Інформаційна безпека за допомогою системи

Тема «Інформаційна безпека» стає все більш актуальною для компаній у ході цифрової трансформації. Без достатніх заходів безпеки існує ризик втрати і викрадення даних з боку хакерів, а також збою в бізнесі через атаки з Інтернет або неправильне використання даних. Одним із варіантів структурованого підходу є система управління інформаційною безпекою (ISMS - nformation Security Management System) відповідно до стандарту ISO 27001.

Наочна безпека даних та інформації

Безпека як частина корпоративної культури

Ефективне впровадження процесу ризик-менеджменту

Постійне підвищення рівня безпеки

Business10.png
Loading...

Що таке ISO 27001?

ISO/IEC 27001 є провідним міжнародним стандартом для впровадження цілісної системи управління інформаційною безпекою. Він зосереджений на ідентифікації, оцінці та управлінні ризиками для процесів обробки інформації. Безпека конфіденційної інформації підкреслюється як важливий стратегічний елемент.

Інформація оточує нас всюди і є частиною кожного процесу. Іноді це може бути незначущим, але дуже часто це критично й конфіденційно. Щоб скористатися цією важливою відмінністю для вашої організації, необхідно класифікувати інформацію. Це пояснюється тим, що захисні заходи системи управління інформаційною безпекою (СУІБ - ISMS) відповідно до ISO/IEC 27001 засновані на цій класифікації.

СУІБ створює основу для захисту оперативних даних та їх конфіденційності. Водночас визнаний у світі стандарт забезпечує доступність ІТ-систем, задіяних у корпоративних процесах. У цьому контексті сертифікація ISO 27001 посилає сильний сигнал ринку: а саме незалежну зовнішню оцінку та підтвердження ефективності вашої СУІБ.

З EN ISO/IEC 27001:2017-06 була опублікована версія, координована Європейським комітетом стандартизації (CEN). Вона поєднує два виправлення (корригенди) Cor 1:2014 та Cor 2:2015. Зміни, пов’язані з виправленням, включають лише покращений опис пов’язаних вимог, але не містять нових додаткових вимог. Таким чином, сертифікати відповідно до версії ISO/IEC 27001:2013 зберігають свою дію.

Показати більше
Показати менше
SEO19.png
Loading...

Кому підходить сертифікація за стандартом ISO 27001?

Стандарт ISMS ISO 27001 діє у всьому світі. Він надає компаніям усіх розмірів і галузей основу для планування, впровадження та моніторингу їх інформаційної безпеки. Вимоги поширюються на приватні та державні компанії, а також некомерційні організації.

У Німеччині, наприклад, компанії, які належать до сектору критичної інфраструктури (KRITIS) і перевищують поріг, повинні надати докази того, як вони забезпечують свою інформаційну безпеку. Сектори KRITIS включають енергетику, воду, охорону здоров'я, фінанси та страхування, харчування, транспорт і рух, інформаційні технології та телекомунікації. Відповідне підтвердження впровадження може бути надане аудитом безпеки, випробуванням або сертифікацією. Для цього в якості основи для аудиту можна використовувати визнані стандарти, наприклад ISO 27001, або галузеві стандарти безпеки, визнані Федеральним відомством інформаційної безпеки Німеччини (BSI).

Показати більше
Показати менше
Business11.png
Loading...

Чим корисний стандарт ISO 27001 для моєї компанії?

Впровадження СУІБ відповідно до ISO/IEC 27001 є стратегічним рішенням для вашої компанії. Свідоме виконання загальних вимог стандарту повинно відображати конкретну ситуацію в компанії. Реалізація в компанії залежить від потреб і цілей, вимог безпеки та організаційних процесів, а також розміру та структури компанії.

