Зачем в кризис готовиться к сертификации по ISO/IEC 27001

Повышаем доверие к ИБ организации

Мы часто сталкиваемся с заблуждением о том, что сертификаты соответствия ISO/IEC 27001 получают только высокотехнологичные компании с крупными ИБ-бюджетами. В действительности среди тех, кто успешно проходит сертификацию, встречается немало представителей среднего бизнеса из самых разных отраслей, в том числе фармацевтики, медицины, полиграфии и других. При этом организации, как правило, стремятся удержать старых клиентов и найти новых за счёт роста доверия к своей информационной безопасности, а также повысить шансы выйти на новые, международные рынки.

Тенденция последних лет такова, что соответствие ISO/IEC 27001 в основном подтверждают компании — разработчики программного обеспечения. При этом речь идёт об организациях совершенно разных масштабов. С чем это связано? Программные продукты можно предлагать пользователям по всему миру. К тому же наличие сертификата подтверждает соблюдение принципов безопасной разработки, которым в стандарте уделяется большое внимание. Поэтому уровень доверия к услугам по разработке ПО, сертифицированным на соответствие лучшим практикам в области ИБ, будет несомненно выше. Например, через полтора года после получения сертификата крупная ИТ-компания, для которой мы внедряли стандарт «под ключ», сообщила нам, что продвигать сертифицированную интернет-услугу на европейском рынке стало значительно проще.

Тем, кто уже работает на международном рынке и проводит IPO, наличие сертификата соответствия ISO/IEC 27001 значительно облегчает прохождение аудитов второй и третьей сторон. В первом случае обследование проводится по инициативе клиентов, поставщиков и прочих контрагентов, во втором — усилиями независимых компаний с соответствующими лицензиями (например, SOX-аудиты).

Сертификация снимает лишние вопросы на аудитах второй стороны и с тех, кто ориентирован исключительно на внутренний рынок. Так, в последнее время многие организации, будь то страховые компании, облачные провайдеры или разработчики ПО, отмечают, что всё большее внимание при таких проверках их клиенты уделяют ИТ- и ИБ-процессам. В результате на заполнение бесконечных анкет по этим темам уходит крайне много времени. Сертификат соответствия значимого бизнес-процесса или услуги требованиям ISO/IEC 27001, выданный органом по сертификации с международной аккредитацией, не оставляет сомнений в серьёзном отношении компании к ИБ и защите данных клиентов.

Недавно мы убедились в этом и на собственном опыте, когда внедрили стандарт в отношении процессов мониторинга и реагирования на инциденты ИБ и эксплуатации средств защиты для клиентов и наших внутренних потребностей. Получение сертификата способствовало росту интереса рынка к нашим экспертным сервисам ИБ и позволило нам не «просесть» по этой статье доходов в условиях кризиса.