Международный стандарт описывает лучшие мировые практики и устанавливает требования к системе управления информационной безопасностью (СУИБ). Его основными принципами являются: конфиденциальность, целостность и доступность информации.

Целью СУИБ и стандарта в целом, является обеспечение защиты информационных ресурсов за счет эффективного управления рисками связанными с бизнес-процессами компании.

Внедрение СУИБ в соответствии с этим стандартом или получение сертификации - это сложный и кропотливый процесс. Он включает
анализ бизнеса, оценку рисков, найм квалифицированного персонала и
его развитие, выбор необходимых технологий и решений, внедрение, мониторинг, анализ, поддержка и постоянное улучшение.

Однако все это гарантирует вам доверие со стороны клиентов и партнеров, и демонстрирует высокий уровень зрелости вашего бизнеса.
ISO 27001
СУИБ
Самое важное о СУИБ и ISO 27001
Жизненный цикл СУИБ, или путь от внедрения к сертификации
Для создания СУИБ легких путей нет, однако есть перечень шагов, делая которые, вы сможете достичь необходимых целей.

1. Поддержка со стороны руководства.
Это очевидно, но на практике этот момент часто упускают из виду. Более того, это одна из основных причин, почему проекты по внедрению ISO 27001 проваливаются. Без понимания значимости внедрения СУИБ в соответствии со стандартом, руководство не предоставит или достаточное количество человеческих ресурсов, или достаточный бюджет для реализации.

2. Разработка плана внедрения СУИБ, или подготовки к сертификации.
Получив комплексную задачу, очень важно составить детальный план проекта: распределить ресурсы, время, привлечь людей на определенные задачи и следить за соблюдением дедлайнов - иначе вы можете никогда не закончить работу.

3. Определение охвата сертификации.
Если у вас большая организация с диверсифицированной деятельностью, вероятно, имеет смысл сертифицировать по ISO 27001 только часть бизнеса, что значительно снизит риски проекта, а также сроки и стоимость.

4. Разработка политики информационной безопасности.
Политика информационной безопасности компании - это первый из важнейших документов в котором руководство задает цели и основные принципы управления ИБ. Определяет, каким образом это будет осуществляться и контролироваться. Распространяется на всех сотрудников компании.

5. Определение методологии оценки рисков.
Определяет правила оценки рисков и управления ими. Без этих правил СУИБ не работает. Помните об адекватности применяемых мер для уменьшения рисков. При их разработке рекомендуем пользоваться принципом «минимальной достаточности», потому что нередко они несут за собой большие временные или финансовые расходы или могут быть просто невыполнимы.

6. Управление рисками в соответствии с утвержденной методологией.
Последовательное применение методологии управления рисками - их регулярная и тщательная оценка и обработка. Актуальность реестра рисков ИБ дает возможность эффективно распределять ресурсы компании и предотвращать серьезные инциденты.

7. Планирование обработки рисков.
Формирование плана обработки рисков превышающих приемлемый для вашей компании уровень. Фиксирование действий, направленных на их снижение, а также ответственных за них лиц и сроков.

8. Положение о применимости (SoA).
Ключевой документ, на который смотрят аудиторы при сертификации. Описывает 114 контролей в области ИБ, и их применение к деятельности вашей компании.

9. Измерение эффективности средств управления ИБ.
Оценка результата действий, и достижения целей. Определение параметров измерения результатов как для единичных контролей, так и для всей СУИБ.

10. Внедрение средств управления ИБ.
Только после реализации всех предыдущих шагов, необходимо приступить к внедрению примененных контролей из Положения о применимости. Наибольшей сложностью в этом будет человеческое сопротивление относительно принятия новых политик процедур и действий во многих процессах вашей организации

11. Разработка и внедрение программы обучения для сотрудников.
Формирование позитивного восприятия изменений, их необходимости и важности является неотъемлемой частью как корпоративной культуры, так и жизненного цикла СУИБ. Описанные выше шаги будут иметь смысл, только если все сотрудники понимают важность проекта и действуют в соответствии с политикой ИБ. Учите, и повышайте осведомленность персонала по информационной безопасности.

12. Поддержка процессов СУИБ.
Документируйте и храните логи, как доказательство реальной работы примененных контролей ИБ. Во время сертификации, аудиторам нужно будет предоставить эти записи. Кроме того, это позволит отслеживать эффективность выполнения утвержденных правил и действий.

13. Мониторинг СУИБ.
Это позволит видеть ретроспективу инцидентов, их вид и качество выполнения сопутствующих процедур. Производить оценку достижения целей в области ИБ. Вносить необходимые изменения и корректировки.

