Главная страницаНовости Публикации

03/05/22

Зачем в кризис готовиться к сертификации по ISO/IEC 27001


Международный стандарт ISO/IEC 27001 вот уже как минимум последние 15 лет служит лучшей практикой для российских компаний по внедрению систем управления ИБ. Рассмотрим, какие преимущества получат организации при внедрении его актуальной версии ISO/IEC 27001:2013 «Information technology — Security techniques — Information security management systems — Requirements» в сложившихся кризисных условиях. Кстати iso iec что это на сайте center-education.ru.

Введение По нашим данным, каждый год в России и странах СНГ впервые успешно проходят сертификацию по стандарту ISO/IEC 27001 до 40 организаций. Около 90% из них подтверждают соответствие требованиям на ежегодной основе. В разгар экономического кризиса внедрение стандарта может помочь компаниям решить немало насущных проблем: укрепить доверие партнёров и клиентов, упростить выход на новые рынки, оптимизировать расходы на информационную безопасность и не только. Разберёмся, почему сейчас самое время задуматься о сертификации по ISO/IEC 27001 и как к ней подготовиться. Из чего состоит стандарт В основной части стандарта описаны требования к системообразующим процессам, то есть областям управления ИБ в компании, например: контекст организации (внутренние и внешние факторы, требования и ожидания заинтересованных сторон, релевантные для ИБ); лидерство и ответственность руководства, определяющие обязанности топ-менеджмента в отношении ИБ; ролевая структура управления ИБ; действия в отношении рисков и возможностей; поддержка системы управления ИБ, включая ресурсы, компетенции, осведомлённость и коммуникации; оценивание производительности системы управления ИБ за счёт её мониторинга, проведения внутренних аудитов и обзоров результатов работы системы руководством; непрерывное развитие системы управления ИБ за счёт работы с несоответствиями требованиям стандарта, а также с помощью введения показателей для измерения эффективности отдельных процессов и областей системы. Весомую часть стандарта составляет «Приложение А», которое содержит цели и контрольные параметры информационной безопасности. Каждая организация определяет для себя их применимость и способы выполнения исходя из результатов оценки рисков ИБ, требования к которой описаны в основной части ISO/IEC 27001 (теле стандарта). Причина №1: Повышаем доверие к ИБ организации Мы часто сталкиваемся с заблуждением о том, что сертификаты соответствия ISO/IEC 27001 получают только высокотехнологичные компании с крупными ИБ-бюджетами. В действительности среди тех, кто успешно проходит сертификацию, встречается немало представителей среднего

бизнеса из самых разных отраслей, в том числе фармацевтики, медицины, полиграфии и других. При этом организации, как правило, стремятся удержать старых клиентов и найти новых за счёт роста доверия к своей информационной безопасности, а также повысить шансы выйти на новые, международные рынки. Тенденция последних лет такова, что соответствие ISO/IEC 27001 в основном подтверждают компании — разработчики программного обеспечения. При этом речь идёт об организациях совершенно разных масштабов. С чем это связано? Программные продукты можно предлагать пользователям по всему миру. К тому же наличие сертификата подтверждает соблюдение принципов безопасной разработки, которым в стандарте уделяется большое внимание. Поэтому уровень доверия к услугам по разработке ПО, сертифицированным на соответствие лучшим практикам в области ИБ, будет несомненно выше. Например, через полтора года после получения сертификата крупная ИТ-компания, для которой мы внедряли стандарт «под ключ», сообщила нам, что продвигать сертифицированную интернет-услугу на европейском рынке стало значительно проще. Тем, кто уже работает на международном рынке и проводит IPO, наличие сертификата соответствия ISO/IEC 27001 значительно облегчает прохождение аудитов второй и третьей сторон. В первом случае обследование проводится по инициативе клиентов, поставщиков и прочих контрагентов, во втором — усилиями независимых компаний с соответствующими лицензиями (например, SOX-аудиты). Сертификация снимает лишние вопросы на аудитах второй стороны и с тех, кто ориентирован исключительно на внутренний рынок. Так, в последнее время многие организации, будь то страховые компании, облачные провайдеры или разработчики ПО, отмечают, что всё большее внимание при таких проверках их клиенты уделяют ИТ- и ИБ-процессам. В результате на заполнение бесконечных анкет по этим темам уходит крайне много времени. Сертификат соответствия значимого бизнес-процесса или услуги требованиям ISO/IEC 27001, выданный органом по сертификации с международной аккредитацией, не оставляет сомнений в серьёзном отношении компании к ИБ и защите данных клиентов. Недавно мы убедились в этом и на собственном опыте, когда внедрили стандарт в отношении процессов мониторинга и реагирования на инциденты ИБ и эксплуатации средств защиты для клиентов и наших внутренних потребностей. Получение сертификата способствовало росту интереса рынка к нашим экспертным сервисам ИБ и позволило нам не «просесть» по этой статье доходов в условиях кризиса. Причина №2: Выполняем требования регуляторов и обязательства перед контрагентами Внедрение ISO/IEC 27001 — отличный способ отладить выполнение всех требований, до которых ранее по разным причинам не доходили руки. Речь идёт как о соблюдении применимых к компании российских и международных законов, так и о выполнении контрактных обязательств по информационной безопасности перед контрагентами. Например, многие организации сегодня всё ещё пытаются разобраться в том, что такое GDPR, подпадают ли они под его требования и как их реализовать. Приложение А стандарта содержит параметры контроля ИБ, внедрение которых не позволит компании упустить из виду применимое к ней международное и локальное законодательство.

По нашему опыту организации, прошедшие сертификацию по ISO/IEC 27001, как правило, имеют чёткий план действий, нормативную базу, компетенции и другие ресурсы для обеспечения необходимого регуляторного соответствия. Также внедрение стандарта помогает увидеть и проработать проблему, связанную с выполнением контрактных обязательств. Как показывает практика, обычно ИБ-подразделения не в курсе предъявления кем-либо из поставщиков или клиентов требований к организации по информационной безопасности. Представьте, каково бывает их удивление, когда они узнают о наличии таких контрактов от подразделений, занимающихся договорной деятельностью или экономической безопасностью, во время GAP-анализа перед внедрением стандарта. Так происходит из-за плохо налаженных коммуникаций между всеми участниками процесса взаимодействия с контрагентами, а ведь коммуникации — один из ключевых компонентов системы управления ИБ. Причина №3: Оптимизируем расходы на информационную безопасность Казалось бы, как ISO/IEC 27001 может помочь сэкономить ресурсы, ведь его внедрение и все сертификационные процедуры влекут за собой дополнительные затраты? С одной стороны, так и есть, с другой — эти затраты несоразмерны, например, с ежегодными расходами многих организаций на продление лицензий ПО, количество которых в сегодняшних реалиях, возможно, имеет смысл сократить — или вовсе подумать о переходе на свободно распространяемые решения.

Проведение оценки рисков ИБ, являющейся фундаментом ISO/IEC 27001, помогает понять размеры потенциальных финансовых и репутационных потерь. Существует много различных подходов к её выполнению — эта тема стоит отдельного обсуждения. Пожалуй, самый популярный способ заключается в том, чтобы собраться коллегиально с представителями ИБ, ИТ и руководителями бизнес-подразделений и разобраться, чем организация сегодня реально пользуется, что ей необходимо, а от чего можно отказаться. Важно совместно проанализировать последствия такого отказа или замены одного ПО на другое и принять консолидированное решение. Эта техника из IEC 31010:2019 называется «мозговым штурмом» (brainstorming). Если задаться целью и проделывать такое упражнение на регулярной основе, то уже через год компания увидит положительный эффект в виде оптимизации расходов на ИБ, ИТ и другие поддерживающие функции организации и перераспределения их на более значимые направления в каждый конкретный период времени. С точки зрения ISO/IEC 27001 важно делать это последовательно, воспроизводимым образом, документируя результаты выполненных действий.



Комментарии

Чтобы оставить комментарий, необходимо войти или зарегистрироваться
Сейчас на сайте посетителей:2



фыв