В 1992 г. Министерство торговли и промышленности Великобритании опубликовало Кодекс управления информационной безопасностью (Code of Practice for Information Security Management). Данный документ лег в основу международного стандарта, которым будут следовать тысячи организаций по всему миру.
В 1995 г. Британский институт стандартов (BSI) принял Кодекс управления информационной безопасностью в качестве национального стандарта Великобритании и зарегистрировал его под номером BS 7799 – Part 1.
В 1998 г. BSI публикует стандарт BS7799−2, состоящий из двух частей, одна из которых включила в себя свод практических правил, а другая – требования к системам менеджмента информационной безопасности. В стандарте была представлена процедура совершенствования мер обеспечения информационной безопасности, в соответствии с циклом Деминга (Plan (планируй) — Do (выполняй) — Check (проверяй) — Act (действуй)), а также системный подход к управлению мерами.
В процессе следующих пересмотров первая часть была опубликована как BS 7799:1999, Часть1. В 1999 году эта версия стандарта была переработана и передана в Международную Организацию по Сертификации.
В 2000 г. утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799−1:2000). Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005.
В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 Part 2 Information Security management – specification for information security management systems (Спецификация системы управления информационной безопасностью).
В конце 2005 г. BS 7799 Part 2 была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования».
В 2005 г. стандарт ISO/IEC 17799 был включен в линейку стандартов 27-й серии и получил новый номер – ISO/IEC 27002:2005.
25 сентября 2013 года был опубликован обновленный стандарт ISO/IEC 27001:2013 «Системы Менеджмента Информационной Безопасности. Требования» (Information security management systems — Requirements). Изменения коснулись как структуры стандарта, так и требований.
Стандарт ISO/IEC 27001 в IT сфере
Рост услуг информационной безопасности в сфере IT-решений только за 2015 год достиг почти 15%, составив около 980 млн. долларов. Усложнение типов угроз увеличило востребованность и внедрение системы менеджмента информационной безопасности. Кроме того, необходимость внедрения международного стандарта ISO/IEC 27001 быть обусловлено как внешними причинами (требования заказчика (международного инвестора), а также обязательные условия участия в тендере), так и внутренними (необходимость повысить защищенность от рисков, уменьшить количество и стоимость инцидентов, создать позитивный бизнес-образ, безопасный и современный).
В стандарте ISO/IEC 27001 собраны описания лучших мировых практик в области управления информационной безопасностью.
Данный стандарт устанавливает требования к системе менеджмента информационной безопасности (СМИБ) для демонстрации способности организации защищать свои информационные ресурсы.
СМИБ является частью общей системы менеджмента в организации, направленной на обеспечение информационной безопасности и охватывает гораздо более широкий круг вопросов, чем может показаться на первый взгляд. Приоритетной задачей СМИБ является обеспечение доступности и конфиденциальности информационных ресурсов, что подразумевает также ведение реестра информационных ресурсов, создание резервных копий документов и создание условий для безопасности оборудования, в котором хранится информация. Стандарт содержит накопленный международный опыт по управлению информационной безопасностью компаний и включает в себя наиболее успешные практики информационного менеджмента. Он дает возможность органично вписать систему управления информационной безопасностью в общую систему менеджмента организации.
Стандарт ISO/IEC 27001 применим к деятельности банков, HR компаний и особенно популярен в среде международных IT-компаний (с целью защиты баз данных и разработанных решений).
География международных сертификатов ISO 27001 в странах Европы и СНГ
На сегодняшний день в мире выдано более чем 27 500 сертификатов по стандарту ISO/IEC 27001:2013. Из самых известных компаний, которые уже прошли официальную сертификацию по стандарту ISO/IEC 27 001 можно назвать следующие: CANON, Fuji, Xerox, Fujitsu, Hitachi, Mitsubishi Electric, NEC, Sony, Toshiba, Federal Reserve Bank of New York, Telecom Italia, Japan Telecom, подразделения Siemens, British Telecom, T-Mobile, Ericsson, Samsung, Hyundai, Vodafone, СMA.
Популярность сертификации по стандарту ISO/IEC 27001:2013 растет и в странах СНГ, ЕАЭС, становясь обязательным условием выхода на международный рынок в сфере IT-решений и услуг.
