Новости рынка 06.05.16

Почему IT-компаниям необходим сертификат ISO/IEC 27001?

В 1992 г. Министерство торговли и промышленности Великобритании опубликовало Кодекс управления информационной безопасностью (Code of Practice for Information Security Management). Данный документ лег в основу международного стандарта, которым будут следовать тысячи организаций по всему миру.

В 1995 г. Британский институт стандартов (BSI) принял Кодекс управления информационной безопасностью в качестве национального стандарта Великобритании и зарегистрировал его под номером BS 7799 - Part 1.

В 1998 г. BSI публикует стандарт BS7799-2, состоящий из двух частей, одна из которых включила в себя свод практических правил, а другая – требования к системам менеджмента информационной безопасности. В стандарте была представлена процедура совершенствования мер обеспечения информационной безопасности, в соответствии с циклом Деминга (Plan (планируй) - Do (выполняй) - Check (проверяй) - Act (действуй)), а также системный подход к управлению мерами.

В процессе следующих пересмотров первая часть была опубликована как BS 7799:1999, Часть1. В 1999 году эта версия стандарта была переработана и передана в Международную Организацию по Сертификации.

В 2000 г. утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005.

В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 Part 2 Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью).

В конце 2005 г. BS 7799 Part 2 была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».

В 2005 г. стандарт ISO/IEC 17799 был включен в линейку стандартов 27-й серии и получил новый номер - ISO/IEC 27002:2005.
25 сентября 2013 года был опубликован обновленный стандарт ISO/IEC 27001:2013 «Системы Менеджмента Информационной Безопасности. Требования» (Information security management systems — Requirements). Изменения коснулись как структуры стандарта, так и требований.

Стандарт ISO/IEC 27001 в IT сфере

Рост услуг информационной безопасности в сфере IT-решений только за 2015 год достиг почти 15 %, составив около 980 млн. долларов. Усложнение типов угроз увеличило востребованность и внедрение системы менеджмента информационной безопасности. Кроме того, необходимость внедрения международного стандарта ISO/IEC 27001 быть обусловлено как внешними причинами (требования заказчика (международного инвестора), а также обязательные условия участия в тендере), так и внутренними (необходимость повысить защищенность от рисков, уменьшить количество и стоимость инцидентов, создать позитивный бизнес-образ, безопасный и современный).
В стандарте ISO/IEC 27001 собраны описания лучших мировых практик в области управления информационной безопасностью.

Данный стандарт устанавливает требования к системе менеджмента информационной безопасности (СМИБ) для демонстрации способности организации защищать свои информационные ресурсы.

СМИБ является частью общей системы менеджмента в организации, направленной на обеспечение информационной безопасности и охватывает гораздо более широкий круг вопросов, чем может показаться на первый взгляд. Приоритетной задачей СМИБ является обеспечение доступности и конфиденциальности информационных ресурсов, что подразумевает также ведение реестра информационных ресурсов, создание резервных копий документов и создание условий для безопасности оборудования, в котором хранится информация. Стандарт содержит накопленный международный опыт по управлению информационной безопасностью компаний и включает в себя наиболее успешные практики информационного менеджмента. Он дает возможность органично вписать систему управления информационной безопасностью в общую систему менеджмента организации.

Стандарт ISO/IEC 27001 применим к деятельности банков, HR компаний и особенно популярен в среде международных IT-компаний (с целью защиты баз данных и разработанных решений).

География международных сертификатов ISO 27001 в странах Европы и СНГ

На сегодняшний день в мире выдано более чем 27 500 сертификатов по стандарту ISO/IEC 27001:2013. Из самых известных компаний, которые уже прошли официальную сертификацию по стандарту ISO/IEC 27001 можно назвать следующие: CANON, Fuji, Xerox, Fujitsu, Hitachi, Mitsubishi Electric, NEC, Sony, Toshiba, Federal Reserve Bank of New York, Telecom Italia, Japan Telecom, подразделения Siemens, British Telecom, T-Mobile, Ericsson, Samsung, Hyundai, Vodafone, СMA.

Популярность сертификации по стандарту ISO/IEC 27001:2013 растет и в странах СНГ, ЕАЭС, становясь обязательным условием выхода на международный рынок в сфере IT-решений и услуг.

В Республике Беларусь с 1 ноября 2004 г. стандарт приобрел статус Государственного стандарта в гармонизированной форме, идентичной международному стандарту. В Молдове благодаря позиции Национального Банка все банки с 2003 года проходят регулярную проверку на соответствие ISO/IEC 27001. В Российской Федерации первые сертификаты были выданы в 2007 году (6 организаций) и по данным сайта ISO к 2016 году выдано более 60 сертификатов на соответствие международному стандарту ISO/IEC 27001, в Украине выдано более 70 сертификатов. Таким образом можно говорить о растущей популярности внедрения стандарта ISO/IEC 27001.

Можно отметить также, что организации чаще всего предпочитают привлекать к процессу сертификации системы менеджмента международные органы по сертификации с признанными аккредитациями, такими как IAF, EA, IAS, UKAS и другие.

Какие выгоды приобретает IT-компания из СНГ при получении международного сертификата ISO/IEC 27001

Внешние преимущества внедрения и сертификации по стандарту ISO/IEC 27001:

Сокращение издержек предприятия на потере управления инфраструктурой;
Открытость политики организации в области информационной политики;
Создание репутации партнера, которому доверяют;
Является весомым плюсом (в отдельных случаях, решающим фактором) для работы с международными и Европейскими компаниями;
Лидирующее преимущество при участии в тендерах и закупках в Государственном секторе, а особенно секторе B2B;
Получение международного признания и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках;
Акцент на прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту.

Кроме того стандарт позволяет получить преимущества от внедрения внутри компании:

Сделать большинство информационных активов наиболее понятными для менеджмента компании;
Выявлять основные угрозы безопасности для существующих бизнес-процессов;
Рассчитывать риски и принимать решения на основе бизнес-целей компании;
Обеспечить эффективное управление системой в критичных ситуациях;
Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности);
Четко определить личную ответственность;
Достигнуть снижения и оптимизации стоимости поддержки системы безопасности;
Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001.

Сопряжённые стандарты

Одной из явных выгод от внедрения СМИБ является его универсальная структура и возможность интеграции с:

системой менеджмента непрерывности бизнеса (ISO/IEC 22301);
системой менеджмента IT-услуг (ISO/IEC 20000-1);
системой менеджмента качества (ISO 9001).

Схожая структура стандартов позволяет сэкономить время и деньги, так как стала возможной реализация интегрированных политики и процедуры.
Внедрение стандарта также позволит существенно облегчить прохождение аудита по стандарту PCI DSS.

Международная организация по стандартизации совместно с Международной электротехнической комиссией разработала целую серию стандартов ISO/IEC 270..., созданных в помощь разработке и внедрению СМИБ в организации таких как:

ISO/IEC 27013:2015 СМИБ. Руководство по совместному использованию стандартов ISO/IEC 27001 и ISO/IEC 20000-1;
ISO/IEC 27002:2013 "СМИБ. Свод норм и правил менеджмента информационной безопасности;
ISO/IEC 27003:2010 Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению системы менеджмента информационной безопасности и другие.