Почему IT-компаниям необходим сертификат ISO/IEC 27001?

В 1992 г. Министерство торговли и промышленности Великобритании опубликовало Кодекс управления информационной безопасностью (Code of Practice for Information Security Management). Данный документ лег в основу международного стандарта, которым будут следовать тысячи организаций по всему миру.

В 1995 г. Британский институт стандартов (BSI) принял Кодекс управления информационной безопасностью в качестве национального стандарта Великобритании и зарегистрировал его под номером BS 7799 - Part 1.

В 1998 г. BSI публикует стандарт BS7799-2, состоящий из двух частей, одна из которых включила в себя свод практических правил, а другая – требования к системам менеджмента информационной безопасности. В стандарте была представлена процедура совершенствования мер обеспечения информационной безопасности, в соответствии с циклом Деминга (Plan (планируй) - Do (выполняй) - Check (проверяй) - Act (действуй)), а также системный подход к управлению мерами.

В процессе следующих пересмотров первая часть была опубликована как BS 7799:1999, Часть1. В 1999 году эта версия стандарта была переработана и передана в Международную Организацию по Сертификации.

В 2000 г. утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005.

В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 Part 2 Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью).

В 2005 г. стандарт ISO/IEC 17799 был включен в линейку стандартов 27-й серии и получил новый номер - ISO/IEC 27002:2005.

25 сентября 2013 года был опубликован обновленный стандарт ISO/IEC 27001:2013 «Системы Менеджмента Информационной Безопасности. Требования» (Information security management systems — Requirements). Изменения коснулись как структуры стандарта, так и требований.

Рост услуг информационной безопасности в сфере IT-решений только за 2015 год достиг почти 15 %, составив около 980 млн. долларов. Усложнение типов угроз увеличило востребованность и внедрение системы менеджмента информационной безопасности. Кроме того, необходимость внедрения международного стандарта ISO/IEC 27001 быть обусловлено как внешними причинами (требования заказчика (международного инвестора), а также обязательные условия участия в тендере), так и внутренними (необходимость повысить защищенность от рисков, уменьшить количество и стоимость инцидентов, создать позитивный бизнес-образ, безопасный и современный).

В стандарте ISO/IEC 27001 собраны описания лучших мировых практик в области управления информационной безопасностью.

СМИБ является частью общей системы менеджмента в организации, направленной на обеспечение информационной безопасности и охватывает гораздо более широкий круг вопросов, чем может показаться на первый взгляд. Приоритетной задачей СМИБ является обеспечение доступности и конфиденциальности информационных ресурсов, что подразумевает также ведение реестра информационных ресурсов, создание резервных копий документов и создание условий для безопасности оборудования, в котором хранится информация. Стандарт содержит накопленный международный опыт по управлению информационной безопасностью компаний и включает в себя наиболее успешные практики информационного менеджмента. Он дает возможность органично вписать систему управления информационной безопасностью в общую систему менеджмента организации.

Стандарт ISO/IEC 27001 применим к деятельности банков, HR компаний и особенно популярен в среде международных IT-компаний (с целью защиты баз данных и разработанных решений).

На сегодняшний день в мире выдано более чем 27 500 сертификатов по стандарту ISO/IEC 27001:2013. Из самых известных компаний, которые уже прошли официальную сертификацию по стандарту ISO/IEC 27001 можно назвать следующие: CANON, Fuji, Xerox, Fujitsu, Hitachi, Mitsubishi Electric, NEC, Sony, Toshiba, Federal Reserve Bank of New York, Telecom Italia, Japan Telecom, подразделения Siemens, British Telecom, T-Mobile, Ericsson, Samsung, Hyundai, Vodafone, СMA.

Популярность сертификации по стандарту ISO/IEC 27001:2013 растет и в странах СНГ, ЕАЭС, становясь обязательным условием выхода на международный рынок в сфере IT-решений и услуг.

В Республике Беларусь с 1 ноября 2004 г. стандарт приобрел статус Государственного стандарта в гармонизированной форме, идентичной международному стандарту. В Молдове благодаря позиции Национального Банка все банки с 2003 года проходят регулярную проверку на соответствие ISO/IEC 27001. В Российской Федерации первые сертификаты были выданы в 2007 году (6 организаций) и по данным сайта ISO к 2016 году выдано более 60 сертификатов на соответствие международному стандарту ISO/IEC 27001, в Украине выдано более 70 сертификатов. Таким образом можно говорить о растущей популярности внедрения стандарта ISO/IEC 27001.

Можно отметить также, что организации чаще всего предпочитают привлекать к процессу сертификации системы менеджмента международные органы по сертификации с признанными аккредитациями, такими как IAF, EA, IAS, UKAS и другие.

Внешние преимущества внедрения и сертификации по стандарту ISO/IEC 27001:

Кроме того стандарт позволяет получить преимущества от внедрения внутри компании:

Одной из явных выгод от внедрения СМИБ является его универсальная структура и возможность интеграции с:

Схожая структура стандартов позволяет сэкономить время и деньги, так как стала возможной реализация интегрированных политики и процедуры.

Внедрение стандарта также позволит существенно облегчить прохождение аудита по стандарту PCI DSS.

Международная организация по стандартизации совместно с Международной электротехнической комиссией разработала целую серию стандартов ISO/IEC 270..., созданных в помощь разработке и внедрению СМИБ в организации таких как:

Вашей компании нужен сертификат? Обращайтесь в Изи Штандарт!