В Республике Беларусь с 1 ноября 2004 г. стандарт приобрел статус Государственного стандарта в гармонизированной форме, идентичной международному стандарту. В Молдове благодаря позиции Национального Банка все банки с 2003 года проходят регулярную проверку на соответствие ISO/IEC 27001. В Российской Федерации первые сертификаты были выданы в 2007 году (6 организаций) и по данным сайта ISO к 2016 году выдано более 60 сертификатов на соответствие международному стандарту ISO/IEC 27001, в Украине выдано более 70 сертификатов. Таким образом можно говорить о растущей популярности внедрения стандарта ISO/IEC 27001.
Можно отметить также, что организации чаще всего предпочитают привлекать к процессу сертификации системы менеджмента международные органы по сертификации с признанными аккредитациями, такими как IAF, EA, IAS, UKAS и другие.
Какие выгоды приобретает IT-компания из СНГ при получении международного сертификата ISO/IEC 27001
Внешние преимущества внедрения и сертификации по стандарту ISO/IEC 27001:
- Сокращение издержек предприятия на потере управления инфраструктурой;
- Открытость политики организации в области информационной политики;
- Создание репутации партнера, которому доверяют;
- Является весомым плюсом (в отдельных случаях, решающим фактором) для работы с международными и Европейскими компаниями;
- Лидирующее преимущество при участии в тендерах и закупках в Государственном секторе, а особенно секторе B2B;
- Получение международного признания и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках;
- Акцент на прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту.
Кроме того стандарт позволяет получить преимущества от внедрения внутри компании:
- Сделать большинство информационных активов наиболее понятными для менеджмента компании;
- Выявлять основные угрозы безопасности для существующих бизнес-процессов;
- Рассчитывать риски и принимать решения на основе бизнес-целей компании;
- Обеспечить эффективное управление системой в критичных ситуациях;
- Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности);
- Четко определить личную ответственность;
- Достигнуть снижения и оптимизации стоимости поддержки системы безопасности;
- Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001.
Сопряжённые стандарты
Одной из явных выгод от внедрения СМИБ является его универсальная структура и возможность интеграции с:
- системой менеджмента непрерывности бизнеса (ISO/IEC 22301);
- системой менеджмента IT-услуг (ISO/IEC 20000−1);
- системой менеджмента качества (ISO 9001).
Схожая структура стандартов позволяет сэкономить время и деньги, так как стала возможной реализация интегрированных политики и процедуры.
Внедрение стандарта также позволит существенно облегчить прохождение аудита по стандарту PCI DSS.
Международная организация по стандартизации совместно с Международной электротехнической комиссией разработала целую серию стандартов ISO/IEC 270…, созданных в помощь разработке и внедрению СМИБ в организации таких как:
- ISO/IEC 27013:2015 СМИБ. Руководство по совместному использованию стандартов ISO/IEC 27001 и ISO/IEC 20000−1;
- ISO/IEC 27002:2013 «СМИБ. Свод норм и правил менеджмента информационной безопасности;
- ISO/IEC 27003:2010 Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению системы менеджмента информационной безопасности и другие.
Вашей компании нужен сертификат? Обращайтесь в Изи Штандарт!
Q&A
Что такое ISO/IEC 27001?
Это международный стандарт требований к СМИБ (ISMS): как организовать политику, роли, процессы и контроли, чтобы риски ИБ были посчитаны и управляемы. Стандарт применим к компаниям любого размера и отрасли.
Чем версия ISO/IEC 27001:2022 отличается от 2013?
Главное — обновлённое Приложение A: 93 контроля в 4 темах (организационные, кадровые, физические, технологические) вместо 114 в 14 доменах. Добавились новые контроли (напр., разведка угроз 5.7 и облачные сервисы 5.23).
Что за «климатический» апдейт 2024 и касается ли он IT?
Да: Amendment 1:2024 обязал учитывать тему изменения климата в пп. 4.¼.2 (контекст организации и ожидания сторон). Для И Т это риск перебоев дата-центров, цепочек поставки, логистики и т. п.
Это международный стандарт требований к СМИБ (ISMS): как организовать политику, роли, процессы и контроли, чтобы риски ИБ были посчитаны и управляемы. Стандарт применим к компаниям любого размера и отрасли.
Чем версия ISO/IEC 27001:2022 отличается от 2013?
Главное — обновлённое Приложение A: 93 контроля в 4 темах (организационные, кадровые, физические, технологические) вместо 114 в 14 доменах. Добавились новые контроли (напр., разведка угроз 5.7 и облачные сервисы 5.23).
Что за «климатический» апдейт 2024 и касается ли он IT?
Да: Amendment 1:2024 обязал учитывать тему изменения климата в пп. 4.¼.2 (контекст организации и ожидания сторон). Для И Т это риск перебоев дата-центров, цепочек поставки, логистики и т. п.