Чтобы доказать, что компания соответствует высоким стандартам информационной безопасности, одних слов недостаточно. Необходимо получить соответствующие документы. Рассказываем, что представляет собой стандарт ISO 27001, как его оформить и можно ли сэкономить на подобной сертификации.
Управление информационной безопасностью внутри компании – дело важное. Корпоративная информация должна быть скрыта от посторонних, чтобы организация могла защищать свои активы и ресурсы. Соответствующие требования по защите определяет стандарт ISO 27001. Вместе с экспертами выяснили, что представляет собой подобный стандарт, насколько он актуален для России сегодня и каков порядок прохождения сертификация.
Если у вас есть рекомендации и дополнения по материалу, вы можете отправить их на почту money@kp.ru. Для обсуждения вопросов рекламного сотрудничества звоните по телефону +7 (495) 637-65-16 (по будням с 9:00 до 18:00).
Для начала определимся с самим понятием ISO 27001. Говоря простыми словами – это стандарт безопасности, применяемый во многих странах и доказывающий способность его обладателя защититься от утечек, кражи конфиденциальной информации и так далее. Стандарт разработали два международных учреждения – Организация по стандартизации и Электротехническая комиссия.
В ISO 27001 прописаны требования и рекомендации для системы управления информационной безопасностью. Речь идет о защите в любой форме, как электронных данных, так и бумажных или любых других. Стандарт помогает наладить конфиденциальность внутри организации и применим практически к любой сфере деятельности, потому что является нейтральным в технологическом плане и всегда оставляет право выбора технологий.
В России ISO 27001 был базовым стандартом для бизнеса несколько лет назад, однако сейчас есть много отечественных аналогов, например, идентичный международному ГОСТ Р ИСО/МЭК 27001-2021.
Для удобства предлагаем ознакомиться с важной информацией о сертификации ISO 27001 в нашей таблице.
Преимущество с аудитами | Соответствие этому стандарту упрощает прохождение аудитов на соответствие PCI DSS, ISO/IEC 20000-1 – стандарту безопасности данных платежных карт/управления услугами информационных технологий. |
Сертификация | Процесс сертификации включает в себя аудит внешним сертификационным органом, который оценивает соответствие системы управления требованиям стандарта. |
Период действия | ISO 27001, как правило, действует три года. Ежегодно необходимо проходить проверки на подтверждение соответствия. |
Преимущества | Сертификация дает возможное преимущество при участии в тендерах на создание системы ИБ (информационной безопасности) и проведение аудита ИБ. |
Универсализм | ISO 27001 применим к любой компании, как коммерческой, так и нет, с государственной или частной формой собственности и независимо от количества сотрудников. Вовлечено и руководство – оно оценивает систему правления ИБ. |
Основные требования к предприятиям для прохождения сертификации ISO 27001 подробно изложены в самом стандарте, документе, состоящем из основной части и приложения А, в котором перечислены «домены» – блоки требований. В основном они больше процедурные, а не технические, так как сам стандарт рассчитан не на технологии, а на управление.
В частности, они включают в себя регулярное проведение оценки рисков ИБ с учетом актуальных угроз, проектирование и внедрение решений для управления ИБ и нивелирования рисков, внедрение эффективного процесса управления.
Сама организация же, чтобы пройти сертификацию, должна разработать и внедрить систему управления ИБ, соответствующую стандарту. Также важно провести внутренний аудит и исправить выявленные недочеты, а затем уже получить подтверждение на соответствие в сертификационном органе.
Сколько стоит сертификат ISO 27001? Вопрос, на который нет однозначного ответа. Ценовой диапазон обширный, а прайс зависит от масштабов и специфики деятельности компании, а также других факторов. Например, работу CISO (руководителя по управлению информационной безопасностью в компании) учитывать или нет? Если да, то на какой срок? Он ведь должен работать всегда, а не только до момента получения сертификата.
«Мне известны и те организации, которые уложились в несколько десятков тысяч долларов, и те, кто потратил около миллиона долларов за год только на подготовку», – поделился управляющий консалтинговой компанией в области информационной безопасности RTM Group Евгений Царев.
На стоимость могут влиять в том числе размер организации, объем работ, выбранный орган сертификации. Затраты идут как на подготовку и аудит, так и на обучение персонала и внедрение систем управления. Сама стоимость оформления начинается от 9 тыс. рублей.
Сертификация ISO 27001 по большому счету – это просто подтверждение соответствия стандарта. Документ полезен в маркетинговых целях. А вот от внедрения системы эффект заметный. Компании, работающие по стандарту, обладают более зрелой информационной безопасностью.
У них есть четкий и рабочий процесс обеспечения безопасности, что при серьезном отношении к делу повышает качество бизнеса. И, соответственно, может обеспечить конкурентные преимущества.
Также к преимуществам наличия ISO 27001 можно отнести повышение эффективности в управлении информацией, снижение кибератак, соблюдение регуляторных требований и доверие партнеров и клиентов.
Процесс получения сертификата ISO 27001 представляет собой несколько важных действий. Предлагаем вашему вниманию краткую пошаговую инструкцию по поводу его оформления:
Поиск хорошего CISO ( Chief Information Security Officer). Нужно найти руководителя, ответственного за разработку и управление системами ИБ, чтобы он подготовил организацию к сертификации, оценил текущую ситуацию, исправил недочеты.
Дать CISO ресурсы и полномочия на изменения процессов организации, обучение персонала. В частности, имеет смысл позвать сторонних консультантов, чтобы подготовить компанию к сертификации.
Когда процесс будет соответствовать требованиям стандарта, нужно привлечь организацию, обладающую правом проводить сертификационный аудит (им наделяет BSI – Федеральное агентство по безопасности информации). Работы можно разбить на предаудит и сам аудит.
Аудитор направляет свое заключение в штаб-квартиру BSI, и там уже решают, дать сертификат или нет.
Управляющий консалтинговой компанией RTM Group, эксперт в области информационной безопасности Евгений Царев поделился рекомендациями по поводу получения сертификата ISO 27001. Он сделал несколько важных предупреждений.
«Во-первых, не нужно ждать быстрого результата – это история на несколько лет. Во-вторых, лучше не набивать шишки, а сразу обратиться к внешним консультантам и нанять профессионального CISO в штат.
Такой подход сбережет время, ресурсы и нервы. Есть и третий момент – нужно подготовиться к тому, что изменения добавят новые расходы».
Специалист в области ИБ Евгений Царев ответил на самые актуальные вопросы по теме стандартизации ISO 27001.