ISO 27001: какой путь лучше? 27.08.2021 10:48Внедрение технических средств защиты информации в корпоративную сеть – лишь одна из мер на пути к построению комплексной системы информационной безопасности. Установку антивирусов, межсетевых экранов, средств обнаружения вторжений и т. д. образно можно сравнить со строительством оборонительных башен и стен. Но если на башнях не разместить дозорных, не утвердить единых правил дежурств, несения караула, пропуска гостей через ворота, оповещения при нештатных ситуациях, то выстроенные сооружения останутся грудой камней при первой же атаке неприятеля.
Система управления информационной безопасностью (СУИБ) выполняет схожую функцию: она служит для объединения всех применяемых защитных и организационных мер в управляемый комплекс, соответствующий уровню актуальных угроз и позволяющий достигать цели – обеспечения информационной безопасности – на уровне всей компании.
Международный стандарт ISO/IEC 27001 описывает требования для создания, развития и поддержания системы управления информационной безопасностью и подробно разъясняет, какие преимущества она дает компании. Это и соблюдение законов и других нормативных актов, и соответствие требованиям корпоративного управления и непрерывности бизнес-процессов, и обеспечение конкурентных преимуществ в глазах клиентов (которым будет демонстрироваться, что защита их информации является первостепенной задачей для компании), и подтверждение наличия политики риск-менеджмента в области ИБ, и регулярная оценка, контроль эффективности, своевременные обновления, и, наконец, повышение компетентности персонала в области ИБ.
Последний пункт требует пояснения. Большое количество инцидентов ИБ связано с человеческим фактором, поэтому важно, чтобы персонал понимал необходимость соблюдения соответствующих правил. СУИБ включает в себя управление человеческими ресурсами, что позволяет поддерживать необходимый для бизнеса уровень осведомленности сотрудников.
Сертификация СУИБ по международному стандарту ISO/IEC 27001 подтверждает высокое качество предоставляемых услуг и обеспечивает выгоду как самой компании, так и другим заинтересованным сторонам – потребителям, собственникам и инвесторам. Но прежде чем говорить о плюсах, необходимо привести саму СУИБ в соответствие требованиям стандарта.
Автор Алена Колобова
