Из-за недостаточной безопасности при обработке информации, экономика терпит ежегодный ущерб в миллиарды. Для этого есть много причин: внешние сбои, технические ошибки, промышленный шпионаж или противоправное  использование информации бывшими сотрудниками. Однако только те, кто осознает проблемы, могут принять соответствующие меры. Хорошо структурированная система управления информационной безопасностью (СУИБ) в соответствии с международно признанным стандартом ISO 27001 является оптимальной основой для эффективной реализации комплексной стратегии безопасности. Что именно это означает и что необходимо учитывать? Вы можете найти ответы на важные вопросы о ISO 27001 в нашей статье.

ЧТО ТАКОЕ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ?
Ответ на этот вопрос прост в контексте международного семейства стандартов по информационной безопасности ISO / IEC 2700x:

«Информация – это данные, которые ценны для компании».

ISO / IEC 27000: 2009: Информационные технологии. Процедуры обеспечения безопасности ИТ. Системы менеджмента информационной безопасности. Обзор и терминология
Это делает их экономическим активом, который не должен попадать в руки посторонних лиц и должен требовать адекватной защиты.
Таким образом, информационная безопасность – это все, что связано с защитой информационных активов компании.
Крайне важно знать о рисках, которые существуют в контексте компании, или раскрывать их и противостоять им с помощью соответствующих мер.

«Информационная безопасность не является только IT-безопасностью».

IТ-безопасность относится только к безопасности используемой технологии, а не к корпоративным ценностям, которые должны быть защищены. Организационные вопросы, например, Разрешения на доступ, обязанности или процедуры одобрения, а также психологические аспекты играют важную роль в информационной безопасности. Тем не менее, безопасная ИТ также защищает информацию в компании.
ЧТО ТАКОЕ ЗАЩИТНЫЕ ЦЕЛИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ?
Цели защиты информационной безопасности включают три основных аспекта:
Конфиденциальность – защита конфиденциальной информации от несанкционированного доступа, будь то по причинам защиты данных или из-за коммерческой тайны, подпадающей под действие Закона о коммерческой тайне. Здесь важен уровень конфиденциальности.
Целостность – минимизация любых рисков, обеспечение полноты и надежности всех данных и информации.
Доступность – обеспечение доступа и удобства использования для авторизованного доступа к информации, зданиям и системам. Это важно для поддержания процессов.
КЛЮЧЕВЫЕ ВОПРОСЫ ОБ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Какие ценности имеет моя компания?
Какие корпоративные ценности нужно защищать?
Каким атакам могут подвергнутся корпоративные ценности?
Кто заинтересован в защите этой информации?
Каковы соответствующие меры?
ЧТО ТАКОЕ СИСТЕМА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ?
Система управления информационной безопасностью (СУИБ) в соответствии с ISO 27001:2013 определяет руководящие принципы, правила и методы для обеспечения безопасности информации, которую стоит защищать в компании. Стандарт предоставляет модель для введения, реализации, мониторинга и улучшения уровней защиты – в соответствии с систематической процедурой цикла PDCA, известной из ISO 9001 (Plan-Do-Check-Act). Цель состоит в том, чтобы определить возможные риски для компании, проанализировать их и сделать их управляемыми с помощью подходящих мер.
ПОЧЕМУ ЭТО ВАЖНО?
Успешные компании используют структуру и прозрачность современных систем управления, чтобы выявлять угрозы и контролировать использование современных систем безопасности. В основе системы управления информационной безопасностью лежит безопасность ваших собственных информационных активов, таких как интеллектуальная собственность, финансовые и кадровые данные, а также информация, которая была доверена вам клиентами или третьими лицами.

«Информационная безопасность всегда означает защиту важной информации или ценных данных».

Риски, которым подвергаются ценность данных, разнообразны. Они могут возникнуть в результате материальных, человеческих и технических угроз безопасности. Но только целостный, превентивный подход системы менеджмента к СМИБ может оправдать весь спектр рисков и обеспечить непрерывность бизнеса компании.
КАКОВЫ ПРЕИМУЩЕСТВА СМИБ?
Стандарт ISO 27001:2013 формулирует требования к систематической структуре и внедрению процессно-ориентированной системы управления информационной безопасностью. Такой целостный подход позволяет компаниям достичь решающих преимуществ:

