Зачем в кризис готовиться к сертификации по ISO/IEC 27001

Зачем в кризис готовиться к сертификации по ISO/IEC 27001

Международный стандарт ISO/IEC 27001 вот уже как минимум последние 15 лет служит лучшей практикой для российских компаний по внедрению систем управления ИБ. Рассмотрим, какие преимущества получат организации при внедрении его актуальной версии ISO/IEC 27001:2013 «Information technology — Security techniques — Information security management systems — Requirements» в сложившихся кризисных условиях.

 

 

 

 

  1. Введение
  2. Из чего состоит стандарт
  3. Причина №1: Повышаем доверие к ИБ организации
  4. Причина №2: Выполняем требования регуляторов и обязательства перед контрагентами
  5. Причина №3: Оптимизируем расходы на информационную безопасность
  6. Чек-лист. Как подготовиться к внедрению стандарта ISO/IEC 27001
  7. Выводы

 

Введение

По нашим данным, каждый год в России и странах СНГ впервые успешно проходят сертификацию по стандарту ISO/IEC 27001 до 40 организаций. Около 90% из них подтверждают соответствие требованиям на ежегодной основе.

В разгар экономического кризиса внедрение стандарта может помочь компаниям решить немало насущных проблем: укрепить доверие партнёров и клиентов, упростить выход на новые рынки, оптимизировать расходы на информационную безопасность и не только. Разберёмся, почему сейчас самое время задуматься о сертификации по ISO/IEC 27001 и как к ней подготовиться.

 

Из чего состоит стандарт

В основной части стандарта описаны требования к системообразующим процессам, то есть областям управления ИБ в компании, например:

  • контекст организации (внутренние и внешние факторы, требования и ожидания заинтересованных сторон, релевантные для ИБ);
  • лидерство и ответственность руководства, определяющие обязанности топ-менеджмента в отношении ИБ;
  • ролевая структура управления ИБ;
  • действия в отношении рисков и возможностей;
  • поддержка системы управления ИБ, включая ресурсы, компетенции, осведомлённость и коммуникации;
  • оценивание производительности системы управления ИБ за счёт её мониторинга, проведения внутренних аудитов и обзоров результатов работы системы руководством;
  • непрерывное развитие системы управления ИБ за счёт работы с несоответствиями требованиям стандарта, а также с помощью введения показателей для измерения эффективности отдельных процессов и областей системы.

Весомую часть стандарта составляет «Приложение А», которое содержит цели и контрольные параметры информационной безопасности. Каждая организация определяет для себя их применимость и способы выполнения исходя из результатов оценки рисков ИБ, требования к которой описаны в основной части ISO/IEC 27001 (теле стандарта).

 

Причина №1: Повышаем доверие к ИБ организации

Мы часто сталкиваемся с заблуждением о том, что сертификаты соответствия ISO/IEC 27001 получают только высокотехнологичные компании с крупными ИБ-бюджетами. В действительности среди тех, кто успешно проходит сертификацию, встречается немало представителей среднего бизнеса из самых разных отраслей, в том числе фармацевтики, медицины, полиграфии и других. При этом организации, как правило, стремятся удержать старых клиентов и найти новых за счёт роста доверия к своей информационной безопасности, а также повысить шансы выйти на новые, международные рынки.

Тенденция последних лет такова, что соответствие ISO/IEC 27001 в основном подтверждают компании — разработчики программного обеспечения. При этом речь идёт об организациях совершенно разных масштабов. С чем это связано? Программные продукты можно предлагать пользователям по всему миру. К тому же наличие сертификата подтверждает соблюдение принципов безопасной разработки, которым в стандарте уделяется большое внимание. Поэтому уровень доверия к услугам по разработке ПО, сертифицированным на соответствие лучшим практикам в области ИБ, будет несомненно выше. Например, через полтора года после получения сертификата крупная ИТ-компания, для которой мы внедряли стандарт «под ключ», сообщила нам, что продвигать сертифицированную интернет-услугу на европейском рынке стало значительно проще.

Тем, кто уже работает на международном рынке и проводит IPO, наличие сертификата соответствия ISO/IEC 27001 значительно облегчает прохождение аудитов второй и третьей сторон. В первом случае обследование проводится по инициативе клиентов, поставщиков и прочих контрагентов, во втором — усилиями независимых компаний с соответствующими лицензиями (например, SOX-аудиты).

Сертификация снимает лишние вопросы на аудитах второй стороны и с тех, кто ориентирован исключительно на внутренний рынок. Так, в последнее время многие организации, будь то страховые компании, облачные провайдеры или разработчики ПО, отмечают, что всё большее внимание при таких проверках их клиенты уделяют ИТ- и ИБ-процессам. В результате на заполнение бесконечных анкет по этим темам уходит крайне много времени. Сертификат соответствия значимого бизнес-процесса или услуги требованиям ISO/IEC 27001, выданный органом по сертификации с международной аккредитацией, не оставляет сомнений в серьёзном отношении компании к ИБ и защите данных клиентов.

Недавно мы убедились в этом и на собственном опыте, когда внедрили стандарт в отношении процессов мониторинга и реагирования на инциденты ИБ и эксплуатации средств защиты для клиентов и наших внутренних потребностей. Получение сертификата способствовало росту интереса рынка к нашим экспертным сервисам ИБ и позволило нам не «просесть» по этой статье доходов в условиях кризиса.