Особливо цінним для практики є виконання заходів, наведених у додатку А стандарту. На додаток до розділу вимог, орієнтованих на систему менеджменту (глави з 4 по 10), стандарт ISO містить розширений список із 35 цільових показників (контроль) із 114 конкретними заходами для широкого спектру аспектів безпеки в 14 розділах додатка А. Заходи мають здійснюватися в рамках системи управління. Ці заходи необхідно впроваджувати як частину системи управління, оскільки вони мають відношення до вашої компанії.

Було доведено, що послідовне узгодження процесів компанії з ISO 27001 дає ряд переваг:

  • Постійне підвищення рівня безпеки
  • Зменшення існуючих ризиків
  • Дотримання вимог відповідності
  • Підвищена обізнаність працівників
  • Підвищена задоволеність клієнтів

Внутрішні аудити та перевірки керівництва за участю вищого керівництва — це внутрішні важелі для досягнення цього.

Іншими позитивними моментами є те, що зміцнюється  рівень довіри до вашої компанії з боку зацікавлених сторін, таких як органи нагляду, страхові компанії, банки, компанії-партнери. Це пояснюється тим, що сертифікована система управління сигналізує про те, що ваша організація справляється з ризиками у структурований спосіб і підтримує постійне вдосконалення (CIP - continuous improvement), що робить її більш стійкою до небажаних впливів.

Міжнародний стандарт ISO/IEC 27001 також може бути запроваджений, експлуатований та сертифікований незалежно від інших систем управління, таких як ISO 9001 (менеджмент якості) або ISO 14001 (управління навколишнім середовищем).

Показати більше
Показати менше
Business36.png
Loading...

Хто має право проводити сертифікацію відповідно до ISO 27001?

Для сертифікації системи управління інформаційною безпекою відповідний орган сертифікації повинен бути акредитований відповідно до ISO/IEC 17021 і ISO/IEC 27006. ISO/IEC 17021 регулює теми, пов’язані з оцінкою відповідності, зокрема вимоги до інспекційних органів, які здійснюють аудит і сертифікацію системи управління.

Крім того, ISO/IEC 27006 визначає суворі вимоги, яким повинні відповідати органи сертифікації, щоб сертифікувати СУІБ відповідно до ISO 27001.

До них належать:

  • Докази зазначених зусиль аудиту
  • Вимоги до кваліфікації аудиторів

DQS акредитована національним німецьким органом з акредитації DakkS (Deutsche Akkreditierungsstelle GmbH) і тому уповноважена проводити аудит та сертифікацію відповідно до ISO 27001.

Незалежно від галузі, в якій працює ваша компанія, ви можете покладатися на відмінний досвід аудиторів DQS. Вони мають багаторічний досвід оцінки систем управління інформаційною безпекою в різних галузях.

Показати більше
Показати менше
Business28.png
Loading...

Як працює сертифікація ISO 27001?

Після виконання всіх вимог ISO 27001 ви можете отримати сертифікацію системи управління. Ви пройдете багатоетапний процес сертифікації в DQS. Якщо в компанії вже створена сертифікована система управління, процес можна скоротити.

На першому кроці ви обговорюєте з нами свою компанію та цілі сертифікації ISO 27001. На основі цього ви отримаєте детальну пропозицію з урахуванням індивідуальних потреб вашої компанії.

Зустріч з планування проекту може бути корисною для великих проектів, наприклад, для кращої координації графіків і виконання аудитів у кількох місцях або підрозділах. Попередній аудит дає вам можливість заздалегідь визначити сильні сторони та потенціал для покращення вашої системи управління. Обидві послуги є необов’язковими.

Сертифікаційний аудит починається з системного аналізу та оцінки вашої СУІБ (етап аудиту 1). Тут ваш аудитор визначає, чи достатньо розвинена ваша система управління та чи готова вона до сертифікації. На наступному кроці (етап аудиту 2) ваш аудитор оцінює ефективність усіх процесів управління на місці, застосовуючи стандарт ISO 27001. Результат аудиту представляється на підсумковому засіданні. При необхідності узгоджуються плани дій.