14. Проведение внутреннего аудита.
Основная цель - выявление несоответствий в реальных процессах компании, проверка соблюдения сотрудниками правил и политик, формирование плана изменений. Это инструмент для снижения рисков и предотвращения возможных проблем.

15. Анализ со стороны руководства.
Руководство должно знать, что происходит с СУИБ. Получать регулярные отчеты для оценки достижения целевых результатов. Принимать ключевые решения по совершенствованию СУИБ и внутренних бизнес-процессов.

16. Система непрерывного улучшения.
Непрерывное улучшение - систематические исправления и предотвращение несоответствий в системе управления информационной безопасностью.
    Эффективная СУИБ невозможна без совершенной и регулярной
    оценки рисков
    Наиболее актуальным для обеспечения защиты активов компании, является адаптивный подход к кибербезопасности. Адаптивный - означает, что вы регулярно проводите оценку рисков, тем самым подтверждаете эффективность используемых в данный момент мер безопасности. Оценивая риски вы определяете уникальный рисковый профиль организации - это сокращает время, усилия и затраты на устранение маловероятных или несущественных угроз, а главное - вы получаете возможность управлять рисками.

    Стандарт ISO 27001, содержит отдельный раздел, описывающий требования к процессу управления кибер-рисками. Давайте рассмотрим основные:

    1. Установление внутреннего и внешнего контекста организации, сферы и границы в рамках которых необходимо выявить риски.

    2. Определение рисков, которые могут поставить под угрозу вашу кибербезопасность и деятельность в целом. Проведение внутреннего аудита для выявления уязвимостей и слабых мест в вашей ИТ инфраструктуре, а также угроз, которые могут их использовать.

    3. Анализ вероятности всех рисков и оценка степени влияния каждого из них на бизнес-процессы компании.

    4. Определение аппетита, по каждому из рисков (уровень приемлемости риска).

    5. Установление коммуникации с заинтересованными сторонами с целью их информирования о вероятности и последствиях выявленных рисков и статусов рисков;

    6. Приоритезация рисков для их эффективной обработки, принятия и максимального уменьшения возможности возникновения.

    7. Выбор плана реагирования на каждый из рисков:
    • Обработка - действия по уменьшению вероятности и / или влияния риска, как правило, путем реализации мер безопасности.
    • Принятие - принятие активных решений для удержания риска (в случае соответствия установленным критериям принятия риска).
    • Устранение - действия по избежанию риска, путем остановки или изменения бизнес-процесса или деятельности, которые вызывают риск.
    • Передача - разделение риска с другой стороной, с помощью аутсорсинга или страхования.

    8. Создание процедуры информирования заинтересованных сторон и персонала о рисках для организации и действия, которые осуществляются для снижения этих рисков.

    9. Особое внимание необходимо уделить непрерывности процесса управления рисками. Обеспечение мониторинга и анализа рисков, чтобы убедиться, что они по-прежнему приемлемы. Проверка соответствия введенных контролей установленным целям, внесение изменений в случае необходимости.

    Риски постоянно меняются по мере развития ландшафта киберугроз, а также в результате изменений вашей ИТ инфраструктуры и деятельности компании. Стоит отметить, что процесс управления рисками одинаково важен в любой отрасли, как для мелких и средних компаний, так и крупных предприятий, имеющих ИТ-инфраструктуру. Особое внимание этому вопросу стоит уделить организациям государственного сектора, социальной и финансовой сферы, транспортным и логистическим компаниям, которые предоставляют услуги по различным каналам для различных групп пользователей, в том числе обмен личными данными частных лиц.
    Нужно ли Вам обеспечивать все 114 контролей?
    1. Давайте определим, что такое положение о применимости или SoA - Statement of Applicability.
    Положение о применимости отражает позицию вашей организации по каждому из 114 контролей информационной безопасности, изложенных в приложении к стандарту.
    Положение должно:
    • Определять, какие средства контроля выбраны организацией для устранения выявленных рисков;
    • Объяснять, почему они были выбраны и ссылаться на соответствующую документацию о их реализации;
    • Указывать, какие из них внедрены и на сколько;
    • Объяснять, почему некоторые контроли ни были или не могут быть применены.

    Используйте этот документ для анализа и оценки эффективности выбранных контролей и мероприятий ИБ. Регулярно просматривайте и корректируйте его, применяя более пригодные меры управления к существующим и возникающим рискам.

