Сегодня защита персональных данных и коммерческой информации имеет решающее значение, которое обеспечивает конкурентоспособность и достижение целей компании. Однако каждая компании подвержена угрозам и потенциальным рискам, несмотря на применение элементов управления информационной безопасностью. Для успешной реализации надежного подхода к управлению информационной безопасностью и повышению устойчивости организации необходимо выявить, оценить и обработать все возможные уязвимости, чему способствует международно-признанный стандарт ISO/IEC 27001.
Что такое ISO/IEC 27001?
Это серия стандартов, которая обеспечивает конфиденциальность информации в компании. Внедрение ISO/IEC 27001 будет способствовать безопасности такой информации, как финансовые данные, интеллектуальная собственность, сведения о сотрудниках или информацию третьих сторон.
Стандарт ISO/IEC 27001 представляет описания ведущих практик мира в сфере управления информационной безопасностью. Он предъявляет требования к системе менеджмента информационной безопасности (СМИБ) для защиты информационных ресурсов компании. Так, ISO/IEC 27001 создан для создания, внедрения, функционирования, мониторинга, анализа, поддержки и совершенствования СМИБ.
На протяжении 22 лет сертификационный аудит на соответствие системы менеджмента качества (СМК) требованиям стандарта ISO/IEC 27001 прошло свыше 48 тыс. организаций во всем мире. Данный стандарт является источником ведущих мировых практик для разработки систем управления, он применяем почти ко всем предприятиям, любой формы собственности, вида деятельности и вне зависимости от внешних условий предоставляет альтернативу выбора технологий.
Применение стандарта информационной безопасности в компании способствует защите от несанкционированного доступа к системам, в том числе и внутреннюю защиту от несанкционированного доступа сотрудников организации, авторизацию и аутентификацию. Кроме того, ISO/IEC 27001 защищает каналы передачи данных и обеспечивает актуальность информации и управление электронным документооборотом, а также внутренний и внешний аудиты системы информационной безопасности.
Главная цель СМИБ представляет собой выбор должных мер управления безопасностью, необходимых для сохранности информационных активов и обеспечивающих доверие заинтересованных лиц к компании.
Основное преимущество разработки и внедрения СМИБ это стабильность и надежность бизнеса, а именно: повышение доверия клиентов и партнеров к компании, международное признание и укрепление имиджа организации на внутреннем и внешнем рынках, предотвращение реальных угроз информационной безопасности, обеспечение конфиденциальности информации предприятия. Кроме того, выгоды от сертификации ISO/IEC 27001 заключаются в увеличении стоимости активов, а также в уменьшении страховых взносов. Еще одним преимуществом этого стандарта является снижение операционных издержек, предоставление организациям больше возможностей участия в крупных государственных контрактах и упрощение прохождения аудитов на соответствие стандартов PCI DSS (стандарт защиты информации в индустрии платежных карт) и ISO/IEC 20000–1 (стандарт для управления и обслуживания IT-сервисов).
Наличие сертификации СМИБ демонстрирует эффективное управление организацией благодаря четким критериям оценки услуг поставщиков и ответственности обеих сторон. Важнейшим конкурентным преимуществом является подтверждение того, что информационная безопасность предприятия способна удовлетворять потребности клиентов в долгосрочной перспективе, все возможные риски тщательно оценены и контролируются.
Оценка рисков или как сопоставить активы, угрозы и уязвимости
Идентификация риска – это только половина в оценке риска, и, чтобы упростить ее, необходимо составить список активов, потенциальных угроз и уязвимостей. Для активов стоит определить по пять угроз, а для угроз – по две возможности. В среднем выходит пятьсот рисков для компании с 5-10 активами, а это уже подлежит полной управляемости.
Вторая часть оценки риска заключается в расчете его величины. Он осуществляется благодаря оценке последствий, произошедших, если бы риск был реализован, и оценке вероятности, что риск будет оправдан.
Фото: РТ-Техприемка
Чтобы упростить оценку рисков необходимо составить методологию их оценки согласно требованиям ISO/IEC 27001, используя общепринятые подходы. Во-первых, надо обнаружить потенциальные риски, которые способны лишить конфиденциальности, целостности или доступности данных. Во-вторых, определить ответственных за риски. После этого необходимо рассчитать последствия и вероятность каждого риска. Следующим шагом станет определение расчета рисков, и наконец – нужно выбрать критерии обработки рисков.
Управляя рисками, вы создаете и распределяете ресурсы верным образом, с учетом не только потребностей компании, но и клиентов, партнеров и других заинтересованных лиц, получаете четкость ролей и согласованность действий в отношении рисков с целями компании.
Национальный стандарт безопасности
Аналогом стандарта ISO/IEC 27001 в России является его преемник, национальный стандарт ГОСТ Р ИСО/МЭК 27001. Совсем недавно документ получил обновление. Самой последней и актуальной его редакцией стал ГОСТ Р ИСО/МЭК 27001-2021. Это означает, что российские предприятия могут получить сертификат соответствия требованиям отечественной версии стандарта информационной безопасности.
Сегодня обновленный стандарт – это один из основополагающих национальных стандартов по управлению информационной безопасностью. Действовавшая ранее редакция стандарта 2006 года достаточно устарела и не давала специалистам использовать ее полноценно. Обновленный документ содержит актуальные и востребованные на практике технологии управления информационной безопасностью и данные о современных технических средствах защиты информации.
Фото: АО «123 авиационный ремонтный завод»
Компания «РТ-Техприемка» уже провела сертификационный аудит на соответствие требованиям стандарта информационной безопасности ГОСТ Р ИСО/МЭК 27001–2021 нескольких предприятий, среди которых – АО «121 авиационный ремонтный завод» и АО «123 авиационный ремонтный завод», входящие в АО «Авиаремонт» Объединенной авиастроительной корпорации (ОАК).
Важно понимать, что риск – это влияние неопределенности на цели, следовательно, управляя неопределенностью, можно значительно уменьшить риск для компании. Относительно стандарта ISO/IEC 27001 это значит, что информация под защитой и эффективно используется, чтобы способствовать достижению целей организации. Для того, чтобы своевременно предотвращать негативные обстоятельства и минимизировать нежелательные последствия необходимо разработать систему по выявлению, анализу и оценке всех потенциальных рисков.
