Проект подготовки системы менеджмента информационной безопасности и ее сертификация по ISO/IEC 27001 (ИСО/МЭК 27001)

Для получения коммерческого предложения заполните On-Line заявку или свяжитесь с нами по телефону: +7 (495) 743-96-71. Коммерческое предложение составляется индивидуально для каждего заказчика и базируется на следующих вариантах:

1. Консалтинг по разработке и внедрению системы менеджмента информационной безопасности в соответсвии с требованиями стандарта ISO/IEC 27001.  
2. Разработка необходимого комплекта документов для сертификации по ISO/IEC 27001.
3. Детальный анализ деятельности предприятия заказчика, разработка необходимых документов и рекомендаций для улучшения работы. 
4. Сертификация по ISO/IEC 27001.

Сроки и стоимость работ зависят от численности работников предприятия, видов деятельности и конкретных требований заказчика по выполнению проекта. В любом случае трудаемкость и цены проекта оговариваются индивидуально.

Содержание

1. Введение в информационную безопасность
2. Цели проекта ISO/IEC 27001 (ИСО/МЭК 27001)
3. Требования стандарта ISO/IEC 27001 (ИСО/МЭК 27001)
4. Органы по сертификации  ISO/IEC 27001 (ИСО/МЭК 27001)
5. Этапы проекта по развитию сисемы менеджмента защиты информации в соответсвии с ISO/IEC 27001 (ИСО/МЭК 27001)
6. Сертификация по ISO/IEC 27001 (ИСО/МЭК 27001)

1. Введение в информационную безопасность

Информация – это актив, который, подобно другим значимым активам бизнеса, важен для ведения дела организации и, следовательно, необходимо, чтобы он соответствующим образом защищался. Это особенно важно во все больше и больше взаимосвязанной среде бизнеса. В результате этой возрастающей взаимосвязанности, информация в настоящее время подвергается воздействию возрастающего числа и растущего разнообразия угроз и слабых места в системе защиты.

Информация может существовать во многих формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, посылаться по почте или путем использования электронных средств, показана на пленках или высказана в разговоре. Вне зависимости от того, какую форму информация принимает, какими средствами она распространяется или хранится, она всегда должна быть надлежащим образом

защищена.

 

Защита информации – это охрана информации от большого разнообразия угроз, осуществляемая с целью обеспечить непрерывность бизнеса, минимизировать деловые риски и максимизировать возврат по инвестициям и возможности деловой деятельности.

 

Защита информации достигается реализацией соответствующего набора средств управления, включая политику, процессы, процедуры, организационные структуры и программные и аппаратные функции. Эти элементы управления необходимо создать, внедрить, постоянно контролировать, анализировать и улучшать, по необходимости, с целью обеспечить выполнение конкретных организационных задач защиты и бизнеса. Это следует делать вместе с другими процессами управления бизнесом.

 

Международный стандарт ISO/IEC 27001:2005 «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования» разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799. Этот новый стандарт представляет собой дополнение к стандарту ISO/IES 17799:2005 «Информационные технологии – Методы обеспечения безопасности – Практические правила управления информационной безопасностью».

 

Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».

 

Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи);

Целостность – обеспечение точности и полноты информации, а также методов ее обработки;

Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

ISO/IEC 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации, а стандарт ISO/IEC 27002:2005 выступает в качестве руководства по внедрению, которое может использоваться при проектировании механизмов контроля, выбираемых организацией для уменьшения рисков информационной безопасности.

 

Стандарт ISO/IEC 27001:2005 определяет цели и средства контроля, представляющие возможность устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации.

 

Ниже приведена модель системы менеджмента защиты информации.

 

 

Рисунок 1. Мобель системы менеджмента информационной безопасности (СМЗИ)

Информация и вспомогательные процессы, системы и сети являются важными активами бизнеса. Определение, достижение, поддержание в рабочем состоянии и улучшение защиты информации может быть существенным для поддержания конкурентного преимущества, движения ликвидности, рентабельности, соответствия законам и коммерческого имиджа.

