Сертификат ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001) системы менеджмента защиты информации

Сертификат ISO / IEС 27001 необходим для обеспечения функционирования системы информационной безопасности. Для получения документа следует соблюдать организационные меры, внедрять технические компоненты, гарантирующие защиту информации. Обновленная версия стандарта вышла в 2013 году. При создании системы менеджмента информационной безопасности (СМИБ) также учитываются федеральное законодательство, отраслевые стандарты, требования к информационной защите клиентов и партнеров компании-заказчика.

Содержание стандарта

В систему менеджмента ИСО 27001 включены следующие процессы:

• аудит;
• обучение;
• управление процессами защиты актуальных ресурсов.

Требования международного стандарта отражены в российском законодательстве: ГОСТ ИСО / МЭК 27001 и других актах. Стандарт состоит из основной части и приложений. Основная часть документа предусматривает требования к созданию и управлению ИБ. В приложении «А» указаны меры защиты, которые организация может использовать с целью снижения рисков нарушения информационной безопасности.

В приложении «В» обозначены критерии и примеры мировой практики обеспечения ИБ. Все виды контроля соотносятся в порядке применимости в конкретной фирме. Несоответствие способов обеспечения защищенности баз данных международным правилам должно быть обосновано рациональными причинами.

Особенности сертификации

Международному стандарту ISO 27001 присущи следующие характеристики:

1. Возможность его использования любой организацией, желающей обеспечить эффективную систему безопасности хранения, использования и передачи данных.
2. Сочетаемость с иными требованиями, предусмотренными в системе менеджмента безопасности.
3. Сохранение коммерческой тайны.
4. Оптимизация процессов формирования надежной и полнофункциональной системы безопасности в сервисе и на производстве.

Сертификат МЭК 27001-2006, его новые версии предоставляются уполномоченными лицензированными организациями. Документ универсален и применяется в частных коммерческих, государственных и муниципальных компаниях. Управление информационными ресурсами потребуется для поддержания бизнес-процессов фирмы.

Оформить сертификат ISO 27001 понадобится следующим предприятиям:

• топливно-энергетической, строительной сферы;
• научно-исследовательские и страховые организации;
• финансовые и IT-компании;

Внедрение стандарта необходимо для эффективного управления рисками, сохранения конфиденциальности и надежности коммерчески значимой информации.

Преимущества оформления сертификата 

Они заключаются в следующем:

1. Недопущение несанкционированного доступа к охраняемым данным.
2. Устойчивый статус перед контрагентами. Наличие документа свидетельствует о благонадежности организации, ее серьезном подходе к охране коммерческих и юридически значимых сведений.
3. Внедрение стандарта позволит избежать убытков, которые могут быть причинены из-за взлома баз данных.
4. Возможность проведения экспертной оценки действующей системы ИБ квалифицированными экспертами организации в четко установленные сроки, и в соответствии с требованиями стандарта.

Фирма, применяющая возможности норматива ИСО 27001, сохраняет целостность информации, не допускает ее утраты. Это обеспечивает доступ на зарубежные рынки, расширяет возможности сотрудничества с платежеспособными инвесторами и партнерами.

Условия оформления

Для того чтобы получить сертификат ИСО 27001 нужно придерживаться следующих требований:

• разработать и активно использовать собственные программы безопасности;
• управлять данными, обеспечивать их защиту правовыми и технологическими средствами;
• поддерживать высокую квалификацию сотрудников.

Важно создать систему управления информационными рисками, не допускать хищения и незаконного использования охраняемых сведений.

Документация и сроки

Для обращения к специалистам ЦС «Делотест» понадобятся:

1. Заявление от руководителя компании.
2. Бланк с реквизитами организации.
3. Копии уставных документов, выписки из ЕГРН, ЕГРЮЛ, ОГРН, ОКВЭД.
4. Копии лицензий, если работа организации подлежит лицензированию.
5. Схема предприятия, штатный график его работы, данные о сотрудниках, имеющих доступ к охраняемым сведениям.

В результате оформления заказчик получает сертификат ISO 27001:2013, его копию на иностранном языке (если работает на международном уровне), разрешение на пользование знаком соответствия, а также электронный документ по организации внутренней системы управления ИБ.

Сертификация процессов ИБ необходима каждые три года. Проверка соответствия требованиям ИСО 27001 (инспекционный контроль) осуществляется на 2 и 3 год. Срок оформления зависит от наличия на предприятии необходимой системы информационной безопасности и документов. Этапы предполагают:

• подачу заявки, в том числе через форму обратной связи на сайте;
• предварительную консультацию, заключение договора;
• анализ, аудит компании-заявителя;
• исправление установленных недочетов;
• получение документа.

ЦС «Делотест» предлагает содействие в оформлении сертификата организациям, готовым позаботиться о надежности своих информационных ресурсов. Эксперты помогут оформить документ по оптимальной цене и всегда рады сотрудничеству.