GlobalTrust: Как получить сертификат ISO 27001

В настоящей статье мы рассмотрим основные моменты, связанные с получением организацией сертификата ISO 27001, чтобы помочь широкой аудитории сориентироваться в данном вопросе.

ISO/IEC 27001 — международный стандарт системы менеджмента информационной безопасности. Он устанавливает общие требования по созданию, внедрению, поддержке и постоянному улучшению системы менеджмента информационной безопасности в контексте деятельности организации. Также стандарт содержит требования по оценке и обработке рисков информационной безопасности с учётом потребностей организации. Стандарт носит универсальный характер. Он может применяться практически к любому типу организации, вне зависимости от формы собственности, рода деятельности, размера и внешних условий.

Действующая редакция стандарта ISO 27001

В октябре 2022 года была опубликована 3-я редакция международного стандарта ISO/IEC 27001:2022 «Информационная безопасность, кибербезопасность и защита конфиденциальности — Система менеджмента информационной безопасности — Требования». В Российской Федерации в настоящее время действует национальный стандарт ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», который идентичен 2-й (предыдущей) редакции международного стандарта ISO/IEC 27001:2013.

Для российских организаций, работающих на внутренний рынок, приоритет имеет сертификация систем менеджмента информационной безопасности (СМИБ) по требованиям национального стандарта, поэтому далее под сертификацией по ISO 27001 подразумевается сертификация на соответствие российскому аналогу ISO 27001 – национальному стандарту РФ ГОСТ Р ИСО/МЭК 27001-2021. Однако следует учитывать, что сертификаты ГОСТ Р ИСО/МЭК 27001-2021 скорее всего не будут признаваться за пределами РФ.

Для чего нужен сертификат ISO 27001

Сертификат ISO 27001 на практике вряд ли может в полной мере гарантировать реальную безопасность организации, однако он подтверждает соответствие внедрённой в организации СМИБ требованиям стандарта. Соответствие стандарту также подтверждает, что организация внедрила систему управления рисками информационной безопасности, и что в этой системе соблюдены все лучшие практики и принципы, закреплённые в стандарте. Это необходимо для обеспечения надёжной защиты данных и снижения рисков, связанных с их утечкой или несанкционированным доступом.

Получая сертификат ISO 27001 организации обычно ставят перед собой слеющие цели:

• Повышение доверия клиентов и партнёров. Сертификат демонстрирует приверженность компании высоким стандартам информационной безопасности.
• Возможность участия в тендерах на приоритетных условиях.
• Снижение рисков и затрат, связанных с инцидентами информационной безопасности.
• Удовлетворение требований законодательства и нормативных актов (например, законодательства о лицензировании деятельности в области защиты информации).
• Улучшение репутации и конкурентоспособности компании.
• Получение возможности работать с государственными организациями (например, по направлению защиты государственной тайны).
• Выполнение требований некоммерческих партнёрств и СРО.
• Содействие в получении различных разрешений и допусков.
• Выход на международный рынок (при условии прохождения сертификации ISO 27001 в международно признанной системе сертификации).

Когда обязательно получать сертификат ISO 27001

В большинстве случаев получение сертификата ISO 27001 является добровольным. Однако в некоторых случаях он может быть обязательным условием для осуществления определенных видов деятельности (и перечень таких видов деятельности имеет тенденцию к постоянному раширению), например:

• Для экспорта программного продукта. Наличие сертификата ISO 27001 — непременное условие при поставках ПО в другие страны.
• Для участия в государственных закупках и тендерах. Особенно часто это требование встречается, если заказчик — государственная организация. Однако и частные компании все чаще включают требование к наличию сертификата ISO 27001 в тендерную документацию.
• Для получения доступа к определённым уровням секретности. Например, если организация сотрудничает с государственными органами и ей нужен доступ к определённым уровням секретности.

Также в некоторых случаях клиенты могут требовать наличия сертификата ISO 27001 от своих поставщиков и подрядчиков как подтверждения соответствия международному стандарту.

