться на следующих ключевых компонентах:
![27001-1.JPG 27001-1.JPG](http://rusregister.ru/upload/medialibrary/f0c/27001-1.JPG)
Требования, установленные в стандарте ISO 27001, являются общими и предназначены для применения ко всем организациям, независимо от их типа, размера или особенностей. Стандарт ISO 27001 обеспечивает:
- определение целей и представление о направлении и принципах деятельности относительно информационной безопасности;
- определение подходов к оценке и управлению рисками в организации;
- управление информационной безопасностью в соответствии с применимым законодательством и нормативными требованиями;
- использование процессного подхода при создании, внедрении, эксплуатации, мониторинге, анализе, поддержке и совершенствовании системы менеджмента с тем, чтобы цели в области информационной безопасности были достигнуты;
- определение процессов системы менеджмента информационной безопасности;
- определение статуса мероприятий по обеспечению информационной безопасности;
- использование внутренних и внешних аудитов для определения степени соответствия системы менеджмента информационной безопасности требованиям стандарта;
- предоставление адекватной информации партнерам другим заинтересованным сторонам о политике информационной безопасности.
ИНТЕГРАЦИЯ С ДРУГИМИ СТАНДАРТАМИ
Система менеджмента информационной безопасности может быть интегрирована с любой другой системой менеджмента, например, с системой менеджмента качества в соответствии с ISO 9001, системой экологического менеджмента в соответствии с ISO 14001, системой менеджмента информационных сервисов в соответствии с ISO 20000 и другими.
Сегодня серия стандартов, описывающих модель системы менеджмента информационной безопасности, включает в себя:
- ISO/IEC 27000:2009, “Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Общее представление и словарь”, представляет собой глоссарий для системы менеджмента информационной безопасности;
- ISO/IEC 27001:2005, “Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования”;
- ISO/IEC 27002:2005, “Информационные технологии. Методы обеспечения безопасности. Свод правил менеджмента информационной безопасности”, предоставляет лучшие практические советы по менеджменту информационной безопасности;
- ISO/IEC 27003:2010, “Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению системы менеджмента информационной безопасности”;
- ISO/IEC 27004:2009, “Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения”, посвящен метрикам и оценке системы менеджмента информационной безопасности;
- ISO/IEC 27005:2011, “Информационные технологии. Методы обеспечения безопасности. Менеджмент рисков информационной безопасности”;
- ISO/IEC 27006:2011, “Информационные технологии. Методы обеспечения безопасности. Требования для органов, обеспечивающих аудит и сертификацию систем менеджмента информационной безопасности”;
- ISO/IEC 27007:2011. «Информационные технологии. Методы обеспечения безопасности. Руководство для аудита систем менеджмента информационной безопасности», который описывает основные требования к аудиторам по информационной безопасности дополнительно к требованиям ISO 19011;
- ISO/IEC TR 27008:2011. «Информационные технологии. Методы обеспечения защиты. Руководство для аудиторов средств управления информационной безопасностью»», направленный, прежде всего, на проверку средств управления информационной безопасностью и тесно связан с ISO/IEC 27002;
- ISO/IEC 27011:2008, “Информационные технологии. Методы защиты. Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги, на основе ISO/IEC 27002”;
- ISO/IEC 27031:2011, “Информационные технологии. Методы обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий для обеспечения непрерывности бизнеса”;
- ISO 27799:2008, “Информатика в области здравоохранения. Управление защитой информации в здравоохранении с использованием ISO/IEC 27002”, представляет собой руководство по реализации ISO/IEC 27002 в медицинской отрасли.
ВЫГОДЫ ОТ ВНЕДРЕНИЯ И СЕРТИФИКАЦИИ
- повышение доверия клиентов, партнеров и других заинтересованных сторон, получение международного признания и укрепление имиджа компании на внутреннем и внешнем рынке;
- демонстрация определенного уровня информационной безопасности для обеспечения конфиденциальности информации заинтересованных сторон;
- увеличение стоимости нематериальных активов, уменьшение страховых взносов, что делает ценность компании более высокой;
- снижение операционных издержек и исключения «перекрестного» финансирования в рамках единой СМИБ;
- расширение возможностей участия компании в крупных государственных контрактах.
|