    2. Какие контроли нужно реализовать?
    Главное понять, что выбор и внедрение контролей зависит от рисков с которыми сталкивается ваша организация.
    Проведите гэп-анализ на соответствие ISO 27001 и оценку рисков. Это облегчит определение соответствующих им контролей. При их реализации используйте приложение с описанием контролей и сопутствующий стандарт ISO 27002 в котором содержится подробный обзор средств защиты информации, и полезные советы по применению.
    Обязательная документация
    Стандарт описывает достаточно конкретные требования к наличию документации, которая должна содержать:
    • Область применения системы менеджмента информационной безопасности (4.3)
    • Политика информационной безопасности и задачи (5.2 и 6.2)
    • Методология оценки и обработки рисков (6.1.2)
    • Положение о применимости (6.1.3 d)
    • План обработки рисков (6.1.3 e и 6.2)
    • Отчет по оценке рисков (8.2)
    • Определение ролей и обязанностей по обеспечению безопасности (7.1.2 и 13.2.4)
    • Инвентаризация активов ( 8.1.1)
    • Приемлемое использование активов (8.1.3)
    • Политика контроля доступа (9.1.1)
    • Операционные процедуры для ИТ-управления (12.1.1)
    • Инженерные принципы системы информационной безопасности (14.2.5)
    • Политика безопасности поставщика (15.1.1)
    • Процедура управления инцидентами (16.1.5)
    • Процедуры непрерывности бизнеса (17.1.2)
    • Законодательные и нормативные, контрактные требования (18.1.1)

    дополнительно, необходимо создать записи:
    • Записи о профессиональной подготовке, знание, опыт и квалификацию (7.2)
    • Результаты контроля и измерений (9.1)
    • Программа внутреннего аудита (9.2)
    • Результаты внутренних аудитов (9.2)
    • Результаты анализа управления (9.3)
    • Результаты корректирующих действий (10.1)
    • Журнал действий пользователей, исключений и событий в системе безопасности (12.4.1 и 12.4.3)

    Все эти документы используются аудитором для анализа зрелости вашей СУИБ и компании в целом.
    Стандарт не ограничивает организацию в создании дополнительных документов или записей, которые помогут ей внедрять необходимые процессы и совершенствовать эффективность системы управления информационной безопасностью.
    Что общего между стандартами ISO 27001 / ISO 22301 / ISO 9001 и GDPR?
    Стандарты ISO имеют родственную структуру и основываются на философии оценки и обработки рисков. Процедуры и методы, применяемые для определения контекста организации, формирования политик, лидерства, планирования, оценки рисков, непрерывности, поддержки или улучшения в большинстве случаев универсальны. Это означает, что внедряя один из этих стандартов можно использовать полученную документацию или выбранную методологию для любого другого, что значительно облегчает задачу.