• безопасность конфиденциальной информации становится неотъемлемой частью процессов компании
• превентивная защита целей защиты конфиденциальности, доступности и целостности информации
• поддержание непрерывности бизнеса путем постоянного повышения уровня безопасности
• повышение информированности сотрудников и значительное повышение уровня безопасности на всех уровнях компании.
• создание эффективного процесса управления рисками
• укрепление доверия с заинтересованными сторонами (например, в тендерах) посредством очевидной безопасной обработки конфиденциальной информации
• соблюдение соответствующих требований соответствия, большей безопасности действий и правовой определенности

ДЛЯ КАКОЙ КОМПАНИИ ПОДХОДИТ ISO 27001?
Ответ на вопрос очевиден: для всех!
Стандарт в основном может применяться во всех компаниях, независимо от их типа, размера и отрасли. Все организации пользуются преимуществами структурированной системы управления.
На внедрение СМИБ влияют следующие факторы:

• требования и корпоративные цели
• потребности в безопасности
• применяемые бизнес-процессы
• размер и структура компании

КАК МОЖНО ОБРАЩАТЬСЯ С ВОЗМОЖНЫМИ РИСКАМИ?
Угрозы безопасности могут возникнуть в результате материальных, человеческих и технических угроз. Для достижения приемлемого и надлежащего уровня безопасности в компании требуется определенный процесс управления рисками или соответствующий метод оценки, обработки и мониторинга рисков. ISO / IEC 27005 предоставляет хорошее руководство по управлению рисками информационной безопасности.
КАКУЮ РОЛЬ ИГРАЮТ СОТРУДНИКИ?
Люди также являются фактором риска: обработка конфиденциальной информации затрагивает всех сотрудников и партнеров компании без исключения. Они также представляют повышенную угрозу безопасности, будь то из-за человеческой ошибки или невежества. Однако лишь немногие компании регулируют, кто может получить доступ к какой информации и как с ней обращаться.

«Новый источник власти больше не деньги в руках немногих, а информация в руках многих».
Джон Найсбитт, * 1929, американский футуролог

Обязательные правила и четкое понимание всех проблем информационной безопасности являются основным требованием. Ключевым моментом здесь является адаптация корпоративной политики или разработка подходящей политики информационной безопасности.
Необходимая информированность сотрудников на всех (управленческих) уровнях является главным приоритетом и может внедрена, например, через учебные курсы, семинары или личные обсуждения.
ISO 27001 – ВОПРОСЫ ВНЕДРЕНИЯ
Вопрос о том, нужно ли компании иметь уже систему менеджмента, например, в соответствии с ISO 9001 должен быть дан четкий ответ «нет». Как и все стандарты систем управления, ISO 27001 выступает сам за себя. Это означает, что компания может установить и внедрить СМИБ в любое время и независимо от существующих структур. Тем не менее, компании, которые имеют систему менеджмента качества в соответствии с ISO 9001, уже создали хорошую основу для постепенного входа в комплексную информационную безопасность.
Структура и подход ISO 27001 основаны на обязательной базовой структуре для всех стандартов системы управления, ориентированной на процессы, структуре высокого уровня. Это позволяет вам легко интегрировать систему управления информационной безопасностью в существующую систему управления.
Также возможна совместная сертификация в соответствии с ISO 27001 с ISO 20000-1 (Управление ИТ-услугами) или ISO 22301 (Управление непрерывностью бизнеса) в DQS.
КАКИЕ ДОКУМЕНТЫ МОГУТ ПОДДЕРЖАТЬ ВНЕДРЕНИЕ?
Предпочтительной основой для внедрения целостной системы управления информационной безопасностью (СУИБ) является международное семейство стандартов ISO / IEC 2700x. Они предназначены для поддержки компаний всех типов и размеров при внедрении и эксплуатации СМИБ.
Важными компонентами серии стандартов являются

• ISO / IEC 27000: 2009: Системы менеджмента информационной безопасности. Обзор и словарь
• ISO / IEC 27001: Информационные технологии. Процедуры обеспечения безопасности ИТ. Системы менеджмента информационной безопасности. Требования (требования сертификации)
• ISO / IEC 27002: Информационные технологии. Процедуры обеспечения безопасности ИТ. Руководящие указания по управлению информационной безопасностью
• ISO / IEC 27003: Разработка и внедрение СМИБ
• ISO / IEC 27004: Управление информационной безопасностью. Измерение
• ISO / IEC 27005: инструкции по управлению рисками информационной безопасности

ISO 27001 – ВОПРОСЫ ОБ ОТВЕТСТВЕЕНОМ ЗА ИБ?
Требует ли ISO 27001 наличие ответственного сотрудника по информационной безопасности? Ответ «да»: одна из задач в СМИБ – назначить сотрудника по информационной безопасности через высшее руководство. Сотрудник по информационной безопасности является контактным лицом по всем вопросам информационной безопасности. Он должен быть интегрирован в процесс СМИБ и тесно связан с теми, кто отвечает за ИТ в таких задачах, как выбор новых ИТ-компонентов и приложений.
ПОЧЕМУ НУЖНА СЕРТИФИКАЦИЯ ISO 27001?
Сертификация, основанная на аккредитованной процедуре, является доказательством того, что система менеджмента и соответствующие меры были внедрены для систематической защиты информационных активов компании. С сертификатом вы показываете «черным по белому», что вы успешно построили эту систему и настроены на ее постоянное совершенствование.
Всемирно признанный сертификат DQS является видимым выражением нейтральной оценки и укрепляет доверие к вашей компании. Это рыночное преимущество и предлагает хорошую основу для тендеров и критических с точки зрения безопасности транзакций клиентов, таких как работа с поставщиками финансовых услуг.
ISO 27001 – ВОПРОСЫ О ПРОЦЕССЕ СЕРТИФИКАЦИИ
Все системы менеджмента, которые оцениваются на основе международных правил (ISO / IEC 17021) аккредитованным сертификационным органом, таким как DQS, подлежат одинаковой процедуре сертификации.
Первоначальная сертификация состоит из анализа системы (этап 1) и аудита системы (этап 2), в ходе которого аудиторы убеждают себя в функциональности всей системы и выполнении всех стандартных требований. Сертификат действителен в течение 3 лет. Однако, чтобы оставаться в силе в течение срока действия, его необходимо подтверждать ежегодно. Поэтому в первый и второй год после выдачи сертификата аудиторы DQS проводят сокращенные надзорные  аудиты, в ходе которых они рассматривают, например, эффективность основных компонентов системы или корректирующие и предупреждающие меры. Затем повторная сертификация проводится через три года.
КАКОВЫ ПРЕИМУЩЕСТВА ISO 27001 НАД ISIS12?
Даже малые и средние компании и государственные организации вряд ли могут обойтись без адекватной защиты своих корпоративных ценностей. Благодаря ISIS12, системе управления информационной безопасностью, состоящей из 12 этапов, это требование может быть сравнительно легко выполнено. ISIS12 – хороший выбор, чтобы сделать первые шаги к информационной безопасности. При условии, что существующие организационные структуры, а также ситуация с информацией и данными не слишком сложны. В противном случае для обеспечения надлежащей информационной безопасности потребуется комплексная СУБД ISO 27001 без вопросов.
КАКОВЫ ПРЕИМУЩЕСТВА ISO 27001 НАД TISAX?
TISAX® (Trusted Information Security Assessment Exchange) был разработан как отраслевой стандарт специально для автомобильной промышленности и приспособлен к отраслевым потребностям. Основой для оценки TISAX® является каталог тестов VDA Information Security Assessment (VDA ISA), который  основан на требованиях ISO 27001 и ISO 27002, и связан с такими темами, как Расширенная защита прототипов или защита данных.
Целью TISAX® является обеспечение комплексной (информационной) безопасности на всех этапах цепочки поставок. Регистрация в базе данных также упрощает процедуру взаимного признания. Однако TISAX® признан только в автомобильной промышленности. Клиенты из других отраслей могут признавать ISO 27001 только в качестве доказательства СМИБ.
ЧТО МЫ МОЖЕМ СДЕЛАТЬ ДЛЯ ВАС?
DQS – это ваш специалист по аудиту и сертификации – по системам управления и процессам. Обладая 35-летним опытом и ноу-хау и 2500 аудиторами по всему миру, мы являемся вашим компетентным сертификационным партнером и даем ответы на все вопросы ISO 27001.
Мы проводим аудит в соответствии с более чем 200 признанными нормами и правилами, а также стандартами для компаний и ассоциаций. Мы получили нашу аккредитацию для BS 7799-2, предшественника DIN ISO / IEC 27001, в декабре 2000 года в качестве первого немецкого органа по сертификации. Этот опыт по-прежнему является отражением нашей всемирной истории успеха.