Как подготовится к сертификации по ISO 27001

Не вдаваясь в подробности, перечислим основные шаги, необходимые для подготовки к сертификации по ISO 27001:

1. Определить область действия СМИБ, выносимую на сертификацию. Для этого надо выбрать бизнес-процессы или услугиявляющиеся ключевыми для бизнеса компании.
2. Определить круг лиц (из числа работников организации и третьих сторон), задействованных в обеспечении выполнения выбранных бизнес-процессов или предоставлении услуг.
3. Оценить ресурсы, которые могут понадобиться для реализации проекта по внедрению ISO 27001, включая человеческие ресурсы (например, компетенции), материальные (чёткий бюджетный план), временные (учесть ожидания заинтересованных сторон по срокам получения сертификата).
4. Определиться, будет ли компания внедрять стандарт самостоятельно или с привлечением сторонних специалистов консультантов (интеграторов).
5. Выбрать аккредитованный орган по сертификации и отправить ему запрос на предоставление калькуляции соответствующих услуг.
6. При выборе самостоятельной подготовки следует пройти обучающие курсы по внедрению стандарта. Их на регулярной основе проводят как органы по сертификации, так и различные учебные центры по направлению ИБ.
7. Разработать организационно-распорядительную документацию, отражающую процессы и процедуры управления информационной безопасностью. Это могут быть политики, положения, процедуры, регламенты, инструкции, формы отчетности и другие документы, необходимые для эффективного функционирования СМИБ.
8. Провести обучение сотрудников по вопросам информационной безопасности и требований стандарта ISO 27001 в контексте разработанной документации СМИБ. Чем лучше сотрудники понимают свою роль в обеспечении безопасности информации, тем более эффективно будет функционировать СМИБ.
9. Провести предварительную проверку (аудит) со стороны независимых экспертов или аудиторов для выявления возможных недочётов и корректировки СМИБ.

Для более подробной консультации по подготовке к сертификации рекомендуется обратиться к специалистам. Например, GlobalTrust была одной из первых российских компаний, начавших предоставлять услуги по внедрению СМИБ и подготовки к сертификации по ISO 27001, а также одним из первых партнеров в России Британского института стандартов (BSI), являющегося основным разработчиком международного стандарта ISO 27001.

Подробнее о внедрении и сертификации СМИБ можно почитать на сайте GlobalTrust, а также в разделе статей Менеджмент безопасности и рисков на портале InfoSecPortal.ru.

Как выбрать орган по сертификации

В настоящие время в России имеется достаточно большое количество органов по сертификации, выдающих сертификаты ISO 27001. Однако следует позаботиться, чтобы полученный организацией сертификат имел официальный статус. Для этого, при выборе органа по сертификации ISO 27001 стоит обратить внимание на наличие государственной аккредитации в Федеральной службе по аккредитации (ФСА). Также важно, чтобы орган проводил процедуру сертификационного аудита в системе сертификации, зарегистрированной в Росстандарте.

Процедура получения сертификата ISO 27001

Процедура сертификации ISO 27001 регламентируется системой сертификации и зарегистрированными в ней органами по сертификации. Как правило, для получения сертификата ISO 27001 необходимо пройти несколько этапов:

1. Предварительная консультация. На этом этапе можно получить бесплатную консультацию в органе по сертификации.
2. Заполнение заявки на сертификацию и ее отправка в орган по сертификации.
3. Подготовка необходимой документации. Список документов орган по сертификации огласит на этапе консультации.
4. Подписание договора и оплата за сертификацию.
5. Процесс сертификации. Может включать в себя предварительных аудит и несколько этапов основного сертификационного аудита, в зависимости от выбранной схемы сертификации.
6. Внесение сертификата в реестр системы сертификации (в случае принятия положительного решения по результатам сертификационного аудита).
7. Выдача сертификата ISO 27001 заказчику.

Вместо заключения

Желаем успешного прохождения сертификационного аудита и получения сертификата ISO 27001! Он Вам понадобится и ни один раз.

Источник: https://globaltrust.ru/kak-poluchit-sertifikat-iso-27001/