Международный стандарт ISO/IEC 27001:2005 и ГОСТ Р ИСО 27001-2006

Информация — жизненная основа каждой организации, находится ли она в электронном формате или бумажной копии. Компании и организации должны предпринимать все разумные шаги, чтобы защитить целостность и конфиденциальность своей информации, что в свою очередь уменьшает риски и обеспечивает защиту бизнеса.

Международный стандарт ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования» разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799. Этот новый стандарт представляет собой дополнение к стандарту ISO/IES17799:2005 «Информационные технологии – Методы обеспечения безопасности – Практические правила управления информационной безопасностью».

Преимущества при внедрении ISO 27001:

• обеспечение конкурентного преимущества на рынке
• гарантии доверия со стороны клиента
• снижение рисков, связанных с возможными финансовыми потерями, наступающими в связи угрозами информационной безопасности (ИБ)
• соответствие законодательным требованиям
• повышение прозрачности процессов управления информационной безопасностью
• независимая оценка специалистами в области информационной безопасности
• доказательство выполнения требований действующих федеральных законов и нормативных документов в области ИБ
• демонстрация вашим клиентам, что Вы расцениваете информационное управление безопасностью своего бизнеса, как серьезную проблему

Разработка документации Системы Менеджмента Информационной Безопасности (СМИБ) должна включать:

• политику и цели в области информационной безопасности;
• область применения СМИБ;
• процедуры и средства управления в поддержку СМИБ;
• описание методологии оценки рисков;
• отчет по оценке рисков;
• план уменьшения рисков;
• процедуры, необходимые организации для обеспечения эффективного планирования, выполнения и управления ее процессами в области информационной безопасности и описывающие, как измеряется результативность средств управления;
• записи, требуемые стандартом;
• положение о применимости;
• перечень законодательных требований, которые применимы к информационным ресурсам организации.

Совместимость ISO/IEC 27001:2005 и ISO 9001:2008

• стандарт ИСО 27001 гармонизирован со стандартом СМК ИСО 9001:2008 и базируется на его основных принципах
• обязательные процедуры СМК требуются и Международным стандартом ISO/IEC 27001:2005
• структура документации СМИБ аналогична структуре СМК
• внедрение Международного стандарта ISO/IEC 27001:2005 на базе действующей системы менеджмента качества (СМК) по ISO 9001 предполагает значительное снижение издержек

ГОСТ Р ИСО 27001-2006 Настоящий стандарт предназначен для применения организациями любой формы собственности: коммерческими, государственными и некоммерческими (предприятия, банки, страховые компании и др.). Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности среди общих бизнес-рисков организации. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности.