ГОСТ Р ИСО/МЭК 27001-2013 менеджмент информационной безопасности в Волжском

1. Главная
2. О менеджменте информационной безопасности

 ГОСТ Р ИСО/МЭК 27001-2013 -это международный стандарт с универсальными требованиями к системе менеджмента качества. Требования могут быть применены на территории любой организации, вне зависимости от масштабов и сферы деятельности.

Содержание:

• О сути
• О возможных стратегиях
• Первые шаги. Существующий уровень безопасности
• Направления для внесения минимальных изменений
• Элементы работающих безопасных систем
• Новая структура документа
• Налаживание связи с другими стандартами
• Как проходят добровольную сертификацию?
• О стоимости сертификатов ИСО
• Непрерывность бизнеса
• О процессном подходе к управлению информационной безопасностью

   

О сути

Доступная, целостная и конфиденциальная информация приобретает статус защищённой согласно тексту документа. Есть несколько обязательных принципов для тех, кто озаботился решением данного вопроса.

1. Данные должны быть доступны только тем, у кого есть соответствующие полномочия.
2. Сведения должны быть точными и полными. Это касается и процесса обработки, использования информации.
3. Авторизованные пользователи должны иметь доступ в любой момент, который сочтут удобным.

Благодаря стандарту ГОСТ Р ИСО/МЭК 27001-2013 на предприятиях легче подготовиться к возможным инцидентам.

О возможных стратегиях

Переход к внедрению стандарта поддерживается одной из следующих стратегий.

1. Переход по типичной схеме. В существующие процессы информационной безопасности вносятся минимальные изменения. То же самое касается документации, которая уже ведётся на предприятии. Но возможен и второй вариант.
2. Создание новой системы по информационной безопасности. Для некоторых организаций это весьма внушительный прогресс.

Минимальные изменения хороши тем, что и времени отнимают не очень много. Организация переходит на новый стандарт так быстро, как только она может. Не требуется откладывать изменения на другие периоды по времени. Но, когда детальный план перехода уже разработан, иногда требуются дополнительные улучшения. При этом руководство должно принять решение по паре важных вопросов.

1. Стоит ли вносить изменения немедленно?
2. Или можно их выделить в качестве возможности, для внедрения новых технологий в ближайшем будущем?

Второй вариант более типичен для компаний, выбравших путь минимальных изменений.

Первые шаги. Существующий уровень безопасности

Анализ расхождений между существующей системой безопасности и новой версией стандарта ГОСТ Р ИСО/МЭК 27001-2013 – вот с чего стоит начать работу. Вне зависимости от того, какое именно было принято решение. Иначе не получится выполнить задачи, связанные с переходом на новые требования.

Отдельным пунктом записываются все изменения, которые вносятся в имеющуюся информацию, оформленную документально.

Направления для внесения минимальных изменений

Система документации

Для перехода на новый стандарт термином «документированная информация»  требуется заменить использовавшиеся ранее понятия вроде «записей» и «документов». Главное – помнить о различиях между данными определениями. Записи становятся доказательствами того, что уже произошло. А документы – своеобразное заявление о намерениях.

О политике

Критерии риска и безопасность – вот каким факторам требуется уделять больше всего внимания. Необходимо создавать критерии для определения рисков, и поддерживать их на постоянной основе. В некоторых организациях документированной информации уже хватает для того, чтобы соответствовать требованиям стандарта новой версии. Достаточно лишь ознакомиться с тем, что пишут в новых версиях ГОСТ Р ИСО/МЭК 27001-2013.

Элементы работающих безопасных систем

Чтобы это направление соответствовало требованиям сертификата, вводятся следующие элементы.

1. Постоянное проведение аудита в системе.
2. Управление инцидентами и группами рисков.
3. Бизнес с непрерывными процессами.
4. Электронный документооборот и управление.
5. Поддержка актуальной информации при работе с партнёрами.
6. Организация защиты для каналов, по которым идёт информация.
7. Сохранение целых сведений.
8. Прохождение аутентификационных, авторизационных процедур.
9. Предотвращение доступа несанкционированного, внутри и снаружи.

Новая структура документа

На русском документ версии 27001-2013 из серии ГОСТ Р ИСО/МЭК состоит из разделов, посвящённых:

• Вводной части.
• Описанием сфер применения.
• Ссылкам по нормативным документам.
• Терминологии.
• Организационному контексту.
• Вопросам лидерства.
• Процессу планировки.
• Поддержанию.
• Практике.
• Мониторингу.
• Улучшению.

Сразу видно появление новых приложений в подразделе А. Каждый из них связан с конкретными вопросами. А15 – поставщики, процессы взаимодействия с ними. А13 – с вопросами безопасных коммуникаций. А10 –криптографическая информация.

Новая версия известна большей чёткостью определения целей внедрения менеджмента. Актуализирована была буквально каждая формулировка. Создатели документа постарались сделать так, чтобы каждый руководитель без проблем разобрался в сути. Описания рисков в текстовом виде подверглись упрощению. У высшего руководства больше нет необходимости выпускать «Положение о принятии остаточных рисков».

Понятие «Владелец актива» теперь заменяют новым «Владелец риска». Новому варианту дают подробное описание, расписывают все требования.

В новых версиях подробно расписали процедуру мониторинга действующих систем. Есть ряд дополнительных требований, а у старых увеличилась чёткость.

Заметно упрощение в системе документооборота. Теперь управление записями и системными документами касается вопросов с большей актуальностью. Отдельного внимания удостоено взаимодействие внутри предприятия разных подразделений друг с другом.

Налаживание связи с другими стандартами

Существует тесная связь одного стандарта с другим. На это обратили внимание многие руководители, когда планомерно вводят их в свою систему, один за другим. Исключением не стал и номер 27001-2013 из серии ГОСТ Р ИСО/МЭК. При решении по внедрению интегрированного менеджмента качества документ становится звеном в цепочке.

В современном мире информация становится всё более ценной. И промышленный шпионаж перестал быть чем-то нереальным. В связи с чем для многих приоритетным становится всё, что связано с безопасной информацией. Тогда внедрение международных стандартов – обязательное требование. Стандарт ИСО 27001 лучше всего интегрируется со следующими документами:

1. 22301
2. 20000:1
3. 9001

Российский национальный стандарт полностью соответствует зарубежным требованиям. Благодаря этому организация сможет без проблем участвовать в любых общемировых процессах на рынке.

Стандарты используются не только в развитых странах, но и в развивающихся.

Как проходят добровольную сертификацию?

Руководству организации требуется собрать пакет документов перед тем, как проходить сертификацию. Пакет состоит из:

• Нормативно-технической документации. Требуются технические условия, ГОСТы и СНипы, на основании которых работает организация. Передаётся перечень выпущенной продукции, или уже сданных объектов с кратким описанием технических характеристик. Не лишними будут допуски и лицензии СРО. Они состоят так же из дипломов и сертификатов, копий и пропусков.
• Фирменными документами, на которых поставлена печать руководства. Это структура организации, представленная схематически, с ФИО инженерно-технических работников. Внутренний аудит данных, проведённый двумя независимыми экспертами. При этом даётся информация по их паспортным данным, полученному образованию. Требуется справка о кодах, которые выдаются Госкомстатом. Обязательна выписка, полученная в едином реестре с юрлицами. Организация предоставляет уставы, учредительные договора. Даётся свидетельство о постановке на налоговый учёт. Наконец, последнее требование – подтверждение присутствия записей для ОГРН, Единого Гос.реестра.
• Самого заявления на сертификацию. Главное – указать вид деятельности, на которую должен распространяться сертификат.

Перечисленный выше пакет с документами подают в организацию по аккредитации. Потом придётся подождать немного, пока орган примет положительное, либо отрицательное решение. После принятия этого решения происходят следующие события.

1. Сначала подписывают договор о проведении процедуры сертификации.
2. Формируется комиссия, ответственная за проведение данных работ.
3. Проводится аудит. Сначала без выезда, потом – с ним. Отдельно занимаются анкетированием сотрудников.
4. При получении удовлетворительных результатов компания получает необходимый сертификат. Он оформляется по всем стандартов качества.

Комиссия обычно принимает решение за срок от 1 до 2 дней. Сам аудит занимает до недели и более. Каждый случай индивидуален, потому и точные сроки каждый раз подсчитываются отдельно. Он определяется под влиянием большого количества факторов. Некоторое время уходит на то, чтобы выбрать подходящую организацию, занимающуюся сертификацией.

О стоимости сертификатов ИСО

За получение документа в любом случае придётся платить. И цена зависит от некоторого количества показателей.

• Важную роль играет то, насколько сложной будет проверка. Чем больше цена – тем сложнее провести процедуру. Многие производственные сферы требуют оформления дополнительного пакета разрешительной документации. Например, требуется согласования с санитарными, пожарными службами.
• Категория товара не менее важна. Свой тариф проверки разрабатывается на каждый из товаров. Стоимость проведения процедуры поднимается и для тех компаний, которые находятся за пределами России.
• Дополнительные условия заказчика – третий фактор, оказывающий своё влияние на результат. Но здесь решение принимает каждый заказчик.

Непрерывность бизнеса

Обеспечение непрерывности бизнеса – задача, ставшая насущной для многих  действующих предприятий. С каждым годом растёт вовлеченность в ведение электронного бизнеса. Даже незначительные простои приводят к серьёзным потерям.

Это комплексная задача, согласно стандарту. Которая должна инициироваться самим руководством. В процессе задействованы элементы, которые не всегда относятся к безопасности, информационным технологиям. Многие вопросы становятся прямой обязанностью для сотрудников службы безопасности.

1. Инциденты с процедурой управления.
2. Управление доступностью систем.
3. Определение требований к резервному копированию данных, их восстановлению.
4. Классификация информационных систем.

Иногда этим службам отдают весь процесс, не понимая, что сотрудникам может не хватить полномочий.

О процессном подходе к управлению информационной безопасностью

Здесь подразумевается, что все процессы должны быть связаны друг с другом. Формулировка проста и коротка, но обрастает подводными камнями при переходе от теории к реализации задумок.

Среди наиболее распространённых ошибок выделяют следующие:

• Никто не желает реализовать процессный подход, не понимает суть.
• Сотрудники отдалены от участия.
• Процессы существуют, но реально не управляются. Руководство ограничивается только разработкой документов с описанием.
• Разрабатываются формальные процессы управления, но не учитывается специфика организации и того, чем она занимается.

Ситуацию спасает только кропотливая работа с комплексным подходом. Главное, чтобы сами специалисты понимали не только сильные, но и слабые стороны своей работы. И все подробности внедрения новой системы, даже самые мелкие.

Уровень информационной безопасности повышается только в том случае, если процессы в системе выстраиваются правильно. Благодаря этому появляется проактивный инструмент прогнозирования возможного ущерба. К нему добавляется реактивный инструмент, позволяющий снизить, либо предотвратить возможный ущерб от возникновения непредвиденных ситуаций.