Что из себя представляет система управления информационной безопасностью ISO 27001

Система менеджмента информационной безопасности (сокр. СМИБ) — это набор задокументированных действий по выполнению требований стандарта ISO/IEC 27001:2013 для безопасности данных определенной компании и информации, предоставляемой заказчиками.

Стандарт ISO 27001 можно прочитать и выполнить обязательные требования, но как разобраться, какие из них повлияют на безопасность конкретной организации, а какие нет. Ведь безопасность требует определенных затрат и ресурс, на которые не бесконечен.

Многие статьи про стандарт говорят, какие политики (документы) обязательно должны быть, чтобы получить сертификат соответствия, подтверждающий для Вашего заказчика, что СМИБ у Вас работает. Но документы — это всего лишь слова, неважно, электронные они, печатные или устные. А мы говорим про безопасность, которая в любом случае предполагает принятие определенных мер для ее достижения.

Базовые меры расписаны в приложении А текста стандарта, а мы выделим для Вас те, без которых СМИБ не будет выполнять свою основную функцию, гарантию безопасности, и затраты, которые Вам в любом случае придется включить в бюджет внедрения ISO 27001:

1. Закрепление хотя бы одного штатного сотрудника за ведение СМИБ. Необходимо соответствующее обучение.
2. Защита информации, доступной на удаленных рабочих местах и мобильных носителях.
3. Учет наиболее значимых активов и закрепление ответственных по защите каждого.
4. Безопасность персонала, в том числе после его увольнения (например, заключение договоров о неразглашении).
5. Разграничение прав доступа к информации и периодический их пересмотр.
6. Постоянная смена диалоговых паролей.
7. Доступ к исходному коду программ должен быть у узкого обоснованного круга лиц.
8. Использование криптографических средств защиты информации.
9. Защита оборудования и кабелей от сбоев, повреждения, перехвата.
10. Постоянное их сервисное обслуживание.
11. Качественная зачистка накопителей перед утилизацией или повторным использованием.
12. Анализ и расчет соблюдения параметров по нагрузке и производительности.
13. Разделение сред разработки, тестирования и др.
14. Резервное оборудование, каналы связи и копирование информации.
15. Контроль аутсорсинговых процессов.
16. Тестирование защищенности систем и др.

Все обязательные меры должны соблюдаться постоянно, пересматриваться систематически и модернизироваться в случае возникновения инцидента ИБ. При этом все эти действия должны документироваться путем ведения политик (можно в электронном виде внутри вашей системы документооборота). Совокупность всех политик по безопасности и представляет собой СМИБ ISO/IEC 27001:2013. Тогда она будет эффективной, а ее проверка органом по сертификации или любым из заказчиков не будет для Вас проблемой.

Чтобы уточнить любую информацию по СМИБ или стандарту ИСО 27001 в целом, обращайтесь к автору статьи — Сергею, специалисту с большим опытом и стажем, способному помочь Вам по всем вопросам, связанным с системой ИБ и ее сертификацией.

С наилучшими пожеланиями, Центр содействия экспорту:
+7 812 608 63 35
info@export-center.ru
https://export-center.ru/