Что такое ISO/IEC 27001

ISO/IEC 27001 — один из самых востребованных стандартов в мире ИБ. Он помогает компаниям навести порядок в управлении информационной безопасностью, перейти от разрозненных решений к системному подходу, получить международное признание, говорить с заказчиками и регуляторами на одном языке.

Что такое ISO/IEC 27001

Стандарт ISO/IEC 27001 описывает, как правильно выстроить систему управления информационной безопасностью (СУИБ). Главное здесь — комплексный подход: политика, риски, ответственность, процессы.

ISO 27001 — основа зрелой ИБ, которую можно масштабировать, оценивать, регулярно улучшать.

Назначение и область действия стандарта

ISO/IEC 27001 применим к любой организации, независимо от размера, отрасли или уровня зрелости ИБ. Фокусируется не на конкретных угрозах или технологиях, а на управлении рисками.

Цель — помочь организации выявить уязвимые места, сформулировать управленческие и технические меры защиты, наладить регулярный контроль и совершенствование ИБ. Стандарт задаёт рамки для построения работающей системы, охватывает следующие задачи:

·                     формирование политики и целей в сфере ИБ

·                     анализ рисков, их минимизацию

·                     назначение ответственных

·                     контроль изменений и инцидентов

·                     аудит и пересмотр системы безопасности

Сфера применения может быть узкой, например, только отдел ИТ, или охватывать всю компанию — организация определяет границы СУИБ самостоятельно.

Многие думают, что ISO 27001 — это список мер защиты. На самом деле он гораздо шире: стандарт описывает, как управлять всей системой безопасности. Здесь важны технологии, люди, процессы, документы, непрерывность.

Разберем, как устроена система по ISO 27001, что она включает.

Система менеджмента информационной безопасности (СМИБ)

СМИБ — это подход к управлению, с помощью которого организация осознанно управляет информационными рисками, исходя из своих целей, контекста, ресурсов.

В основе лежит принцип PDCA (Plan–Do–Check–Act):

·                     на этапе Plan определяются цели, риски, политика, структура

·                     на Do — внедряются меры и процессы

·                     Check — регулярная оценка, аудит, измерение эффективности

·                     Act — корректировка, улучшение, пересмотр стратегии

СМИБ помогает уйти от точечных решений, внедрять систему, в которой безопасность встроена в работу бизнеса.

Основные главы и процессы по Annex SL

ISO 27001 следует общей структуре Annex SL, принятой для всех современных стандартов ISO. Это удобно: если в компании уже внедрён, например, ISO 9001 или ISO 22301, то многие процессы можно использовать совместно.

Ключевые главы:

·                     Контекст организации — определяются заинтересованные стороны, требования, границы СУИБ.

·                     Лидерство — участие высшего руководства: политика, роли, ответственность.

·                     Планирование — цели, оценка рисков, возможностей, план мероприятий.

·                     Поддержка — ресурсы, компетенции, информирование, документация.

·                     Операционная деятельность — внедрение, управление мерами безопасности.

·                     Оценка эффективности — внутренние аудиты, анализ со стороны руководства, метрики.

·                     Улучшение — реакция на несоответствия, корректирующие действия, постоянное развитие.

Каждая глава дополняет другую. Вместе они формируют единый цикл управления, который можно масштабировать или адаптировать под бизнес.