    Относительно регламента GDPR, то он имеет гораздо более широкий объем и фундаментальное понимание безопасности и конфиденциальности данных, однако не затрагивает технологические аспекты управления безопасностью. Основные сходства в этих документах касаются правил по защите данных, среди которых:
    • Обеспечение конфиденциальности, доступности и целостности данных
    • Оценка рисков
    • Управление цепочкой поставок
    • Сообщение о нарушении
    • Внедрение принципа "защита по дизайну и по умолчанию"
    • Документирование основных бизнес-процессов, включая управление безопасностью данных и других информационных активов
    Преимущества от СУИБ, которая соответствует стандарту ISO 27001
    1. Снижение затрат и минимизация убытков
    Как показывает статистика IBM (Источник ibm.com), средняя стоимость утечки данных за 2019 выросла на 14% и составила 3,86 миллиона долларов. Стандарт ISO 27001 помогает создавать эффективные процессы защиты, позволяет предотвращать инциденты связанные с нарушением безопасности, избегать огромных штрафов, судебных дел и финансовых потерь.
    Самое главное, что инвестиции в СУИБ в соответствии с ISO 27001 значительно меньше, чем ожидаемая средняя стоимость потери данных в любой организации.
    2. Повышение конкурентоспособности и новые возможности
    Безусловно, получение сертификации дает весомые преимущества перед конкурентами, ведь все больше компаний при выборе подрядчика или партнера хотят видеть тех, кто беспокоится о безопасности данных. Вы можете демонстрировать высокий уровень ответственности, устойчивости и безопасности в своей маркетинговой компании привлекая новых клиентов и укрепляя отношения с существующими.
    3. Процессный подход и фокусирование на достижении целей
    Внедрение ISO 27001, впрочем как и других сопутствующих стандартов, невозможно без определения и понимания основных бизнес-процессов компании. Так же, как и эффективная СУИБ, невозможна без отлаженных процессов: оценки рисков, реагирования на инциденты и тому подобное.
    Уделив этому достаточно внимания, вы получите безупречный механизм с четкими процедурами, ролями, ответственностью и производительностью, который позволит без отвлечений достигать установленных бизнесом целей.
    4. Соответствие нормативным требованиям и законодательным актам
    Внедрение компанией данного стандарта обеспечивает соответствие большинству требований предъявляемых в области информационной безопасности.
    5. Зрелость и репутация
    Наличие СУИБ соответствующей ISO 27001 демонстрирует существующим и потенциальным клиентам, а также партнерам, что вы внедрили лучшие практики в области защиты информации.
    Это означает, что вы заботитесь не только о своей стабильности, эффективности и репутации, но и о благополучии ваших клиентов и бизнес-партнеров.
    ЧТО МЫ ПРЕДЛАГАЕМ
    • онлайн или офлайн консультирование по любым вопросам относительно лучших практик внедрения СУИБ и соответствия требованиям стандарта ISO 27001
    • это быстро и удобно, достаточно лишь выбрать способ связи с нашим специалистом
    • вы можете выбрать почасовую консультацию по фиксированной цене
    • или сотрудничать в формате месячной, квартальной или годовой подписки от 10 часов, чтобы получить эксклюзивный прайс
    *90.00 / час
    без НДС
    Начать диалог
    • вы можете выбрать любую из 3-х проектных услуг
    • быстрая оценка - анализ какого-либо одного из 114 контролей или артефактов СУИБ (стратегия, политика, процедура, процесс, карта рисков, план обработки рисков, тренинг и т.д.)
    • гэп-анализ - анализ недостатков в существующей СУИБ (может быть ограничен подразделением, бизнес юнитом, или офисом)
    • аудит - дает возможность взглянуть на все со стороны и получить экспертную оценку на соответствие СУИБ стандарту ISO 27001
    • каждый из отчетов содержит: полный перечень несоответствий по уровням критичности; рекомендации по улучшениям; дорожную карту внедрения изменений
    Свяжитесь с менеджером, чтобы получить коммерческое предложение
    Начать диалог
    • проект построения системы управления информационной безопасностью под ключ с соблюдением требований стандарта ISO 27001
    • проект включает:
      - гэп-анализ или аудит, для понимания текущего состояния, и для оценки артефактов СУИБ, если какие-то уже были внедрены;
    • - разработка плана проекта и дорожной карты внедрения или улучшений;
    • - разработка документации: стратегий, политик, процессов, процедур, карты рисков, плана обработки рисков, тренингов, программ осведомленности;
    • - помощь в выборе систем и решений по лучшим практикам;
    • - тестирование процессов, процедур, проведение симуляций сбоев, оценка результатов;
    • - контроль и отчетность на всех этапах проекта;
    • - обучение персонала
    Свяжитесь с менеджером, чтобы получить коммерческое предложение
    Начать диалог
    • вы можете выбрать месячную, квартальную или годовую подписку на поддержку надлежащего состояния системы управления информационной безопасностью и ее соответствия требованиям стандарта ISO 27001
    • может содержать:
      - пакет часов консультаций необходимого специалиста, рассчитанный согласно вашим потребностям;
    • - пакет быстрая оценка / гэп-анализ / аудит с выбранной вами периодичностью;
    • - пакет сопровождение, помощь и контроль в вашем самостоятельном проекте по внедрению изменений или улучшений;
    • - пакет улучшения, в котором мы улучшаем артефакты СУИБ, если ваша компания в этом нуждается;
    • - все необходимые отчеты и проектную документацию
    Свяжитесь с менеджером, чтобы получить коммерческое предложение
    Начать диалог
    Не нашли то, что искали?
    Мы всегда готовы помочь с решением Вашей проблемы или ответить на срочные вопросы.
    Для этого Вам необходимо только выбрать удобное средство связи с нашими специалистами.
    СОВЕТ ЭКСПЕРТА
    Этот сайт использует файлы cookie для анализа нашего трафика, персонализации контента и рекламы, а также предоставления доступа к функциям социальных сетей.

    Информация о вашем использовании этого сайта доступна нашим партнерам из социальных сетей, рекламным партнерам и партнерам по аналитике.
    Они могут сочетать эту информацию с другими данными о вас, которые они собрали во время вашего пользования их услугами.

    Узнайте больше об условиях использования файлов cookie ознакомившись с Политикой конфиденциальности.
    ОК
    Made on
    Tilda