РЕШЕНИЯ И УСЛУГИ

Решения и услуги ИТ Безопасность

ISO 27001

ISO 27001

 

Стандарт ISO\IEC 27001 является первым общепризнанным международным стандартом для разработки системы управления информационной безопасностью (СУИБ).

Сохранность информации – одно из условий успешности современного бизнеса, поэтому защита информационных активов – это одна из главных задач. Стандарт ISO\IEC 27001 универсален, подходит для любой организации, крупной или малой, из какой угодно отрасли и расположенной в любой части мира. Финансы, здравоохранение, госучреждения и IT – можно сказать, что для этих отраслей ISO\IEC 27001 «лучший друг». Следующей особенностью ISO\IEC 27001 является то, что он предъявляет требования не столько к техническим средствам защиты, сколько к системе управления информационной безопасностью. На практике это означает, что внедрение даже небольшой части требований скажется, прежде всего, на процессах, а не техническом средстве.

Что же такого привносит стандарт ISO\IEC 27001? Начнем с "неформальных" преимуществ: информационная система компании для менеджмента станет "прозрачнее". У руководства появляется возможность видеть, как взаимосвязаны процессы и подсистемы ИБ, кто за них отвечает, какие финансовые и трудовые ресурсы необходимы для их эффективного функционирования. После проведения аудита на лицо основные угрозы безопасности для бизнес-процессов, а значит, найдутся и способы их устранения. В процессе внедрения ISO\IEC 27001 вырабатываются рекомендации по повышению текущего уровня защиты от обнаруженных угроз и недостатков в системе безопасности и управления. Расходы на ИБ не останутся без внимания, стандарт помогает обосновать затраты. Построение СУИБ позволяет четко определить, как взаимосвязаны процессы и подсистемы ИБ, кто за них отвечает, какие финансовые и трудовые ресурсы необходимы для их эффективного функционирования. Кроме того, всё будет по «Фэн-шуй», а именно в соответствии с законодательными, отраслевыми, контрактными, внутрикорпоративными требованиями и целями бизнеса. В результате будет предложен комплексный план внесения изменений в систему управления информационной безопасностью, как для повышения реального уровня защищенности, так и для непосредственного соответствия стандарту.

Одно из наиболее весомых преимуществ сертификации – имидж. С получением сертификата, повышается авторитет компании, это, своего рода, международное признание, как на внутреннем, так и на внешнем рынках.

В глазах корпоративных клиентов и партнеров Ваша компания будет на еще одну ступень выше – внимательное отношение к вопросам обеспечения информационной безопасности всегда в цене. Помимо повышения репутации бренда есть еще много внешних преимуществ:

  • снижение операционных рисков и, как следствие, повышение экономической эффективности (т.к. риски ИБ являются их достаточно большим подмножеством);
  • снижение рисков для инвесторов (повышение прозрачности процессов внутри Компании), что приводит к увеличению котировочной стоимости для публичных компаний или повышению стоимости акций при выходе на IPO;
  • повышается доверие клиентов, партнеров и заказчиков за счет демонстрации действий по минимизации рисков ИБ, демонстрации высокого уровня зрелости обеспечения ИБ всем заинтересованным сторонам;
  • уменьшение затрат ресурсов и вложений в ИБ при слиянии/поглощении компаний;
  • упрощение прохождения финансового аудита в части ИТ-аудита сопровождения;
  • экономия времени, ресурсов и затрат на начальной стадии сбора информации при проведении любых внешних аудитов (в т.ч. аудитов Центробанка и финансовых аудитов).

Сертификация на соответствие стандарту ISO/ IEC 27001 дает возможность деловым партнерам, инвесторам и клиентам увидеть налаженное эффективное управление информационной безопасностью. В свою очередь это обеспечивает компании конкурентное преимущество, демонстрируя способность управлять информационными рисками, при этом также увеличивается капитализация компании.

Процесс прохождения сертификации состоит из нескольких этапов, мы предлагаем внедрение ISO 27001 «под ключ».

В рамках построения СУИБ мы можем провести аудит по выявлению несоответствий, что позволит определить, насколько текущая система управления организации соответствует ISO/IEC 27001, при этом для каждого процесса обеспечения или управления ИБ определяется степень зрелости, а также разрабатываются рекомендации для соответствия требованиям стандарта. Полученные результаты могут быть использованы для составления плана-графика построения СУИБ в организации. Процесс может включать как полный комплекс работ (от планирования СУИБ до сертификационного аудита), так и внедрение отдельных процессов, критичных с точки зрения организации, когда проведение сертификации не ставится целью. Внедрять систему управления во все бизнес-процессы компании или в определенные направления - область действия определяется необходимостью. Рациональным может быть применение стандарта для нескольких бизнес-процессов, наиболее актуальных для компании.

Мы можем провести следующий комплекс мероприятий:

  • оценить ситуацию, проанализировать, чего не хватает в рамках ИБ;
  • разработать и внедрить процессы управления ИБ и, при необходимости, процессы обеспечения ИБ;
  • организовать разграничения ответственности между подразделениями ИТ и ИБ в рамках выполнения процессов СУИБ;
  • разработать полный комплект документации по ИБ в соответствии с требованиями стандарта;
  • провести анализ рисков ИБ и разработать плана-графика снижения рисков ИБ до приемлемого уровня;
  • обучить персонал процессам и документации ИБ;
  • подготовить систему к прохождению сертификационного аудита, включая взаимодействие с сертификационным органом, оказание консалтинга при устранении несоответствий, выявленных в ходе аудита;
  • оказать поддержку непосредственно во время проведения аудита.
     
Сотрудники 4х4 имеют огромный опыт подготовки компаний к сертификационным аудитам получения сертификатов ISO/IEC 27001, мы сотрудничаем с Британским органом по сертификации – компанией BSI.

По результатам построения СУИБ и получения сертификата мы не «бросаем» Вас в «одиночное плавание». Для каждого нашего Клиента индивидуально формируется пакет услуг по сопровождению внедренной СУИБ, которые позволят наилучшим образом обеспечить работоспособность процессов СУИБ на заданном уровне и повысить уровень зрелости отдельных процессов ИБ.

В пакет поддержки могут быть включены работы по ежегодному проведению анализа рисков, оказание консалтинговой поддержки при проведении внутренних аудитов, разработка показателей эффективности для внедренных процессов, документирование отдельных элементов системы, организация курсов по информационной безопасности для сотрудников по области деятельности и т.д.

Фактически любой процесс СУИБ может быть передан нашим специалистам на аутсорсинг, при этом индивидуально для Заказчика определяется удобная для него форма взаимодействия: может быть организован центр компетенции, удаленное консультирование, проведение работ на площадке Заказчика и т.д. В общем, мы сделаем всё, чтобы процесс подготовки к сертификации ISO\IEC 27001 и построения СУИБ прошел гладко и успешно, внедрение и работа решений были эффективными, информационные активы – защищенными.

Александр
Митрохин

Тема: ISO 27001

Задайте мне Ваш вопрос