Зачем внедрять ISO 27001?

Информация и информационные системы (ИС) жизненно важны для работы большинства коммерческих компаний (в особенности для банковских учреждений).

В любой области со-временного бизнеса необходима актуальная, точная и достоверная информация! В со-временных условиях защита этой информации необходима для предотвращения разрушительных последствий инцидентов в области информационной безопасности (ИБ). Если не обеспечить аде-кватную защиту ИС от таких угроз как, внешние хакеры, вредоносный действия внутренних со-трудников и/или недоступность систем, последствия могут быть крайне разрушительными, как показано на примерах ниже.
Согласно Information Security Status Survey 2010 больше чем две третьи компаний, которые приняли участие в исследовании (67%) предоставили данные по инцидентам. На всех этих предприятиях произошел хотя бы один инцидент безопасности, и у большинства из них (55%) случился хотя бы один серьезный инцидент. Анализ основных инцидентов приведен ниже:

• почти три четверти опрошенных предприятий и банковских учреждений (73%) стал-кивались со всеми вышеназванными видами инцидентов;
• больше 28 000 инцидентов за год. Это эквивалентно 472 инцидентам за год на каждом исследованном предприятии – на 10% больше чем в прошлом году;
• внешние атаки все еще являются наиболее распространенным типом инцидента ИБ, хотя перебои в обслуживании и сбои в ПО снова вошли в большинство серьезных ин-цидентов.

Одним из основных факторов обеспечения бесперебойного функционирования бизнеса любой компании является надежность работы ИТ-инфраструктуры и внешних информационных ресурсов, которые обеспечивают отдельные операционные функции (маркетинг, РR, каналы продаж, системы дистанционного обслуживания клиентов т.д.). У большинства компаний сетевая инфраструктура и среда функционирования ПО для бизнеса является сложной и комплексной. Вместе с этим ИС компаний сегодня обрабатывают все больше информации, и нагрузки на их постоянно растут, а также растут и требования к конфиденциальности, целостности и доступности этой информации.
Цель внедрения

• обеспечить менеджмент компании надежной системой управления ин-формационной безопасностью (СУИБ), что позволит:
• предотвратить утечки, кражи, потери, искажения, подделки информации;
• предотвратить несанкционированные действия по уничтожению, модификации, иска-жению, копированию, блокированию информации;
• снизить вероятность других форм незаконного вмешательства в информационные ре-сурсы и системы, обеспечить правовой режим документированной информации как объекта собственности;
• выполнить требования Национального банка Украины относительно соответствия требованиям отраслевых стандартов по ИБ СОУ Н НБУ 65.1 СУИБ 1.0:2010 и СОУ Н НБУ 65.1 СУИБ 2.0:2010;
• подготовится к сертификации на соответствие требованиям международного стандарта ISO 27001:2005.

Основными требованиями к СУИБ являются:

• обеспечение необходимого уровня конфиденциальности информации при ее обработке и обмене;
• обеспечение беспрерывности критичных бизнес-процессов;
• соответствие требованиям отраслевых стандартов по информационной безопасности;
• получение сертификата соответствия требованиям стандарта ISO/IEC 27001:2005 и PCI DSS (в будущем).

Система ИБ должна быть интегрирована в организационно-штатную структуру компании и в критичные бизнес-процессы.
ЭТАПЫ ВНЕДРЕНИЯ ТРЕБОВАНИЙ СТАНДАРТА
С целью повышения надежности бизнес-процессов компании (и для выхода на рынок ценных бумаг, или дополнительной их капитализации) также проводится сертификационный аудит на соответствие требованиям международного стандарта ISO/IEC 27001:2005. Сертификация на соответствие требованиям этого стандарта в Украине является добровольной, но для компании, ценные бумаги которых находятся в обороте на бирже или начинают выходить на биржу IPO, де-факто является обязательной. СУИБ может быть сертифицирована на соответствие требований стандарта ISO/IEC 27001 аккредитованными регистраторами, которые действуют во всем мире.
Сертификация на соответствие требований этого стандарта ISO/IEC 27001 обычно проис-ходит в 4 этапа:
1 Этап: Предварительный аудит СУИБ: проводится неформальный осмотр СУИБ, а именно проверка наличия и полноты основных внутренних документов. На этом этапе аудиторы должны понять организационно-штатную структуру и бизнес-процессы, а также идентифицировать ключевые ИС.
2 Этап: Внедрение: требует перестройки сформулированной СУИБ соответственно требованиям ISO/IEC 27001.
3 Этап: Сертификационный аудит СУИБ: проводится формальный независимый аудит СУИБ; проводится тестирование СУИБ на соответствие требованиям стандарта ISO/IEC 27001; аудиторы собирают документальные подтверждения правильности и полноты существующей СУИБ. Сертификационный аудит обычно проводится ведущими аудито-рами по ISO/IEC 27001, после успешного проведения такого аудита СУИБ предприятия считается сертифицированной на соответствие требованиям ISO/IEC 27001.
4 Этап: Последующие проверки и аудит: Проверки после основного аудита (или по-следующие проверки) проводятся с целью увериться в том, что СУИБ предприятия ос-тается соответствующей требованиям стандарта. Сертификационные положения требуют проведения периодических аудиторских проверок.
В стандарте ISO 27001 принята модель «Plan-Do-Check-Act» (PDCA), которую применяют для структуризации всех процессов СУИБ:

PDCA ОПИСАНИЕ

• Планируй:

Разработка СУИБ Разработать политику СУИБ, цели, процессы и процедуры, сущест-венные для управления риском и в усовершенствования информационной безопасности, чтоб получить результаты, которые отвечают общим политикам и целям организации.

• Делай:

Внедряй и обеспечивай функционирование СУИБ Внедрять и обеспечивать функционирование политики информационной безопасности, контролей, процессов и процедур СУИБ.

• Проверяй:

Проводи мониторинг и пере-смотр СУИБ Оценивать и, по возможности, измерять продуктивность процессов в соответствии с политикой, целями и практическим опытом СУИБ и предоставлять отчет, о результатах проверок руководству для пере-смотра.

• Действуй:

Поддерживай и усовершенст-вуй СУИБ Применять корректирующие и превентивные меры на основании результатов внутреннего аудита СУИБ или другой существенной информации для постоянного усовершенствования СУИБ.
Если Вам необходима более детальная информация по вопросам СУИБ, квалифицированные консультанты Центра Бизнес-Знаний компании готовы SI BIS готовы в любое удобное время от-ветить на ваши вопросы.