ISO/IES 27001:2005

Разработка и внедрение системы информационной безопасности ISO/IES 27001:2013

Компания «ОПК» предлагает разработку и внедрение систем информационной безопасности ISO/IES 27001:2005 на вашем предприятии.

Стоимость услуги по разработке и внедрению СМК в соответствии с ГОСТ ISO/IEC 27001:2013 – 150 000 руб.

«Кто владеет информацией – владеет миром», – утверждал продолжатель европейской банковской династии Натан Ротшильд еще в 19 веке. Информация и сегодня остается важнейшим деловым ресурсом, который обеспечивает как банкам, так и предприятиям в целом, добавочную стоимость. Естественно, компании стараются максимально защитить информацию, дабы не понести финансовые и репутационные потери из-за ее утечки. В связи с этим актуальной становится не просто защита баз данных организации, но разработка системы управления информационной безопасностью, позволяющей эффективно управлять информацией в рабочем режиме каждого дня и в критических ситуациях.

Международный стандарт «Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования» разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799. 25 сентября 2013 года была опубликована новая версия данного стандарта – ISO/IEC 27001:2013. Вместе с главным был создан еще один дополнительный стандарт – ISO/IEC 27002, который содержит рекомендации по правильному внедрению требований нового стандарта 2013 года.

Стандарт не просто выдвигает требования к разработке, внедрению и совершенствованию систем менеджмента защиты информации, но является сертификационным стандартом, что делает его привлекательным как для специалистов по информационной безопасности, так и для организации в целом. Сертификация на соответствие стандарту ISO/IEC 27001 служит для деловых партнеров, инвесторов и клиентов наглядным свидетельством того, что защита информации на данном предприятии поставлена на высокий уровень. В отдельных случаях такой сертификат выступает в роли страхового свидетельства, что сделка не провалится, что конфиденциальные сведения останутся доступны строго определенному кругу лиц.

Стандарт ISO/IEC 27001 универсален, интегрируется с другими системами менеджмента и востребован широким кругом организаций – промышленными предприятиями, финансовыми и страховыми организациями, предприятиями, работающими в сфере телекоммуникаций, коммунальных услуг, торговли, сервиса, транспорта, в органах власти и т.д.

Если на предприятии уже внедрена версия ISO/IEC 27001:2005, процесс корректировки будет минимален. Если нет, система будут внедрена в соответствии с требованиями ISO/IEC 27001:2013.

Внедрение в организации системы менеджмента защиты информации ISO/IEC 27001:2013 позволяет получить ряд преимуществ:

• повысить доверие к организации со стороны контрагентов;
• продемонстрировать прозрачность и чистоту бизнеса перед законом;
• упростить процедуру выхода на внешние рынки;
• систематизировать процессы обеспечения информационной безопасности;
• обеспечить эффективное управление системой в критических ситуациях: своевременно выявлять риски, связанные с внешними и внутренними угрозами для бизнес-процессов, управлять ими;
• оптимизировать процессы менеджмента, определить личную ответственность сотрудников за утечку информации и другие последствия, связанные с нарушением требований системы информационной безопасности.

Стандарт ISO 27001 определяет процессы, представляющие возможность бизнесу устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации

Выполнение требований ISO/IEC 27001:2013 позволяет организациям формализовать и структурировать процессы управления информационной безопасностью по следующим направлениям:

• разработка политики безопасности;
• организация информационной безопасности;
• организация управления внутренними активами и ресурсами, составляющими основу ключевых бизнес-процессов;
• защита персонала и снижение внутренних угроз;
• физическая безопасность и безопасность окружающей среды;
• управление средствами связи и эксплуатацией оборудования;
• управление и контроль доступа;
• разработка и обслуживание аппаратно-программных систем;
• управление непрерывностью бизнес-процессов;
• соответствие требованиям стандарта и соблюдение правовых норм по безопасности.

В комплекс предлагаемых нами услуг входят:

• Проведение диагностического аудита действующей системы информационной безопасности организации: определение опасных факторов и рисков на рабочих местах, разработка реестра опасных факторов и рисков с ранжированием их по значимости.
• Определение защищаемой области деятельности организации через анализ структуры организации, функциональных особенностей построения бизнес-процессов и используемых в них информационных технологий.
• Идентификация, систематизация и определение ценности информационных активов организации, оценка возможного ущерба от реализации угроз.
• Определение должностных лиц в руководстве предприятия, ответственных за разработку и внедрение системы информационной безопасности, распределение ответственности между персоналом.
• Разработка методики по снижению рисков, расчет эффективности внедрения комплексных мероприятий по снижению рисков, предоставление рекомендаций по методологическому, организационно-управленческому, технологическому, техническому и аппаратно-программному обеспечению режима информационной безопасности организации.
• Разработка и внедрение системы информационной безопасности.
• Обучение руководства и персонала предприятия принципам и средствам обеспечения эффективной системы информационной безопасности.
• Проведение комплексного аудита системы информационной безопасности на предприятии для оценки его готовности к сертификации.
• Оказание консультационной помощи при подготовке предприятия к сертификации на соответствие требованиям международного стандарта ISO/IEC 27001:2013.