 

Причина №2: Выполняем требования регуляторов и обязательства перед контрагентами

Внедрение ISO/IEC 27001 — отличный способ отладить выполнение всех требований, до которых ранее по разным причинам не доходили руки. Речь идёт как о соблюдении применимых к компании российских и международных законов, так и о выполнении контрактных обязательств по информационной безопасности перед контрагентами. Например, многие организации сегодня всё ещё пытаются разобраться в том, что такое GDPR, подпадают ли они под его требования и как их реализовать.

Приложение А стандарта содержит параметры контроля ИБ, внедрение которых не позволит компании упустить из виду применимое к ней международное и локальное законодательство. По нашему опыту организации, прошедшие сертификацию по ISO/IEC 27001, как правило, имеют чёткий план действий, нормативную базу, компетенции и другие ресурсы для обеспечения необходимого регуляторного соответствия.

Также внедрение стандарта помогает увидеть и проработать проблему, связанную с выполнением контрактных обязательств. Как показывает практика, обычно ИБ-подразделения не в курсе предъявления кем-либо из поставщиков или клиентов требований к организации по информационной безопасности. Представьте, каково бывает их удивление, когда они узнают о наличии таких контрактов от подразделений, занимающихся договорной деятельностью или экономической безопасностью, во время GAP-анализа перед внедрением стандарта. Так происходит из-за плохо налаженных коммуникаций между всеми участниками процесса взаимодействия с контрагентами, а ведь коммуникации — один из ключевых компонентов системы управления ИБ.

 

Причина №3: Оптимизируем расходы на информационную безопасность

Казалось бы, как ISO/IEC 27001 может помочь сэкономить ресурсы, ведь его внедрение и все сертификационные процедуры влекут за собой дополнительные затраты? С одной стороны, так и есть, с другой — эти затраты несоразмерны, например, с ежегодными расходами многих организаций на продление лицензий ПО, количество которых в сегодняшних реалиях, возможно, имеет смысл сократить — или вовсе подумать о переходе на свободно распространяемые решения.

Проведение оценки рисков ИБ, являющейся фундаментом ISO/IEC 27001, помогает понять размеры потенциальных финансовых и репутационных потерь. Существует много различных подходов к её выполнению — эта тема стоит отдельного обсуждения. Пожалуй, самый популярный способ заключается в том, чтобы собраться коллегиально с представителями ИБ, ИТ и руководителями бизнес-подразделений и разобраться, чем организация сегодня реально пользуется, что ей необходимо, а от чего можно отказаться. Важно совместно проанализировать последствия такого отказа или замены одного ПО на другое и принять консолидированное решение. Эта техника из IEC 31010:2019 называется «мозговым штурмом» (brainstorming). Если задаться целью и проделывать такое упражнение на регулярной основе, то уже через год компания увидит положительный эффект в виде оптимизации расходов на ИБ, ИТ и другие поддерживающие функции организации и перераспределения их на более значимые направления в каждый конкретный период времени. С точки зрения ISO/IEC 27001 важно делать это последовательно, воспроизводимым образом, документируя результаты выполненных действий.

 

Контрольный список. Как подготовиться к внедрению стандарта ISO/IEC 27001

Напоследок поделюсь несколькими рекомендациями, которые будут полезны всем, кто найдёт в перечисленных выше причинах свои. Итак, последовательность шагов, которые необходимо сделать для подготовки к внедрению стандарта, выглядит следующим образом:

  • Выбрать бизнес-процесс или услугу для сертификации. Их может быть и несколько: например, сразу все фронт-офисные процессы. Главное, чтобы они являлись ключевыми для бизнеса компании, в противном случае внедрение стандарта не даст ощутимого бизнес-эффекта. Не стоит сертифицировать процессы ИБ, если они не связаны с основной деятельностью компании, приносящей ей доход.
  • Понять, сколько человек задействовано как непосредственно в обеспечении выполнения выбранного бизнес-процесса или предоставлении услуги, так и опосредованно. Примерами такого непрямого участия могут быть сотрудники внутренней ИТ-службы, которые обеспечивают функционирование информационных систем, автоматизирующих выбранный к сертификации бизнес-процесс, внутренняя ИБ-служба, HR-подразделение, юристы и т. д.
  • Оценить ресурсы, которые могут понадобиться для реализации проекта по внедрению ISO/IEC 27001: человеческие (например, компетенции), материальные (допустим, иметь чёткий бюджетный план), временные (скажем, учесть ожидания заинтересованных сторон по срокам получения сертификата).
  • Определиться, будет ли компания внедрять стандарт самостоятельно или с привлечением сторонних специалистов — консультантов либо интеграторов.
  • Выбрать аккредитованный орган, в котором компания хочет сертифицироваться, и отправить ему запрос на предоставление калькуляции соответствующих услуг. Сегодня наиболее популярными в России и странах СНГ являются BSI, BV, DNV, Lloyd's Register, «Русский Регистр» и другие.
  • В случае выбора подготовки с привлечением консультантов или интеграторов необходимо запросить у выбранной организации расчёт стоимости внедрения стандарта.
  • При выборе самостоятельной подготовки следует пройти обучающие курсы по внедрению стандарта. Их на регулярной основе проводят как органы по сертификации, так и различные учебные центры по направлению ИБ.

 

Выводы

Внедрение ISO/IEC 27001 не является неподъёмной задачей. Её решение помогает организациям достичь баланса интересов бизнеса и ИБ, повысить уровень зрелости процессов ИБ, найти возможности сэкономить бюджет и удовлетворить потребности и ожидания заинтересованных сторон, тем самым повышая уровень их доверия.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru