Что из себя представляет система управления информационной безопасностью ISO 27001
Система менеджмента информационной безопасности (сокр. СМИБ) — это набор задокументированных действий по выполнению требований стандарта ISO/IEC 27001:2013 для безопасности данных определенной компании и информации, предоставляемой заказчиками.
Стандарт ISO 27001 можно прочитать и выполнить обязательные требования, но как разобраться, какие из них повлияют на безопасность конкретной организации, а какие нет. Ведь безопасность требует определенных затрат и ресурс, на которые не бесконечен.
Многие статьи про стандарт говорят, какие политики (документы) обязательно должны быть, чтобы получить сертификат соответствия, подтверждающий для Вашего заказчика, что СМИБ у Вас работает. Но документы — это всего лишь слова, неважно, электронные они, печатные или устные. А мы говорим про безопасность, которая в любом случае предполагает принятие определенных мер для ее достижения.
Базовые меры расписаны в приложении А текста стандарта, а мы выделим для Вас те, без которых СМИБ не будет выполнять свою основную функцию, гарантию безопасности, и затраты, которые Вам в любом случае придется включить в бюджет внедрения ISO 27001:
- Закрепление хотя бы одного штатного сотрудника за ведение СМИБ. Необходимо соответствующее обучение.
- Защита информации, доступной на удаленных рабочих местах и мобильных носителях.
- Учет наиболее значимых активов и закрепление ответственных по защите каждого.
- Безопасность персонала, в том числе после его увольнения (например, заключение договоров о неразглашении).
- Разграничение прав доступа к информации и периодический их пересмотр.
- Постоянная смена диалоговых паролей.
- Доступ к исходному коду программ должен быть у узкого обоснованного круга лиц.
- Использование криптографических средств защиты информации.
- Защита оборудования и кабелей от сбоев, повреждения, перехвата.
- Постоянное их сервисное обслуживание.
- Качественная зачистка накопителей перед утилизацией или повторным использованием.
- Анализ и расчет соблюдения параметров по нагрузке и производительности.
- Разделение сред разработки, тестирования и др.
- Резервное оборудование, каналы связи и копирование информации.
- Контроль аутсорсинговых процессов.
- Тестирование защищенности систем и др.
Все обязательные меры должны соблюдаться постоянно, пересматриваться систематически и модернизироваться в случае возникновения инцидента ИБ. При этом все эти действия должны документироваться путем ведения политик (можно в электронном виде внутри вашей системы документооборота). Совокупность всех политик по безопасности и представляет собой СМИБ ISO/IEC 27001:2013. Тогда она будет эффективной, а ее проверка органом по сертификации или любым из заказчиков не будет для Вас проблемой.
Чтобы уточнить любую информацию по СМИБ или стандарту ИСО 27001 в целом, обращайтесь к автору статьи — Сергею, специалисту с большим опытом и стажем, способному помочь Вам по всем вопросам, связанным с системой ИБ и ее сертификацией.
С наилучшими пожеланиями, Центр содействия экспорту:
+7 812 608 63 35
info@export-center.ru
https://export-center.ru/