Международный стандарт ISO/IEC 27001:2005

Международный стандарт ISO/IEC 27001:2005 «Информационные технологии – Методы защиты – Системы менеджмента информационной безопасности – Требования» разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799-2:2002. 

 

Стандарт устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности (далее – СМИБ) в контексте существующих бизнес-рисков организации.

Требования данного стандарта имеют общий характер и могут быть применимы ко всем организациям независимо от их типа, размера, формы собственности.

Стандарт ISO/IEC 27001:2005 устанавливает требования к СМИБ для демонстрации способности организации защищать свои информационные ресурсы.

Проводится официальная сертификация СМИБ на соответствие стандарту ISO/IEC 27001:2005.

Сертифицированная СМИБ – гарантия того, что система управления информационной безопасностью правильно и эффективно внедрена в область (области) деятельности организации. А эффективная СМИБ, в свою очередь, обеспечивает необходимый уровень защиты активов организации, т.е. существенно снижает риск нанесения организации ущерба вследствие нарушения информационной безопасности и гарантирует, что меры и средства защиты информации являются адекватными и пропорциональными возможному ущербу организации.

В приложении А стандарта приведен перечень минимальных требований из стандарта ISO/IEC 17799:2005 «Информационные технологии – Методы защиты – Практическое руководство для управления системой защиты информации» к обеспечению безопасности, которые должны быть выполнены в организации.

Основные положения стандарта

Понятие информационной безопасности

Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».

Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).

Целостность – обеспечение точности и полноты информации, а также методов ее обработки.

Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Для разработки СМИБ организация должна выполнить следующие шаги:

  1. Определить область применения СМИБ.
  2. Разработать Политику информационной безопасности.
  3. Определить (разработать) подход к оценке рисков.
  4. Идентифицировать риски.
  5. Проанализировать и оценить риски.
  6. Принять решения по обработке рисков:
  • применить к риску соответствующие средства управления;
  • принять риск в соответствии с разработанными критериями принятия рисков;
  • уйти от риска (избежать риска);
  • передать риск другой стороне (например, страховой компании, поставщику).
  1. Выбрать средства управления, которые можно применить для уменьшения рисков. При выборе средств управления должны учитываться критерии принятия рисков, законодательные требования, договорные требования.
  2. Получить согласие руководства по остаточным рискам.
  3. Подготовить Положение о применимости – один из обязательных документов СМИБ.

Документация СМИБ

Документация СМИБ должна включать:

                        Политику и цели в области информационной безопасности;

                        Область применения СМИБ;

                        Процедуры и средства управления в поддержку СМИБ;

                        Описание методологии оценки рисков;

                        Отчет по оценке рисков;

                        План уменьшения рисков;

Процедуры, необходимые организации для обеспечения эффективного планирования, выполнения и управления ее процессами в области информационной безопасности и описывающие, как измеряется результативность средств управления

Перечень законодательных требований, которые применимы к информационным ресурсам организации.

Совместимость с другими стандартами на системы менеджмента

Стандарт совместим с такими стандартами, как ISO 9001:2000 и ISO 14001:2004. Если в организации уже внедрены системы менеджмента в соответствии с данными стандартами, то предпочтительно обеспечивать выполнение требований стандарта ISO 27001 в рамках существующих систем менеджмента.

Основные преимущества, достигаемые при внедрении стандарта ISO/IEC 27001:2005

Сертификация на соответствие стандарту позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в организации налажено эффективное управление информационной безопасностью.

Внедрение стандарта в мире

На сегодняшний день в мире выдано более чем 4 500 сертификатов по стандарту ISO/IEC 27001:2005 (BS 7799-2:2002).

Из самых известных компаний, которые уже прошли официальную сертификацию по стандарту ISO/IEC 27001:2005 (BS 7799-2:2002), можно назвать следующие: CANON, Fuji, Xerox, Fujitsu, Hitachi, Mitsubishi Electric, NEC, Sony, Toshiba, Federal Reserve Bank of New York, Telecom Italia, Japan Telecom, подразделения Siemens, British Telecom, T-Mobile, Ericsson, Samsung, Hyundai, Vodafone, СMA.

Стандарт в странах СНГ

Украина: высокая заинтересованность к внедрению СМИБ проявляется со стороны банковской сферы, крупных промышленных предприятий, телекоммуникационных компаний, компаний, предоставляющих консалтинговые услуги в сфере информационной безопасности и защиты. Ведется разработка национального стандарта ДСТУ ISO/IEC 27001.

Беларусь: международный стандарт ISO/IEC 17799:2000 «Information technology and security – Code of practice for information security managment» получил официальное признание в виде предстандарта СТБ П ИСО/МЭК 17799-2000/2004 «Информационные технологии и безопасность. Правила управления информационной безопасностью» и представляет собой идентичный перевод международного стандарта. Предстандарт вводится в действие с 1 ноября 2004 года по 1 ноября 2006 года.

Молдова: благодаря позиции Национального Банка все банки с 2003 года проходят регулярную проверку на соответствие ISO 17799:2005. На сегодняшний день в этой стране сертифицирована одна компания − «Сompudava SRL».

Россия: растущее количество предложений по обучению и сертификации на соответствие стандарту свидетельствует о повышенном интересе к этому вопросу. По состоянию на февраль 2007 года сертифицировано 6 компаний: компании CMA Small Systems AB, CROC Incorporated получили сертификат соответствия стандарту BS ISO 7799-2:2002, а компании Lukoil-Inform, Luxsoft, Multiregional TransitTelecom, Rosno – сертификаты соответствия стандарту ISO/IEC 27001:2005. В 2006 году вышел ГОСТ 17799 и с февраля 2008 года вступает в силу ГОСТ 27001.

Армения: компания LLYNX BV была сертифицирована KEMA Quality BV на соответствие стандарту ISO/IEC 27001:2005.