Информация в наше время приобретает все большую ценность. От надежной защиты базы данных зависит не просто экономический успех бизнеса, но и в целом его существование. На защитные механизмы и программы компании уделяют более пристальное внимание и выделяют немалые ресурсы.
Организация, которая гарантирует конфиденциальность информации, рассматривается потенциальными партнерами как более благонадежная и приоритетная для сотрудничества.
Внедрение на предприятии системы менеджмента информационной безопасности (далее — СМИБ) в значительной мере помогает достичь нужного результата, стать конкурентным участником рынка.
Именно как модель для разработки и внедрения такой системы информационной безопасности представлен международный стандарт ISO/IEK 27001:201 или его российский аналог ИСО/МЭК 27001-2006. Документ носит рекомендательный характер и применяется на добровольной основе.
Для кого актуально внедрение СМИБ?
Применение системы управления в части защиты информации наиболее востребовано для организаций, оказывающих услуги в области:
- развития IT-отрасли;
- разработки программного обеспечения и нормативно-технической документации;
- образования, науки и медицины;
- защиты авторского права и интеллектуальной собственности;
- различных исследований и изысканий.
Также внедрение СМИБ требуется для компаний, которые сотрудничают с Министерством обороны и выпускают продукцию военного назначения. Эффективное использование данной системы менеджмента позволяет сократить вероятность утечки информации, улучшить защиту от потенциальных кибератак, предупредить несанкционированный доступ к персональным данным фирмы.
Основные цели добровольной сертификации СМИБ
Получить сертификат ISO 27001 может любая компания, которая внедрила систему информационной безопасности в соответствии с рекомендациями заданного ГОСТа. Стандарт включает описание терминов и используемых понятий, подробно описывает основные этапы и требования к процессу разработки и внедрения комплексной модели управления, оценки ее эффективности, проведения корректирующих мероприятий, возможный путей усовершенствования работы фирмы.
Выдача сертификата ИСО 27001 свидетельствует о том, что все указанные в стандарте рекомендации выполнены, исполняются на должном уровне. Наличие добровольного документа, который подтверждает эффективное применение СМИБ в работе, значительно повышает доверие контрагентов к фирме, способствует укреплению деловой репутации и формированию положительного имиджа, расширению клиентской базы, улучшению инвестиционной привлекательности и росту капитализации.
Основные этапы оформления сертификата и перечень необходимых документов
Если предприятие разработало, внедрило СМИБ в свою деятельность и намерено подтвердить это документально, инициируется независимая оценка. Для этого руководству фирмы необходимо обратиться в специализированную организацию с письменной заявкой и комплектом базовой документации. Стандартный перечень содержит:
- копии свидетельств — ОГРН, ИНН;
- устав/ учредительный договор;
- коды деятельности;
- имеющиеся лицензии, допуски, нотификации и т.п. (при необходимости);
- документы, которые непосредственно относятся к созданию и функционированию СМИБ (положения, инструкции, приказы, сведения о персонале, информация об используемых средствах защиты информации с соответствующими сертификатами и пр.).
Специалистами аккредитованного органа проводится комплексная проверка представленных сведений, при необходимости осуществляется выезд на объект, оценивается степень соответствия действующей СМИБ положениям ГОСТ Р ИСО/МЭК 27001 и принимается решение о выдаче сертификата.
Документ оформляется на типографском бланке той независимой системы, в рамках которой проводилась проверка. В нем обязательно содержатся данные о заявителе, добровольной системе сертификации, аккредитованном органе, сроке действия сертификата (максимум 3 года). Если документ выдается в рамках российского стандарта, то действует только на территории России.
Следует отметить, что ежегодно сертификационный орган, который проводил проверку, проводит контроль над функционирующей системой менеджмента. Это позволяет отследить, что созданные условия соблюдаются, а модель управления защитой информации на предприятии остается на должном уровне, а любые действия или изменения в структуре или работе фирмы отражаются документально.
Стоимость услуг, как и сроки проведения всех сертификационных мероприятий, зависят от особенностей объекта и вида деятельности заявителя, комплектности представленной документации, сложности и трудоемкости проверочных работ и других факторов.