Рост информационных технологий и повсеместная автоматизация процессов управления обязывает руководство компаний думать о защите баз данных от несанкционированного доступа.
Для этой цели предприятия разрабатывают и внедряют систему менеджмента информационной безопасности (сокращенно - СМИБ) по положениям международного стандарта ISO/IEC 27001. В документе заложен принцип Security Management об обеспечении сохранности информации, который вывели в конце прошлого столетия ведущие торговые корпорации и банковский сектор Великобритании.
СПРАВКА! В РФ применяется отечественный аналог ГОСТ Р ИСО/МЭК 27001, который позволяет российским фирмам обеспечить «неприкосновенность» баз данных.
Сертификация СМИБ, как и предварительное внедрение, проводится компаниями на добровольной основе.
Что дает использование ISO/IEC 27001?
Введенный в начале 2022 года стандарт ИСО 27001 усовершенствовал базовые принципы и ужесточил требования к системам менеджмента информационной безопасности ранее действующих нормативов. Разработка, внедрение и сертификации СМИБ позволяет субъекту хозяйствования:
- сформировать целостную структуру управления базами данных организации с разграничением прав доступа к информационным ресурсам пользователей на основании статуса;
- создать эффективный механизм контроля безопасности конфиденциальной информации от несанкционированного вмешательства;
- делегировать полномочия и распределить ответственность за сохранность и передачу данных между должностными лицами;
- устранить риски, связанные с потерей и неправомерным использованием охраняемой информации.
Упорядочение и контроль информационного обмена дает возможность минимизировать издержки, связанные с поддержанием работы системы и повысить уровень доверия к компании со стороны внешних и внутренних пользователей. Ведь для каждого контрагента важна уверенность в том, что конфиденциальные сведения, направленные конкретному адресату, не станут достоянием «гласности», а для каждого работника – гарантия защиты от незаслуженного обвинения в разглашении коммерческой тайны.
Внедрение стандарта позволяет выйти на международный рынок, повысить конкурентоспособность за счет безопасности информационных процессов и недопущения утечки «ценной» информации.
Наличие сертификата ISO/IEC 27001 – официальное подтверждение защиты баз данных, принимаемое в качестве аксиомы без доказательств.
Какие мероприятия сопутствуют внедрению стандарта?
Поскольку ИСО 27001 – гарант защиты информационных ресурсов, его применение обязывает кандидата провести ряд контрольных мероприятий, включающих:
- выделение «ценных» информационных потоков, требующих усиленного защитного механизма, а также оценки рисков и их последствий;
- принятие мер для минимизации негативных факторов организационной (распределение «зоны» ответственности), технической (подключение режима авторизации) и физической (укрепление дверей в серверную) направленности;
- издание распорядительной документации (приказов на делегирование полномочий и распределение ответственности между сотрудниками) и обучение новым методам работы персонала;
- проверку информационной безопасности всех элементов (активов, криптографии, системы связи, управления доступом) в рамках непрерывной деятельности.
Требуемые мероприятия заложены в структуру самого стандарта, определяющего перечень мер безопасности и средства для обеспечения. В отличие от ранних версий норматива компания не вправе самостоятельно определять область действия СМИБ и получать сертификат без достаточных оснований соответствия по всем параметрам.
НА ЗАМЕТКУ! Ранее разрешенный выбор отдельных бизнес-процессов – управление персоналом либо составление финансовой отчетности - позволял сертифицировать СМИБ. ИСО 27001 аналогично международному стандарту ISO/IEC 27001 наложил «табу» на манипулирование с областью действия.
Структура стандарта ИСО 27001
Документ состоит из перечисления и конкретизации фаз цикла, дополненного приложением с перечнем необходимых мер безопасности. Цикл включает следующие фазы:
- планирование с определением границ системы управления;
- исполнение для безопасного функционирования процессов и оперативного решения задач;
- проверку с проводимым мониторингом деятельности и внутренними периодическими аудитами;
- корректировку выявленных несоответствий с внедрением мер по устранению «слабых звеньев» в цепи.