Организации и их информационные системы и сети сталкиваются с угрозами для безопасности, исходящими из весьма разнообразных источников, включая компьютеризированное мошенничество, шпионаж, саботаж, вандализм, пожар или наводнение. Причины ущерба, например, злонамеренный код, компьютерное хакерство и воздействия, вызывающие отказ в обслуживании законных пользователей, становятся все более обыденными, амбициозными и изощренными.

Защита информации важна для предприятий как государственного, так частного сектора, а также для защиты ценных инфраструктур. В обоих секторах, защита информации будет работать как инструмент реализации, например, для ведения электронного управления или электронного бизнеса, и для того, чтобы избежать или снизить соответствующие риски. Взаимосвязь государственных и частных сетей и совместное использование информационных ресурсов увеличивает трудность достижения управления доступом. Курс на распределенную обработку данных также ослабляет результативность центрального, специализированного управления.

Множество информационных систем не было предназначено для того, чтобы быть безопасными. Защита, которая может быть достигнута техническими средствами, ограничена, и ее следует поддерживать соответствующим управлением и процедурами. Определение того, какие средства управления следует принять, требует тщательного планирования и внимания деталям. Управление защитой информации требует, как минимум, участия всех служащих в организации. Она также может потребовать участия акционеров, поставщиков, третьих сторон, потребителей или других внешних сторон. Также может понадобиться консультация специалиста извне организации.

Для достижения поставленных целей мы рекомендуем реализовать проект внедрения СМЗИ и ее дальнейшей сертификации по ISO IEC 27001:2005.

2. Цели проекта ISO/IEC 27001 (ИСО/МЭК 27001)

Успешной реализации мероприятий по внедрению и сертификации системы менеджмента информационной безопасности 
должно служить ясное понимание и установление целей проекта, этими целями могут служить:

1. Повышение уровня безопасности информационных активов предприятия
2. Успешное прохождение аудита и получение сертификата по ISO/IEC 27001 (ИСО/МЭК 27001)
3. Сокращение количества инцидентов, связанных с информационной безопасностью и тяжестью их последствий
4. Обеспечение уверенности потребителей компании в том, что его информационные активиы находятся под защитой

3. Требования стандарта ISO/IEC 27001 (ИСО/МЭК 27001) 

Требования стандарта изложены в виде восьми разделов. В разделах 1-3 представлены общие положения и тремины стандарта ISO/IEC 27001 (ИСО/МЭК 27001).
В разделах 4-8 представлены требования к системам менеджмента защиты информации. Структура стандарта такова:

1. Область применения

 1.1 Общие положения

 1.2 Применение

2. Нормативная ссылка

3   Термины и определения

4. Система менеджмента качества

 4.1 Общие требования

 4.2 Требования к документации

5. Ответственность руководства

 5.1 Обязательства руководства

 5.2 Ориентация на потребителя

 5.3 Политика в области качества

 5.4 Планирование

 5.5 Ответственность, полномочия и коммуникация

 5.6 Анализ со стороны руководства

6. Менеджмент ресурсов

 6.1 Предоставление ресурсов

 6.2 Человеческие ресурсы

 6.3 Инфраструктура

 6.4 Производственная среда

7. Создание продукции

7.1  Планирование создания продукции

7.2  Процессы, связанные с потребителем

7.3  Проектирование и разработка

7.4  Закупки

7.5 Производство продукции и предоставление услуг

7.6 Управление устройствами для мониторинга и измерений

8. Измерение, анализ и улучшение

 8.1 Общие положения

 8.2 Мониторинг и измерение

 8.3 Управление несоответствующей продукцией

 8.4 Анализ данных

 8.5 Улучшение

4. Органы по сертификации  ISO/IEC 27001 (ИСО/МЭК 27001)

