Что такое СМИБ ГОСТ Р ИСО/МЭК 27001-2006
Международный стандарт ISO/IEC 27001:2013 «Системы менеджмента информационной безопасности. Требования» разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799. Стандарт устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации. Требования данного стандарта имеют общий характер и могут быть применимы ко всем организациям, не зависимо от их типа, размера, формы собственности.
По стандарту ISO/IEC 27001:2013 проводится сертификация системы управления информационной безопасностью.
Сейчас существует большой перечень стандартов, основные из них:
- ISO/IEC 27000:2009 «Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Обзор и словарь»;
- ISO/IEC 27001:2013 (ГОСТ Р ИСО/МЭК 27001-2006) «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;
- ISO/IEC 27002:2005 «Информационные технологии. Свод правил по управлению защитой информации»;
- ISO/IEC 27003:2010 «Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению системы менеджмента информационной безопасности».
Внедренная и сертифицированная система менеджмента информационной безопасности позволяет:
- Определить основные угрозы безопасности для бизнес-процессов;
- Повысить уровень защищенности для внешних угроз;
- Демонстрировать способность организации управления информационными рисками.
Выгоды от внедрения в Дрезне:
- повышение доверия клиентов, партнеров и других заинтересованных сторон;
- повышение стабильности функционирования организаций;
- получение международного признания и укрепление имиджа компании на внутреннем и внешнем рынке;
- достижение адекватности мер по защите от реальных угроз информационной безопасности;
- предотвращение и(или) снижение ущерба от инцидентов информационной безопасности;
- демонстрация определенного уровня информационной безопасности для обеспечения конфиденциальности информации заинтересованных сторон;
- увеличение стоимости нематериальных активов, уменьшение страховых взносов, что делает ценность компании более высокой;
- снижение операционных издержек и исключения «перекрестного» финансирования в рамках единой СМИБ;
- расширение возможностей участия компании в крупных государственных контрактах;
- может существенно облегчить прохождение аудитов на соответствие PCI DSS, ISO/IEC 20000-1.
