Услуги в области обеспечения соответствия ISO 27001
Применение риск-ориентированного подхода к построению системы управления информационной безопасностью (далее – СУИБ) на базе общепризнанного международного стандарта ISO/IEC 27001 позволяет создать интегрированную в общую систему управления организации инфраструктуру безопасности, учитывающую бизнес-требования и цели организации. Стандарт устанавливает требования к «контролям» безопасности (контроль – процесс, обеспечивающий достижение системой поставленных целей), подлежащим внедрению в соответствии с индивидуальными потребностями организации.
«ДиалогНаука» является действующим участником Программы ассоциированных консультантов BSI ACP и оказывает услуги по разработке и внедрению СУИБ.
Каждая организация может преследовать разные цели при внедрении СУИБ, например:
- создание внутреннего инструмента для эффективного управления информационной безопасностью и принятия тактических и/или стратегических решений;
- создание конкурентных преимуществ товара и/или услуг организации с точки зрения информационной безопасности (маркетинг);
- демонстрация деловым партнерам приверженности принципам информационной безопасности;
- необходимость соблюдения требований контрактов и условий тендеров (требования клиентов / заказчиков / партнеров по защите информации).
В соответствии со стандартом ISO/IEC 27001 СУИБ должна создаваться таким образом, чтобы обеспечить выбор адекватных и соразмерных мер по обеспечению информационной безопасности. Меры должны быть направлены на поддержание определенных владельцами информационных активов свойств безопасности (конфиденциальности, целостности и/или доступности) и обеспечение заданного «целевого» уровня информационной безопасности.
Для определения текущего уровня зрелости процессов в рамках СУИБ организации может проводиться аудит информационной безопасности (оценка текущего уровня соответствия требованиям международного стандарта ISO/IEC 27001).
Все работы по созданию и внедрению СУИБ можно разбить на следующие основные этапы:
- определение области действия СУИБ;
- проведение обследования с целью идентификации и классификации информационных активов, входящих в область действия СУИБ;
- проведение оценки и анализа рисков информационной безопасности;
- разработка политики информационной безопасности организации;
- определение защитных мер контроля и их обоснование для минимизации рисков (выбор средств контроля);
- разработка нормативно-методических документов, формализующих процессы обеспечения информационной безопасности в рамках СУИБ;
- внедрение процессов СУИБ;
- проведение контрольного аудита информационной безопасности на соответствие требованиям ISO / IEC 27001;
- подготовка к сертификации СУИБ компании на соответствие требованиям стандарта ISO 27001.
«ДиалогНаука» может выполнить любые этапы работ, связанные с построением системы управления информационной безопасностью и подготовкой её к последующей сертификации в случае необходимости.