После завершения внутренних контрольных мероприятий компания часто инициируют независимую оценку системы и получают сертификат. Срок его действия 3 года. После выдачи документа на предприятии раз в год будет проводиться контроль для подтверждения работоспособности внедренной СМИБ.
Основные принципы стандарта
Стандарт базируется на обеспечении непрерывной безопасности всех бизнес-процессов. Для получения сертификата необходимо одновременное выполнение требований относительно:
- Систематической поддержки в контексте деятельности бизнеса. Предприятие обязано создать, внедрить и постоянно совершенствовать СМИБ. В меры по улучшению входит разграничение ответственности среди персонала, усиление защитного механизма, постоянный контроль знаний работников.
- Оценки и обработки рисков. При выявлении каждого риска организация должна провести идентификацию и анализ, установить природу возникновения, а затем принять меры по ликвидации. Например, при несанкционированном вмешательстве посторонними необходимо подключить авторизацию пользователей и ограничить доступ к помещению, в котором расположен сервер.
- Независимости от вида деятельности. Компания не вправе выбирать отдельный сегмент для обеспечения безопасных условий. Масштабы, товарооборот и документооборот не рассматриваются индивидуально, а применяется комплексный подход ко всем бизнес-процессам без их дифференциации.
Игнорирование любого из требований приводит к отказу в выдаче сертификата ИСО 27001. В процессе сертификации организации нужно доказать исполнение всех циклов основного процесса и подтвердить функционирование СМИБ на практике. Процедура позволяет выявить уязвимые элементы внедренной системы безопасности и ликвидировать не только существующие, но и потенциальные угрозы деятельности хозяйствующей единицы.
Сертификация ISO IEC 27001
Standardization document ISO / IEC 27001:2013 (Information security management systems – Requirements) – документ по стандартизации, составленный международной организацией по стандартизации и электротехнической комиссией (International Organization for Standardization and International Electrotechnical Commission), содержит порядок разработки ISMS.
В переводе на русский язык аббревиатура ISMS означает систему менеджмента, предназначенную для управления безопасностью информации в организациях (далее по тексту – СМИБ).
Справка! В РФ разработан ГОСТ Р ИСО / МЭК 27001 – стандарт, идентичный международному варианту International standard ISO 27001.
Внедрение ISMS (СМИБ), соответствующей принципам стандарта, помогает российским предприятиям защитить активы от угроз:
- кибератак (хакерских атак, вирусов, вредоносных программ);
- утечки информации (кража сведений, потеря конфиденциальности);
- незаконного использования базы данных, несанкционированных доступов, взломов;
- системных сбоев (отказов оборудования, программных ошибок);
- стихийных бедствий и угроз иного характера.
Сертификация ISMS, основанная на оценке соответствия работы положениям настоящего ISO 27001:2013, помогает организациям:
- в идентификации, оценке рисков, связанных с информационной безопасностью (ИБ);
- разработке и внедрении мер, применении эффективных методов контроля для защиты активов;
- обеспечении системной защиты, т.е. в масштабах всей компании;
- реагировать на изменения и угрозу безопасности;
- сократить нецелевые затраты, связанных с применением неэффективных средств, технологий защиты данных и пр.
Сертификация проводится после внедрения норм ISO 27001 (ИСО / МЭК 27001) в деятельность компании. Процедура предусматривает проведение аудита, позволяющего оценить, соответствует внедренная ISMS утвержденным требованиям стандарта ISO 27001. В рамках аудита проверяется:
- документация компании;
- наличие необходимых ресурсов (человеческих, технических, программных и др.);
- квалификация и осведомленность персонала в сфере ИБ;
- эффективность работы ISMS;
- другие аспекты.
Сертифицированную систему менеджмента необходимо непрерывно совершенствовать. Для этого проводятся внутренние аудиты, независимые инспекционные проверки, которые проводит сертификационный орган на протяжении срока действия сертификата.
Стандарт ИСО 27001 можно внедрить в совокупности с другими системами, к примеру, ISO / IEC 22301 (непрерывности бизнес-процессов), ISO / IEC 20000 –1 (сервиса в сфере IT), ИСО 9001 (качества товаров / услуг).
За помощью в проведении международной сертификации ISO / IEC 27001 обращайтесь в центр «Ростест Урал».