Внедрение системы управления информационной безопасностью (СУИБ) ISO/IEC 27001:2013

Информационная безопасность – это состояние ИТ-инфраструктуры предприятия, при котором обеспечивается конфиденциальность, доступность и целостность информации на требуемом для бизнеса уровне.

Внедрение единичных технических мер обеспечения информационной безопасности, например, антивируса или межсетевого экрана, позволяет организации защититься от определенных угроз безопасности, но оставляет не закрытыми множество других угроз.

Любая система безопасна настолько, насколько безопасно ее наиболее слабое звено, поэтому, создание защищенной информационной инфраструктуры – сложная организационно-техническая задача, требующая комплексного и разностороннего подхода.

Стандарт информационной безопасности ISO/IEC 27001:2013 описывает комплексную модель безопасности, основанную на передовом международном опыте, учитывающую все аспекты безопасности, необходимые для надёжной защиты информационной инфраструктуры. Кроме того, стандарт регламентирует необходимость оценки рисков и выбор мер обеспечения безопасности, адекватных рискам.

Согласно международному стандарту ISO/IEC 27001:2013, Система Управления Информационной Безопасностью (СУИБ) – это «часть общей системы управления организации, основанной на оценке бизнес рисков, которая создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности».

Внедрение СУИБ в соответствии с требованиями стандарта ISO/IEC 27001:2013 включает:

• Проведение аудита информационной безопасности
• Создание рабочей группы управления информационной безопасностью
• Определение области действия системы управления информационной безопасностью
• Выявление и оценку рисков информационной безопасности
• Определение механизмов контроля из перечня ISO/IEC 27001:2013 (разработка документа Statement of applicability)
• Разработку и внедрение документации СУИБ, технических мер, и процессов обеспечения, мониторинга и управления информационной безопасностью.