Что представляет собой стандарт ISO/IEC 27001? Какие задачи решает система менеджмента информационной безопасности и дает ли она конкретные преимущества бизнесу? Нужна ли помощь экспертов в сфере стандартизации при внедрении СМИБ?
Стремительное развитие IT-технологий наряду с прогрессивными изменениями обуславливает необходимость обеспечения надежной защиты информации от несанкционированного доступа. Очевидно, что в эффективном решении данной задачи наиболее заинтересованы предприятия военно-промышленного комплекса, финансовые организации и коммерческие структуры.
Суть стандарта ISO/IEC 27001 и задачи, решаемые СМИБ
Согласно определению, которое вы легко найдете в сети Internet, стандарт ISO/IEC 27001 представляет собой свод требований по созданию, поддержанию и развитию системы менеджмента информационной безопасности, являющейся частью системы управления, отвечающей за оценку рисков и защиту информации.
Однако учитывая, что на СМИБ лежит ответственность за доступность и комплексную безопасность информационных активов, круг задач, решаемых системой, более широк, чем кажется на первый взгляд. Наряду с контролем действий пользователей необходимо осуществлять менеджмент реестра информактивов, обеспечивать целостность и работоспособность высокотехнологичного оборудования, создавать резервные копии различной документации…
Специфика внедрения СМИБ
Система менеджмента информационной безопасности вполне может быть эффективной и в том случае, если она выстроена без следования требованиям каких-либо стандартов. Однако справиться с задачей её построения под силу далеко не всем «безопасникам». С другой стороны, ISO/IEC 27001 предлагает решения, объединяющие в себе накопленный передовой опыт практического менеджмента в сфере защиты информации. При этом структура стандарта согласована с другими стандартами ISO, что позволяет гармонично вписать СМИБ в общую систему управления, построенную на базе международных стандартов.
Как показывает практика, внедрение СМИБ по ISO/IEC 27001 проходит гораздо быстрее и с минимальным количеством нестыковок в организациях, прошедших сертификацию ISO 9001 (имеющих действующую систему менеджмента качества).
Узнать больше об этапах, сроках и стоимости внедрения СМК и других систем менеджмента, вы можете тут.
Теперь попробуем разобраться в вопросе о том, какой путь внедрения СМИБ выбрать: самостоятельное выстраивание системы или помощь экспертов. Конечно, услуги консалтинговых компаний стоят недёшево. Однако и экономия средств при принятии решения обойтись собственными силами весьма сомнительна. Почему?
Если лица, ответственные за внедрение СМИБ, не являются специалистами в сфере стандартизации и ранее им никогда не приходилось работать со стандартами в области менеджмента, то сразу выстроить систему так, чтобы она могла удовлетворить аудиторов сертифицирующей организации, им вряд ли удастся. Последует проведение ряда итераций с правкой допущенных ошибок. Естественно, что все эти действия потребуют вложения дополнительных средств.
Ещё один аспект – сложность определения наиболее существенных рисков в сфере информационной безопасности для конкретно взятой организации. Не специалисты, как правило, выстраивают защиту по принципу «защитить всё от всего» и это стоит денег. Эксперты предлагают вариант концентрации на выделенных потенциальных рисках, что позволяет снизить расходы после прохождения сертификации СМИБ.
ISO/IEC 27001 или три ключевых преимущества для бизнеса
- Первое и одно из самых весомых – имидждевое. Наличие сертифицированной СМИБ работает на рост привлекательности вашей организации для партнеров и корпоративных клиентов, серьёзно относящихся к вопросу информационной безопасности.
- Второе не менее важное – реальное повышение уровня защиты информации в самой организации, что в перспективе означает значительную экономию за счет отсутствия убытков, вызванных инцидентами в сфере информационной безопасности.
- Третье значимое преимущество – прозрачность работы всех подразделений компании (включая отдел информбезопасности) для её высшего руководства.
Бесспорно, список плюсов, получаемых компанией от внедрения СМИБ по стандарту ISO/IEC 27001, не ограничивается вышеназванными тремя пунктами. Каждая финансовая организация, лизинговая или страховая компания, каждое производственное предприятие извлекает свои преимущества в зависимости от специфики деятельности и поставленных целей.
___________________________
Детальная консультация экспертов «НЦСЭ» по вопросам внедрения стандарта и сертификации ISO/IEC 27001:2005 (ГОСТ Р ИСО/МЭК 27001-2006):
- +7 (495) 640-95-35;
- +7 (812) 332-54-75.