Разное

Что из себя представляет система управления информационной безопасностью ISO 27001

Что из себя представляет система управления информационной безопасностью ISO 27001

Система менеджмента информационной безопасности (сокр. СМИБ) — это набор задокументированных действий по выполнению требований стандарта ISO/IEC 27001:2013 для безопасности данных определенной компании и информации, предоставляемой заказчиками.

Стандарт ISO 27001 можно прочитать и выполнить обязательные требования, но как разобраться, какие из них повлияют на безопасность конкретной организации, а какие нет. Ведь безопасность требует определенных затрат и ресурс, на которые не бесконечен.

Многие статьи про стандарт говорят, какие политики (документы) обязательно должны быть, чтобы получить сертификат соответствия, подтверждающий для Вашего заказчика, что СМИБ у Вас работает. Но документы — это всего лишь слова, неважно, электронные они, печатные или устные. А мы говорим про безопасность, которая в любом случае предполагает принятие определенных мер для ее достижения.

Что из себя представляет система управления информационной безопасностью ISO 27001

Базовые меры расписаны в приложении А текста стандарта, а мы выделим для Вас те, без которых СМИБ не будет выполнять свою основную функцию, гарантию безопасности, и затраты, которые Вам в любом случае придется включить в бюджет внедрения ISO 27001:

  1. Закрепление хотя бы одного штатного сотрудника за ведение СМИБ. Необходимо соответствующее обучение.
  2. Защита информации, доступной на удаленных рабочих местах и мобильных носителях.
  3. Учет наиболее значимых активов и закрепление ответственных по защите каждого.
  4. Безопасность персонала, в том числе после его увольнения (например, заключение договоров о неразглашении).
  5. Разграничение прав доступа к информации и периодический их пересмотр.
  6. Постоянная смена диалоговых паролей.
  7. Доступ к исходному коду программ должен быть у узкого обоснованного круга лиц.
  8. Использование криптографических средств защиты информации.
  9. Защита оборудования и кабелей от сбоев, повреждения, перехвата.
  10. Постоянное их сервисное обслуживание.
  11. Качественная зачистка накопителей перед утилизацией или повторным использованием.
  12. Анализ и расчет соблюдения параметров по нагрузке и производительности.
  13. Разделение сред разработки, тестирования и др.
  14. Резервное оборудование, каналы связи и копирование информации.
  15. Контроль аутсорсинговых процессов.
  16. Тестирование защищенности систем и др.

Все обязательные меры должны соблюдаться постоянно, пересматриваться систематически и модернизироваться в случае возникновения инцидента ИБ. При этом все эти действия должны документироваться путем ведения политик (можно в электронном виде внутри вашей системы документооборота). Совокупность всех политик по безопасности и представляет собой СМИБ ISO/IEC 27001:2013. Тогда она будет эффективной, а ее проверка органом по сертификации или любым из заказчиков не будет для Вас проблемой.

Чтобы уточнить любую информацию по СМИБ или стандарту ИСО 27001 в целом, обращайтесь к автору статьи — Сергею, специалисту с большим опытом и стажем, способному помочь Вам по всем вопросам, связанным с системой ИБ и ее сертификацией.

С наилучшими пожеланиями, Центр содействия экспорту:
+7 812 608 63 35
info@export-center.ru
https://export-center.ru/

Следите за нашими статьями в Telegam, Дзен, VK и OK

Добавить комментарий


Читайте так же:

Back to top button