Состав стандарта ISO 27001
ГОСТ Р ИСО 27001 является перечнем требований, предъявляемых к менеджменту информационной безопасности для сертификации
ISO 17799 является руководством по внедрению, используемое для проектирования механизмов контроля, снижающих риски в сфере защиты информации.
ISO 27001 запускает процессы, которые способствуют установке, применению, пересмотру, контролю и поддержке эффективной СМИБ. Также в его рамках устанавливаются требования для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и совершенствования документированной СМИБ.
Структура СМИБ по ГОСТ Р ИСО МЭК 27001
Составляющие системы управления ИБ
1.Менеджмент ИБ:
- критически важные факторы
- система критериев для оценки ИБ
- инструментарий для оценки состояния ИБ
2.Декларирование цели
3.Методика аудита
Работы по разработке и внедрению СМИБ по ISO 27001
Внедрение на производство норм стандарта ISO 27001 происходит через реализацию следующих этапов:
- проведение инвентаризации активов;
- разбиение активов на категории;
- оценка степени защищённости информационной системы;
- выявление и оценка информационных рисков;
- определение оптимальных мер защиты, в том числе, назначение индивидуальных алгоритмов защиты для ценных активов;
- внедрение утверждённых мер обработки рисков.
Важным моментом при внедрении СМИБ является содействие руководства предприятия. Штат сотрудников должен понять и принять факт инициации руководством внедрения стандарта информационной безопасности, обязательность данных мер к выполнению. Примером для работников должно стать руководство, так же неукоснительно придерживающееся принятых по стандарту мер. В таком случае польза от внедрения ISO 27001 будет наиболее полной и, наверняка, сэкономит Вашей компании значительное количество средств в будущем.
Что хорошего даст внедрение ISO 27001 в организации?
- Будут выявлены слабые места существующей СМИБ и потенциальные угрозы для действующих бизнес-процессов;
- Проведение подсчёта рисков и принятие управленческих решений;
- Обеспечение эффективности защиты информации в критических ситуациях;
- Оптимизация затрат, необходимых для поддержки системы безопасности;
- Значительное повышение авторитета предприятия в отечественной рыночной среде и открытие выходов на зарубежные рынки;
- Упрощение отношений с надзорными органами, а также процедур получения разнообразных разрешений и прочего;
- Огромное преимущество при участии в тендерах по сравнению не аттестованными по ИСО МЭК 27001 предприятиями.