Рубеж обороны определяет ГОСТ Р ИСО 27001

gost-iso-r-27001

Последний ГОСТ Р ИСО 27001 выпущен по стандарту 2006 года.

После появления международного стандарта ISO 27001 2013 российские корифеи информационной безопасности (ИБ), отметив ряд новшеств, предположили замену в ближайшем будущем ГОСТ Р ИСО 27001 2006. Однако на январь 2015 года этого не произошло.

Введённый с января 2015 года стандарт ГОСТ Р ИСО/МЭК 27007-2014 определяет аудит систем менеджмента информационной безопасности на соответствие ИСО/МЭК 27001 2005, что равносильно ГОСТ Р ИСО 27001 2006.

В то же самое время ГОСТ Р ИСО/МЭК 27013 2014, который начнёт действовать с первых чисел сентября 2015 года, увязывается с ISO/IEC 27001 2013. Таким образом, можно всё-таки ожидать появление российского аналога ISO 27001 2013. Пока же продолжаем ориентироваться на ГОСТ Р ИСО 27001 2006.

Зачем нужен ГОСТ Р ИСО 27001?

Рассматриваемый стандарт представляет собой модель системы менеджмента информационной безопасности (СМИБ). Опираясь на эту модель, выполняется 4 основных шага или 7 действий производственного цикла:

На выходе должна возникнуть эффективная система над системой. Что такое «система над системой»? Только то, что в обычной фирме, которая не продаёт услуги по обеспечению ИБ, СМИБ не приносит прибыль, не улучшает производство, а сохраняет заработанное.

Что делает менеджмент с информационной безопасностью?

Так как ИБ и СМИБ это не одно и то же, то СМИБ сохраняет заработанное через управление ИБ. Последняя способна сама по себе снижать издержки, влиять на рост эффективности бизнес — процесса. Отсутствие прямой связи между эффективностью ИБ и прибылью создаёт эффект «замка на конюшне», который вешают после кражи всех лошадей.

Основной задачей ИБ является недопущение нанесения ущерба компании за счёт потери ценности её информационной собственности (активов). Сложившийся стереотип увязывает эти активы с информацией в электронной базе данных. Однако это не совсем так. Самая ценная информация часто находится просто в памяти сотрудников, поэтому так важно различать технические каналы передачи информации, электронные носители информации и саму информацию, требующую защиты.

Есть особенно эффективный метод получения информации, не используемый большинством менеджеров. Нужно просто пойти туда, где работают, и посмотреть, что там делается.
Эндрю Гроув

Обеспечение безопасности внутри подразделений фирмы напрямую связанных с информационной безопасностью – это профанация самой идеи ИБ.  СМИБ направлена в первую очередь на создание, поддержание оптимального функционирования с постоянным улучшением системы, которая охватывала бы сквозные процессы. Под ними понимаются процессы, пронизывающие группу отделов, подразделений компании. ГОСТ ИСО Р 27001 предлагает достаточно ясную политику по реализации основной цели ИБ.

Хотите узнать больше подробностей?

Оцените статью ПлохоБесполезноНеплохоПолезноОчень интересно
Похожие записи

СВЕЖИЕ ПУБЛИКАЦИИ

  • 6
    03.2017

    Выход ISO 45001 перенесен из-за противостояния могущественных международных организаций

    Право, неловко. Мы сообщали о скором выходе стандарта ISO 45001, который должен заменить нынешний стандарт управления охраной труда OHSAS 18001, говорили, что ждать его надо в конце 2016 года… Уж полночь близится, а Германа все нет. Пора признать — ISO 45001 задерживается. Правда, по уважительным причинам. У экспертного сообщества возникло слишком много вопросов к нему. […]

  • 19
    12.2016

    Почему нельзя использовать маркировку ISO на продукции — и как все-таки делать это?

    Двойственная статья намечается. Международная организация по стандартизации четко выразила свою позицию по поводу использования маркировки ее стандартов на продукции — ISO говорит «нельзя». Однако предприниматели хотят все-таки хотят делать это. Как им быть? Почему нет, собственно? Предыстория вопроса такова. Как вы понимаете, стандарты ISO не имеют непосредственного отношения к продукции, выпускаемой сертифицированными по ним предприятиями. […]

  • 6
    12.2016

    Принципы менеджмента качества ИСО. Коротко о главном. Часть последняя

    Добьем тему. В прошлой статье мы с вами начали разговор о восьми принципах СМК. Принципах, на которых строится любая система менеджмента качества. Наша цель в том, чтобы перевести эти принципы с языка бизнес-тренеров на человеческий язык. Чтобы из них можно было извлечь реальную пользу. Про ориентацию на потребителя — говорили. Говорили, как производить не «что-то […]

  • 18
    11.2016

    ISO 9001 — восемь принципов менеджмента качества. Суть вкратце. Часть первая

    Про менеджмент качества говорят многие. Но говорят почему-то так, что ничего в итоге непонятно. А значит, менеджмент качества остается словами. Слишком умными словами. Давайте переведем их на нормальный язык и поймем, чем принципы менеджмента качества реально помогают улучшить деятельность компании. Обойдемся без долгих прелюдий. Всего у актуальных сейчас систем менеджмента качества, самой популярной из которых […]

  • 3
    11.2016

    Бесплатно скачать стандарт ГОСТ Р ИСО 21500:2014 на русском языке

    Проектный менеджмент… Уверен, найдется немало людей, которые слишком долго общались со всевозможными бизнес-консультантами — и теперь от одного подобного словосочетания начинают испытывать легкую тошноту. Что делать? Давайте просто выбросим бизнес-консультантов из головы и изложим дело человеческим языком. Проектный менеджмент — это не обязательно человек в белой рубашке, который рисует сложные диаграммы и блок-схемы маркером на […]

  • 24
    10.2016

    ISO 16949:2009 — стандарт менеджмента качества автопрома

    Сколько уже сказано и спето о третьей российской беде, тесно связанной с двумя классическими — дорогами и дураками. По дорогам эта третья беда ездит, а дураки… слишком много дураков приложило к ней руку в процессе создания. Однако сейчас в этой сфере появляется все больше трезвомыслящих людей, готовых использовать ISO 16949 и менять ситуацию к лучшему. […]