Обладая достаточным багажом знаний и опыта для реализации проектов любой сложености по ISO 27001, а также являсь партнером большинства солидных органов по сертификаци, работающих на территории России мы можем дать уверенность в успешном прохождении сертификации в следующих органах по сертификации (после реализации предложенного нами проекта и методики работы ):

• TUV CERT (TUV)
• Det Norske Veritas (DNV)
• SAI Global Ltd
• Bureau Veritas (BVQI)
• Русский Регистр

5. Этапы проекта по развитию сисемы менеджмента защиты информации в соответсвии с ISO/IEC 27001 (ИСО/МЭК 27001) 

Мы предлагаем вам проверенный практикой подход к успешному прохождению аудита, состоящий из следующих этапов:

Этап 1 - Разработка

Работы этапа:

1. Проведение диагностического аудита для определения степени соответствия предприятия требованиям ISO/IEC 27001 (ИСО/МЭК 27001).
2. Формирование группы менеджеров по защите информации.
3. Проведение обучения ключевых сотрудников организации, задействованных в проекте.
4. Совместное планирование мероприятий по проекту ISO/IEC 27001 (ИСО/МЭК 27001).
5. Разработка методики оценки рисков.
6. Разработка необходимых процессов, процедур, положений, инструкций, форм записей (целей и средств контроля).
7. Согласование и утверждение разработанных документов.
8. Подготовка заявления о применимости.

Пройдя указанные выше этапы организация заказчика получает:

1. Отчет о текущем состоянии системы менеджмента информационной безопасности.
2. Сформированную и обученную группу сотрудников, службу или отдел качества.
3. План подготовки к сертификационному аудиту.
4. Комплект документов, регламентирующих деятельность организации.

Это позволит:

1. Определить «слабые» стороны организации.
2. Спланировать и осуществить мероприятия по подготовке к сертификации по ISO/IEC 27001 (ИСО/МЭК 27001).

Этап 2 - Внедрение

1. Проведение инструктажей персонала организации.
2. Проведение внутренних аудитов информационной безопасности.
3. Корректировка системы менеджмента качества по результатам аудита.
4. Подготовка организации к сертификационному аудиту по ISO/IEC 27001 (ИСО/МЭК 27001).

1. Персонал организации, подготовленный в области информационной безопасности.
2. Отчет о состоянии организации после внедрения СМЗИ.
3. Разработанный план по улучшению СМЗИ.
4. Комплект документов, отредактированный по результатам аудитов информационной безопасности.
5. Материалы презентаций в области внедряемой СМЗИ для ключевых сотрудников организации.

1. Успешно пройти сертификационный аудит по ISO/IEC 27001 (ИСО/МЭК 27001)
2. Повысить привлекательность организации для инвесторов, клиентов, персонала

Этап 3 - Сопровождение

1. Проведение внутренних аудитов СМЗИ
2. Подготовка организации к наблюдательному аудиту по ISO/IEC 27001 (ИСО/МЭК 27001)

1. Сводный отчет по результатам функционирования СМЗИ
2. Планы развития СМЗИ
3. Отчеты по результатам внутреннего аудита СМЗИ

1. Выйти на новые рынки сбыта.
2. Повысить конкурентоспособность организации.

6. Сертификация по информационной безопасности ISO/IEC 27001 (ИСО/МЭК 27001)

Сертификация систем менеджмента защиты информации(СМЗИ) по ISO/IEC 27001 (ИСО/МЭК 27001) производится по следующим этапам:

1. Подача заявки для сертификации
2. Заключение договора на сертификацию
3. Проверка документов СМЗИ на предмет соответсвие требованиям ISO/IEC 27001 (ИСО/МЭК 27001)
4. Планирование предварительного аудита
5. Предварительный аудит
6. Организация-заявитель исправляет ошибки, выявленные по результатам предварительного аудита
7. Планирование сертификационного аудита
8. Сертификационный аудит
9. Составление отчета группой аудита
10. Организация- заявитель исправляет ошибки, выявленые в ходе аудита
11. Выдача сертификата ISO/IEC 27001 (ИСО/МЭК 27001)