ISO IEC 27001 и ГОСТ Р ИСО/МЭК 27001: Приведение организации в соответствие

Что дает сертификат соответствия ISO IEC 27001 и ГОСТ Р ИСО/МЭК 27001?

Современные крупные компании обладают, как правило, сложной, территориально распределенной корпоративной информационной системой и значительным количеством критичных информационных ресурсов, и при этом их повседневная деятельность реализуется в условиях ежедневно растущих репутационных рисков и непрерывно меняющихся внешних требований.

В такой ситуации обеспечить безопасность информации при адекватных бюджетных расходах возможно лишь при использовании комплексного подхода, который подразумевает последовательное внедрение в компании организационных мер, программно-технических средств и процессов менеджмента, связанных в единую систему управления информационной безопасностью (СУИБ).

В настоящее время, стандартом де-факто в области построения СУИБ является международный стандарт ISO/IEC 27001:13 «Information technology. Security techniques. Information security management systems. Requirements». Положения этого стандарта на добровольной основе применяет множество компаний в десятках стран мира.

В России локализованной версией является стандарт ГОСТ Р ИСО/МЭК 27001-2021 “Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования”.

Внедрение и сертификация СУИБ на соответствие стандарту ISO/IEC 27001:13 позволяет убедиться всем заинтересованным сторонам в том, что система информационной безопасности построена правильно и функционирует эффективно.

Сертификат ISO 27001 – как получить?

Прежде, чем подавать заявку на получение сертификата, следует удостовериться, что система менеджмента безопасности на предприятии отвечает требованиям ISO. Стандарт ИСО 27001 предъявляет достаточно жесткие требования, и несоответствие даже одному из них автоматически влечет за собой отказ в выдаче документа.

Требования ГОСТ Р ИСО/МЭК 27001 можно условно разделить на те, что перечислены в Приложении А (так называемые контроли) и, требования основной части стандарта (большая часть перечислена в разделе 4 “Система менеджмента информационной безопасности”).

Проверку СУИБ на соответствие ISO/IEC 27001:2005 могут выполнять аудиторские/консалтинговые фирмы – члены организации United Kingdom Accreditation Service (UKAS), такие как компания «BSi Management Systems» (www.BSi-global.com, www.BSi-russia.com) – подразделение Британского института стандартов, уполномоченного государственного органа Великобритании.

СУИБ организации должна отвечать следующим критериям:

• иметь в своей основе программу информбезопасности, разработанную индивидуально для данного предприятия;
• предусматривать спецподготовку персонала;
• иметь стандарты корпоративной этики;
• четко разграничивать уровни доступа к конфиденциальной информации;
• обеспечивать бесперебойное функционирование всех бизнес-процессов, связанных с конфиденциальными данными;
• предусматривать и эффективно пресекать информационные риски.

Приведение в соответствие с ГОСТ Р ИСО/МЭК 27001-2021

Для достижения поставленных целей предлагается провести работы в 5 последовательных этапов:

Этап 1. Обследование текущего состояния СУИБ

• Сбор первичных сведений и разработка плана обследования;
• Проведение обследования на площадках Заказчика;
• Подготовка отчета и рекомендаций по достижению соответствия требованиям.

Этап 2. Выделение Области действия СУИБ и планирование дальнейших работ

• Проведение обследования на площадках Заказчика;
• Подготовка рекомендаций по выделению Области действия СУИБ;
• Верхнеуровневое описание Области действия СУИБ;
• Разработка Плана-графика внедрения СУИБ.

Этап 3. Проектирование СУИБ

• Распределение ответственности в части информационной безопасности;
• Разработка полного комплекта документации СУИБ.

Этап 4. Проведение оценки рисков ИБ

• Разработка и согласование регламента управления рисками;
• Проведение оценки рисков и подготовка отчетных материалов.

Этап 5. Внедрение СУИБ

• Запуск процессов СУИБ, подготовка записей;
• Обучение персонала Заказчика;
• Организация центра компетенции по вопросам функционирования СУИБ (на протяжении всего проекта).

RTM Group проводит свои работы в соответствии с действующим Российским законодательством на момент проведения работ. Спорные моменты, возникающие во время проведения работ, решаются в рамках рабочей группы.

При подготовке системы к прохождению сертификационного аудита, мы осуществляем взаимодействие с сертификационным органом British Standards Institution, чтобы гарантировать успешное прохождение итогового аудита.

Сертификационный аудит нужно проводить не менее чем через полгода после запуска СУИБ в организации (таковым можно считать, например, формальное утверждение политики СУИБ для ОД), к моменту сертификации СУИБ должен пройти один полный цикл PDCA.

Стоимость работ оговаривается индивидуально. Специалисты компании всегда готовы ответить на Ваши вопросы и проконсультировать по вопросам, связанным с выдачей Certificate ISO 27001.

Почему RTM Group?

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Оценки соответствия и внедрение по ГОСТ Р 57580 проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 и 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ Р 57580.1
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации;
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации;
  • Лицензия ФСБ России на работу со средствами криптозащиты.