Что такое СМИБ ГОСТ Р ИСО/МЭК 27001-2006

Международный стандарт ISO/IEC 27001:2013 «Системы менеджмента информационной безопасности. Требования» разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799. Стандарт устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации. Требования данного стандарта имеют общий характер и могут быть применимы ко всем организациям, не зависимо от их типа, размера, формы собственности.

По стандарту ISO/IEC 27001:2013 проводится сертификация системы управления информационной безопасностью.

Сейчас существует большой перечень стандартов, основные из них:

  1. ISO/IEC 27000:2009 «Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Обзор и словарь»;
  2. ISO/IEC 27001:2013 (ГОСТ Р ИСО/МЭК 27001-2006) «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;
  3. ISO/IEC 27002:2005 «Информационные технологии. Свод правил по управлению защитой информации»;
  4. ISO/IEC 27003:2010 «Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению системы менеджмента информационной безопасности».

Внедренная и сертифицированная система менеджмента информационной безопасности позволяет:

  • Определить основные угрозы безопасности для бизнес-процессов;
  • Повысить уровень защищенности для внешних угроз;
  • Демонстрировать способность организации управления информационными рисками.

Выгоды от внедрения:

  • повышение доверия клиентов, партнеров и других заинтересованных сторон;
  • повышение стабильности функционирования организаций;
  • получение международного признания и укрепление имиджа компании на внутреннем и внешнем рынке;
  • достижение адекватности мер по защите от реальных угроз информационной безопасности;
  • предотвращение и(или) снижение ущерба от инцидентов информационной безопасности;
  • демонстрация определенного уровня информационной безопасности для обеспечения конфиденциальности информации заинтересованных сторон;
  • увеличение стоимости нематериальных активов, уменьшение страховых взносов, что делает ценность компании более высокой;
  • снижение операционных издержек и исключения «перекрестного» финансирования в рамках единой СМИБ;
  • расширение возможностей участия компании в крупных государственных контрактах;
  • может существенно облегчить прохождение аудитов на соответствие PCI DSS, ISO/IEC 20000-1.