Сертификация по ГОСТ Р ИСО/МЭК 27001-2006

Информация считается безопасной, если обеспечена конфиденциальность, защита от рисков и других неблагоприятных последствий, в том числе в результате несанкционированного доступа. Все организации, включая государственные и частные, обязаны соблюдать соответствующие правила безопасности, так как участвуют в обмене данными. Система управления информационной безопасностью может быть сертифицирована. Это подтверждает выполнение требований к надежности и защищенности. Процедура организуется в соответствии с ГОСТ Р ИСО/МЭК 27001-2006.

Такая проверка проводится добровольно, а значит, предприятия могут применять полученный сертификат только по своему усмотрению. Например, на подтвержденное соответствие можно ссылаться в ходе рекламный кампаний, при привлечении инвесторов и поиске контрагентов для заключения договоров по обслуживанию баз данных. Сертификация помогает также выиграть конкуренцию и улучшить деловую репутацию.

Порядок и этапы процедуры

До начала сертификации необходимо пройти подготовку — привести деятельность в соответствие с положениями стандарта ГОСТ 27001-2006:

• установить все активы предприятия, выявить возможные уязвимости и риски;
• рассчитать риски и последствия с учетом вида и специфики бизнеса;
• разработать локальные акты с политикой СМИБ;
• утвердить комплекс мер, которые помогут минимизировать риски в области информационной безопасности и устранить последствия;
• назначить ответственных за каждый этап работы с документацией, базами данных, сведениями с разграничением полномочий и компетенций при принятии решений;
• установить специальное техническое оборудование и программы для защиты данных.

Важно заранее проверить уровень знаний, навыков и профессиональной подготовки персонала. Убедитесь, что оборудование для работы с базами данных и информацией имеет необходимую сертификацию и разрешения Минкомсвязи, ФСБ и других ответственных федеральных ведомств.

Для получения сертификата ИСО 27001 требуется пройти инспекционный аудит. Проверкой занимается комиссия, которую создают по заявке заказчика на базе аккредитованного центра. Для определения готовности к прохождению процедуры выполняется предварительный аудит. Если обнаруживаются недочеты, то предприятие может внести корректировки и дополнения в действующие меры защиты и документы.

Основной процесс сертификации включает:

• изучение локальных нормативных актов, утвержденных под ранее разработанную внутрикорпоративную политику СМИБ и стандарт ИСО;
• анализ выявленных уязвимостей и рисков, плана мероприятий по минимизации, предотвращению и устранению;
• проверку разрешительных документов, в том числе лицензий и согласований, на технические устройства, серверы и специальное оборудование;
• анализ взаимодействия сотрудников и структурных подразделений в процессе работы с защищенными данными, изучение схем получения данных, обработки, хранения и предоставления доступа;
• оценку эффективности контроля безопасности работы, конфиденциальности и защищенности данных;
• проверку уровня подготовки и квалификации сотрудников, наличия у ответственных лиц допусков к защищенной информации;
• изучение взаимодействия с клиентами, системы реагирования на предложения, жалобы или замечания;
• анализ отчетов и других материалов по итогам проверок предприятия надзорными государственными органами;
• оценку разработанных мер защиты от неразрешенного доступа к охраняемым сведениям и документам, принятых механизмов распознавания личности и систем идентификации.

Количество и виды проверок и мероприятий устанавливаются в зависимости от сферы и специфики бизнеса, численности сотрудников, категорий охраняемых сведений и документации.

Результаты инспекционного аудита заносятся в комиссионный акт. При соответствии корпоративной СМИБ нормативным показателям стандарта выносится решение об оформлении и выдаче сертификата. Документ действителен в течение 1 года или 3 лет. Предприятие также получает все документы, которые составлялись по ходу сертификационной процедуры: протоколы, отчеты, заключения, акты и т. д. С их помощью можно проводить мероприятия по улучшению системы безопасности в текущей деятельности.

В период, когда действует выданный сертификат, предприятие будет подвергаться регулярному контролю. Цель — подтвердить соблюдение требований ГОСТ Р ИСО/МЭК 27001-2006 и принятие исчерпывающих мер по защите информации. Обнаруженные недостатки нужно будет оперативно устранить.

Обязательные документы для сертификации по ISO 27001

Чтобы официально подтвердить выполнение нормативных требований стандарта, следует обратиться в уполномоченный центр с заявкой. У предприятия также запросят:

• регистрационные и учредительные документы на юридическое лицо или индивидуального предпринимателя;
• внутренние нормативные акты, которые были утверждены для исполнения требований ГОСТа (инструкции, приказы, положения, регламенты и политику СМИБ);
• отчеты с оценкой рисков и списком мер по минимизации и устранению;
• дипломы, свидетельства, аттестаты, должностные инструкции и другую документацию на сотрудников;
• разрешения на оборудование и ПО;
• учетные записи, положения по применимости.

Уточнить сроки, стоимость и порядок прохождения сертификационных процедур согласно ISO 27001 и получить подробные профессиональные разъяснения можно у наших специалистов. Консультации по любым вопросом в связи с оформлением подтверждающего документа даются бесплатно. Звоните или обращайтесь другим удобным способом.