ISO/IEC 27001: международный стандарт управления ИБ
ISO/IEC 27001 — международный стандарт, описывающий требования к системе менеджмента информационной безопасности (СМИБ; в английском варианте — ISMS, Information Security Management System). Его ключевая идея проста: безопасность — это не разовый проект и не набор «коробок», а управляемый процесс, который компания постоянно поддерживает и улучшает. Актуальную версию стандарта и год редакции следует сверять на дату проекта.
Главная идея — управление, а не точечные меры
Многие организации внедряют антивирус, межсетевой экран и резервное копирование — и считают, что защищены. ISO/IEC 27001 смещает фокус: важно не наличие отдельных средств, а наличие системы, которая определяет, что и от чего защищать, оценивает риски, выбирает меры под эти риски и регулярно проверяет, что всё работает. Это риск-ориентированный подход.
Цикл постоянного улучшения
В основе стандарта — цикл PDCA (Plan-Do-Check-Act — «планируй, делай, проверяй, действуй»):
- Plan — определить область действия СМИБ, оценить риски, выбрать меры обработки рисков
- Do — внедрить выбранные меры и процессы
- Check — измерять результативность, проводить внутренние аудиты
- Act — устранять несоответствия и улучшать систему
Благодаря этому циклу защита не устаревает: при появлении новых угроз или изменении бизнеса риски переоцениваются, а меры корректируются.
Меры (Annex A)
К стандарту прилагается каталог мер безопасности, сгруппированных по темам: организационные, относящиеся к персоналу, физические и технологические. Организация не обязана применять их все — она выбирает применимые исходя из результатов оценки рисков и обосновывает выбор в документе «Положение о применимости» (Statement of Applicability).
Сертификация
Соответствие ISO/IEC 27001 можно подтвердить независимой сертификацией через аккредитованный орган. Сертификат — сигнал клиентам и партнёрам, что в компании выстроено зрелое управление информационной безопасностью. Это особенно ценят при работе с международными контрагентами и в тендерах. Подтверждение соответствия опирается на регулярный аудит информационной безопасности; о том, что именно изучают аудиторы, — в материале аудит информационной безопасности: что проверяют.
Соотношение с российскими требованиями
ISO/IEC 27001 — добровольный международный стандарт, а не нормативный акт Российской Федерации. Его процессный подход хорошо сочетается с национальными требованиями: например, с риск-ориентированной логикой ГОСТ Р 57580 для финансовых организаций. Документы и процессы СМИБ удобно опираются на готовый комплект документов ИТ и ИБ — политики, регламенты, реестры рисков.
Чем помогаем мы
- Определение области действия СМИБ и оценка рисков информационной безопасности
- Разработка политик, регламентов и Положения о применимости
- Внедрение технических и организационных мер из Annex A
- Подготовка к внутренним аудитам и сертификации
- Сопровождение СМИБ и поддержка цикла улучшения
Связанные термины
- Аудит информационной безопасности — проверка результативности СМИБ
- ГОСТ Р 57580 — национальный стандарт ИБ финансовых организаций
- Комплект документов ИТ и ИБ — база для политик и регламентов СМИБ
Хотите выстроить СМИБ по ISO/IEC 27001?
Оценим риски, подготовим документы и доведём до сертификации. Откройте калькулятор или оставьте заявку.
Открыть калькулятор Получить консультацию