Після сертифікаційного аудиту результати оцінюються незалежною сертифікаційною радою DQS. Якщо всі вимоги стандарту будуть дотримані, ви отримаєте сертифікат ISO 27001.

Після успішної сертифікації ключові компоненти вашої СУІБ перевіряються на місці принаймні раз на рік для забезпечення постійного вдосконалення.

Сертифікат ISO 27001 дійсний максимум три роки. Повторна сертифікація проводиться завчасно до закінчення терміну дії, щоб забезпечити постійну відповідність застосовним вимогам стандарту. Після відповідності видається новий сертифікат.

Banking13.png
Loading...

Скільки коштує сертифікація ISO 27001?

Чотири критерії оцінки

Незважаючи на те, що аудит ISO 27001 має виконуватися відповідно до структурованих специфікацій, вартість залежить від різних факторів, таких як складність вашої організації. Тому для будь-якої компанії не може бути універсальної пропозиції.

Витрати на сертифікацію відповідно до ISO 27001 встановлюються відповідно до наступних чотирьох критеріїв:

1. Складність вашої системи управління інформаційною безпекою

Враховуються критичні цінності (наприклад, патенти, персональні дані, засоби, процеси) вашої компанії. Вартість сертифікації в першу чергу залежить від вимог інформаційної безпеки та ступеня впливу на конфіденційність, цілісність та доступність (CIA - confidentiality, integrity and availability) інформації.

2. Основна діяльність вашої компанії в рамках СУІБ

На цьому етапі ризики, зокрема пов’язані з вашими бізнес-процесами, відіграють важливу роль у визначенні необхідних заходів аудиту. Враховуються вимоги законодавства, а також складні індивідуальні вимоги замовника.

3. Основні технології та компоненти, які використовуються у вашій СУІБ

Під час аудиту перевіряються технологія, а також окремі компоненти вашої СУІБ. До них належать ІТ-платформи, сервери, бази даних, програми, а також сегменти мережі. Основне правило тут таке: чим вища частка стандартних систем і менша складність вашої ІТ, тим менші зусилля. Від цього також залежать витрати на сертифікацію ISO 27001.

4. Частка внутрішніх розробок у вашій СУІБ

Якщо внутрішніх розробок у вашій СУІБ немає і ви переважно використовуєте стандартизовані програмні платформи, зусилля для оцінки менші. Якщо ваша СУІБ характеризується інтенсивним використанням програмного забезпечення власної розробки і якщо це програмне забезпечення використовується для центральних бізнес-сфер, зусилля для сертифікації будуть більшими.

Щоб ми могли надати вам огляд витрат на сертифікацію СУІБ, нам заздалегідь потрібна точна інформація про вашу бізнес-модель і область застосування. Таким чином ми можемо надати вам індивідуальну пропозицію.

Показати більше
Показати менше
Business2.png
Loading...

Що ви можете очікувати від нас

  • Більше 35 років досвіду в сертифікації систем і процесів менеджменту
  • Аудитори та експерти з сильними технічними знаннями, досвідчені в галузі
  • Додаткова інформація про вашу компанію
  • Сертифікати з міжнародним визнанням
  • Експертиза та акредитація за всіма відповідними стандартами
  • Персональна, постійна підтримка наших спеціалістів - на регіональному, національному та міжнародному рівні
  • Індивідуальні пропозиції  з гнучкими умовами договору та без прихованих витрат
Loading...

Запит пропозиції

Ірина Поліщук

Ми будемо раді надати вам індивідуальну пропозицію щодо сертифікації вашої СУІБ за стандартом ISO 27001

Новий стандарт ISO/IEC 27001:2022 - ключові зміни

У цій публікації блогу DQS ви знайдете найважливішу інформацію про ключові зміни та доповнення до переглянутого стандарту ISO 27001:2022.

To the blog post