Сертификат ISO 27001

Предприятия, заинтересованные в сохранении активов, нуждаются в системах управления информационной безопасности (ИБ). Подтвердить наличие такой системы позволяет сертификат ISO 27001. Информационная безопасность касается не только защиты данных, но и обеспечения их целостности, подлинности, доступности для авторизированных пользователей.

Что означает этот сертификат

Сертификат ISO 27001 считается самым популярным стандартом информационной безопасности в наше время. Он подтверждает наличие на предприятии действенной системы аудита, гарантирует распределение ответственности за безопасность и понимание назначенных лиц, какие технические решения выбрать в конкретных ситуациях.

Особенности стандарта:

• универсальность: ISO 27001 может внедрить организация любой формы собственности (государственная, коммерческая, некоммерческая);
• создание эффективной системы управления рисками утечки информации;
• сочетаемость со стандартами ISO 9001 (системой менеджмента качества) и ISO 20000 (системой менеджмента IT-услуг). 

В ISO 27001 входит документация по политике организаций в области информационной безопасности и прописанные мероприятия по планированию, реализации, корректировке и аудиту деятельности. Основные задачи стандарта:

• установление единых требований к созданию, внедрению и улучшению систем менеджмента ИБ;
• организация взаимодействия сотрудников и высшего руководства;
• сохранение целостности и конфиденциальности информации.

Зачем необходим сертификат 

Организации, которые получили сертификат ISO 27001, работают в условиях полной защиты информации, предупреждения ее утраты, утечки, повреждения. Наличие документа способствует налаживанию долговременных партнерских связей и обеспечивает:

1. Доступ на международные рынки. Важен для компаний, которые экспортируют программные продукты (без сертификата экспорт невозможен).
2. Участие в госзакупках, тендерах, крупных аукционах. К ним допускаются только те предприятия, которые прошли сертификацию.
3. Безупречный имидж. Получение сертификата говорит о динамичном развитии компании, ее ориентации на удовлетворение потребностей клиентов. Репутация надежного партнера позволяет расширить клиентскую базу, сотрудничать с серьезными холдингами, привлекать инвесторов.
4. Удовлетворение требований государственных структур. Сертификация сокращает число проверок уполномоченных инстанций, помогает обеспечить прозрачность отдельных бизнес-операций.
5. Снижение затрат. Процесс сертификации позволяет выявить и устранить угрозы для системы безопасности. Это приводит к снижению информационных издержек, повышает эффективность управления рабочими процессами, обеспечивает контроль над движением акций и капитала.

Виды версий сертификата 

Стандарт ISO 27001 разработан в 2005 году Международной электротехнической комиссией и Международной организацией по стандартизации. В его основе — Британский государственный стандарт DS 7799 и положения ISO 17799 «Информационные технологии. — Практические правила управления информационной безопасностью. — Методы обеспечения безопасности».

Первая версия стандарта ISO/IEC 27001:2005 и ее российский вариант ГОСТ Р ИСО/МЭК 27001-2006 использовались до 2013 года. Затем они подверглась редактированию, в результате чего вышел улучшенный документ ISO/IEC 27001:2013. В нем четко определена ответственность руководства за принятие решений по вопросам ИБ, а также сделан акцент на эффективном управлении рисками.

Как получить сертификат 

Перед прохождением сертификации компании следует подготовить такие документы: заявка, лист с реквизитами, копии уставных документов и лицензий (если деятельность организации лицензирована). К ним следует добавить штатное расписание предприятия с указанием работников, которые имеют доступ к конфиденциальной информации, и структурную схему предприятия.

Основные этапы сертификации по стандарту ISO 27001:

• подача всех необходимых документов в уполномоченную организацию;
• подписание договора на прохождение сертификации;
• детальный анализ документов;
• аудит информационной безопасности;
• изменение системы для соответствия стандарту вплоть до полномасштабной перестройки;
• проверка системы (проводится с участием специалистов одной из компаний, которая владеет эксклюзивным правом на выдачу сертификата);
• выдача ИСО 27001 и сопутствующих документов к нему.

Процесс сертификации обычно занимает 14 дней. После его прохождения руководство компании получает сертификат ИСО 27001 с дубликатом на иностранном языке. Также выдается разрешение на использование знака соответствия, высылаются в электронной форме документы по организации эффективной системы менеджмента.

Преимущества получения сертификата

Основные преимущества получения сертификата ИСО 27001:

• способность управлять рисками — конкурентное преимущество, которое приводит к увеличению капитализации компании;
• доверие со стороны клиентов и партнеров благодаря гарантированной защите их данных;
• повышение репутации фирмы, которую начинают воспринимать как привилегированного партнера;
• простота внедрения благодаря гибкости системы к любым сферам деятельности предприятий;
• доказательство соблюдения требований законов, нормативных актов (одно из обязательных требований сертификации);
• снижение ущерба от возможных инцидентов по угрозе информационной безопасности;
• управление аутсорсингом благодаря четким критериям оценки поставщика услуг и взаимной ответственности сторон. 

Сертификат ISO 27001 выдается на три года. После его получения фирма-владелец должна дважды пройти инспекционный контроль (вначале второго и третьего года с момента выдачи). При выявлении нарушений возможно преждевременное лишение сертификата и запрет на использование знака соответствия.