ISO 27001: Приведение организации в соответствие

Что дает сертификат соответствия ISO IEC 27001?

Современные крупные компании обладают, как правило, сложной, территориально распределенной корпоративной информационной системой и значительным количеством критичных информационных ресурсов, и при этом их повседневная деятельность реализуется в условиях ежедневно растущих репутационных рисков и непрерывно меняющихся внешних требований.

В такой ситуации обеспечить безопасность информации при адекватных бюджетных расходах возможно лишь при использовании комплексного подхода, который подразумевает последовательное внедрение в компании организационных мер, программно-технических средств и процессов менеджмента, связанных в единую систему управления информационной безопасностью (СУИБ).

В настоящее время, стандартом де-факто в области построения СУИБ является международный стандарт ISO/IEC 27001:2005 «Information technology. Security techniques. Information security management systems. Requirements». Положения этого стандарта на добровольной основе применяет множество компаний в десятках стран мира.

Внедрение и сертификация СУИБ на соответствие стандарту ISO/IEC 27001:2005 позволяет убедиться всем заинтересованным сторонам в том, что система информационной безопасности построена правильно и функционирует эффективно.

Сертификат ISO 27001 — как получить?

Прежде, чем подавать заявку на получение сертификата, следует удостовериться, что система менеджмента безопасности на предприятии отвечает требованиям ISO. Стандарт ИСО 27001 предъявляет достаточно жесткие требования, и несоответствие даже одному из них автоматически влечет за собой отказ в выдаче документа.

Проверку СУИБ на соответствие ISO/IEC 27001:2005 могут выполнять аудиторские/консалтинговые фирмы – члены организации United Kingdom Accreditation Service (UKAS), такие как компания «BSi Management Systems» (www.BSi-global.com, www.BSi-russia.com) – подразделение Британского института стандартов, уполномоченного государственного органа Великобритании.

СУИБ организации должна отвечать следующим критериям:

• иметь в своей основе программу информбезопасности, разработанную индивидуально для данного предприятия,
• предусматривать спецподготовку персонала,
• иметь стандарты корпоративной этики,
• четко разграничивать уровни доступа к конфиденциальной информации,
• обеспечивать бесперебойное функционирование всех бизнес-процессов, связанных с конфиденциальными данными,
• предусматривать и эффективно пресекать информационные риски.

Приведение в соответствие с ИСО 27001

Для достижения поставленных целей предлагается провести работы в 5 последовательных этапов:

Этап 1. Обследование текущего состояния СУИБ

• Сбор первичных сведений и разработка плана обследования
• Проведение обследования на площадках Заказчика
• Подготовка отчета и рекомендаций по достижению соответствия требованиям

Этап 2. Выделение Области действия СУИБ и планирование дальнейших работ

• Проведение обследования на площадках Заказчика
• Подготовка рекомендаций по выделению Области действия СУИБ
• Верхнеуровневое описание Области действия СУИБ
• Разработка Плана-графика внедрения СУИБ

Этап 3. Проектирование СУИБ

• Распределение ответственности в части информационной безопасности
• Разработка полного комплекта документации СУИБ

Этап 4. Проведение оценки рисков ИБ

• Разработка и согласование регламента управления рисками
• Проведение оценки рисков и подготовка отчетных материалов

Этап 5. Внедрение СУИБ

• Запуск процессов СУИБ, подготовка записей
• Обучение персонала Заказчика
• Организация центра компетенции по вопросам функционирования СУИБ (на протяжении всего проекта)

RTM Group проводит свои работы в соответствии с действующим Российским законодательством на момент проведения работ. Спорные моменты, возникающие во время проведения работ, решаются в рамках рабочей группы.

При подготовке системы к прохождению сертификационного аудита, мы осуществляем взаимодействие с сертификационным органом British Standards Institution, чтобы гарантировать успешное прохождение итогового аудита.

Сертификационный аудит нужно проводить не менее чем через полгода после запуска СУИБ в организации (таковым можно считать, например, формальное утверждение политики СУИБ для ОД), к моменту сертификации СУИБ должен пройти один полный цикл PDCA.

Стоимость работ оговаривается индивидуально. Специалисты компании всегда готовы ответить на Ваши вопросы и проконсультировать по вопросам, связанным с выдачей Certificate ISO 27001.

Почему RTM Group?

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Оценки соответствия и внедрение по ГОСТ Р 57580 проводятся экспертами обладающими большим опытом проведения оценок соответствия по СТО БР ИББС, ISO 27001 и 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ Р 57580.1
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты