Сертификация ГОСТ Р ИСО МЭК 27001 2006 ISO IEC 27001 2006 в Москве

Сертификат ISO 27001:2013

ISO 27001:2013, ГОСТ Р ИСО/МЭК 27001-2006 СМИБ (международный 27001) — система менеджмента информационной безопасности.

Суть СМИБ заключается в достижении безопасности информационных ресурсов компании, сохранение авторства информации и управление ее защитой, выработка статуса надежного и открытого партнера перед всем участникам бизнес процесса.

Система сертификации LENGTHFUL SERTIFIKATION SYSTEM зарегистрирована в Федеральном агентстве по техническому регулированию и метрологии (РОССТАНДАРТ) номер № «РОСС RU.О1080.04 ЖИФ0».

Сертификация ISO 27001:2013, не требует от организации определенных технических решений в части инфраструктуры (определенное серверное оборудование, ЭВМ с заданными характеристики).

• Оформление сертификата менеджмента ISO 27001:2013 производится в течение одного рабочего дня;
• доставка в любой регион РФ бесплатно.

Стандарты серии ИСО 27001 описываю системные подходы к обеспечению информационной безопасности, методологию работы с массивами, определение степени их важности. Кризисное управление при возникновении нештатных ситуации в области ИТ — инфраструктуры.

Внедряя СМИБ организации работающие с различными объемами информации, получают предсказуемую и надежную программу работы и управления инфраструктурой.

Преимущества внедрения ISO 27001:2013

• Сокращение издержек предприятия на потере управления инфраструктурой;
• Открытость политики организации в области информационной политики;
• Создание репутации партнера, которому доверяют;
• Является весомым плюсом (в отдельных случаях, решающим фактором) для работы с международными и Европейскими компаниями.
• Лидирующее преимущество при участии в тендерах и закупках в Государственном секторе, а особенно секторе B2B.

Центр аттестации и экспертизы является аккредитованным органом по сертификации системы менеджмента информационной безопасности ISO 27001:2013.

Система сертификации зарегистрирована в Федеральном агентстве по техническому регулированию и метрологии (РОССТАНДАРТ) номер № «РОСС RU.01080.04 ЖИФ0».

Проходя сертификацию системы менеджмента информационной безопасности ИСО 27001:2013 у нас, Вы получите качественное обслуживание экспертов в области сертификации. Мы стараемся внедрить и выдать Вам сертификат ИСО 27001:2005 в удобные для Вас сроки.

Сертификат ISO 27001:2013 СМИБ выдается на 3 года, с прохождение ежегодного инспекционного контроля предприятия на соответствие требованиям стандартов системы.

Источник

Гост р исо мэк 2006 менеджмент

ГОСТ Р ИСО/МЭК 27001-2006

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Information technology. Security techniques. Information security management systems. Requirements

Дата введения 2008-02-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") и Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27001:2005* "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (ISO/IEC 27001:2005 "Information technology — Security techniques — Information security management systems — Requirements", IDT).

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. — Примечание изготовителя базы данных.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Январь 2019 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок — в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

0.1 Общие положения

Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). Внедрение СМИБ является стратегическим решением организации. На проектирование и внедрение СМИБ организации влияют потребности и цели организации, требования безопасности, используемые процессы, а также масштабы деятельности и структура организации. Предполагается, что вышеуказанные факторы и поддерживающие их системы будут изменяться во времени. Предполагается также, что СМИБ будет изменяться пропорционально потребностям организации, т.е. для простой ситуации потребуется простое решение по реализации СМИБ.

Положения настоящего стандарта могут быть использованы как внутри организации, так и внешними организациями для оценки соответствия.

0.2 Процессный подход

Настоящий стандарт предполагает использовать процессный подход для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации.

Для успешного функционирования организация должна определить и осуществить менеджмент многочисленных видов деятельности. Деятельность, использующая ресурсы и управляемая в целях преобразования входов в выходы, может быть рассмотрена как процесс. Часто выход одного процесса непосредственно формирует вход для следующего процесса.

Использование внутри организации системы процессов наряду с идентификацией и взаимодействием этих процессов, а также менеджмент процессов могут быть определены как "процессный подход".

Согласно предлагаемому настоящим стандартом процессному подходу применительно к менеджменту информационной безопасности (ИБ) особую значимость для пользователей имеют следующие факторы:

a) понимание требований информационной безопасности организации и необходимости установления политики и целей информационной безопасности;

b) внедрение и использование мер управления для менеджмента рисков ИБ среди общих бизнес-рисков организации;

c) мониторинг и проверка производительности и эффективности СМИБ;

d) непрерывное улучшение СМИБ, основанное на результатах объективных измерений.

В настоящем стандарте представлена модель "Планирование (Plan) — Осуществление (Do) — Проверка (Check) — Действие (Act)" (PDCA), которая может быть применена при структурировании всех процессов СМИБ. На рисунке 1 показано, как СМИБ, используя в качестве входных данных требования ИБ и ожидаемые результаты заинтересованных сторон, с помощью необходимых действий и процессов выдает выходные данные по результатам обеспечения информационной безопасности, которые соответствуют этим требованиям и ожидаемым результатам. Рисунок 1 иллюстрирует также связи между процессами, описанными в разделах 4, 5, 6, 7 и 8.

Принятие модели PDCA также отражает принципы, установленные в директивах Организации экономического сотрудничества и развития (ОЭСР) и определяющие безопасность информационных систем и сетей [1]. Настоящий стандарт представляет наглядную модель для реализации на практике указанных принципов, которые позволяют осуществить оценку рисков, проектирование и реализацию системы информационной безопасности, ее менеджмент и переоценку.

Примеры

1 Требование может заключаться в том, чтобы нарушения информационной безопасности не приводили к значительному финансовому ущербу для организации и/или к существенным затруднениям в ее деятельности.

2 Ожидаемым результатом может быть наличие в организации достаточно хорошо обученных сотрудников для проведения процедур, позволяющих минимизировать возможные неблагоприятные последствия в случае серьезного инцидента, например несанкционированного проникновения (атаки хакеров) на веб-сайт организации, через который она осуществляет электронную торговлю.

Связи между процессами, описанными в разделах 4, 5, 6, 7 и 8, представлены также в таблице 1.

Планирование (разработка СМИБ)

Разработка политики, установление целей, процессов и процедур СМИБ, относящихся к менеджменту риска и улучшению информационной безопасности, для достижения результатов, соответствующих общей политике и целям организации

Осуществление (внедрение и обеспечение функционирования СМИБ)

Внедрение и применение политики информационной безопасности, мер управления, процессов и процедур СМИБ

Проверка (проведение мониторинга и анализа СМИБ)

Оценка, в том числе, по возможности, количественная, результативности процессов относительно требований политики, целей безопасности и практического опыта функционирования СМИБ и информирование высшего руководства о результатах для последующего анализа

Действие (поддержка и улучшение СМИБ)

Проведение корректирующих и превентивных действий, основанных на результатах внутреннего аудита или другой соответствующей информации, и анализа со стороны руководства в целях достижения непрерывного улучшения СМИБ

0.3 Совместимость с другими системами менеджмента

Настоящий стандарт согласован со стандартами ИСО 9001:2000 "Системы менеджмента качества. Требования" [2] и ИСО 14001:2004 "Системы управления окружающей средой. Требования и руководство по применению" [3] в целях поддержки последовательного и интегрированного внедрения и взаимодействия с другими подобными взаимосвязанными стандартами в области менеджмента. Таким образом, одна правильно построенная система менеджмента в организации может удовлетворять требованиям всех этих стандартов.

Таблица С.1 иллюстрирует взаимосвязь между разделами настоящего стандарта, а также ИСО 9001:2000 и ИСО 14001:2004.

Настоящий стандарт позволяет организации регулировать СМИБ или интегрировать ее с соответствующими требованиями других систем менеджмента.

1 Область применения

1.1 Общие положения

Настоящий стандарт предназначен для применения организациями любой формы собственности (например, коммерческими, государственными и некоммерческими организациями). Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности (СМИБ) среди общих бизнес-рисков организации. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности (ИБ).

Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Примечание — Термин "бизнес", в настоящем стандарте понимаемый в широком смысле, обозначает всю ту деятельность, которая является основой для целей существования организации.

1.2 Применение

Требования, устанавливаемые настоящим стандартом, предназначены для применения во всех организациях независимо от типа, масштабов и сферы их деятельности. Исключение любого из требований, указанных в разделах 4, 5, 6, 7 и 8, не допускается, если организация заявляет о соответствии ее СМИБ настоящему стандарту.

Любой отказ от применения той или иной меры управления, обусловленный необходимостью удовлетворения критериев принятия рисков, должен быть обоснован. Необходимо также наличие адекватных доказательств того, что подобные риски были уже приняты ответственными лицами. При исключении каких-либо мер управления заявления о соответствии организации настоящему стандарту неправомочны, кроме случаев, когда эти исключения не влияют на способность и/или обязанность организации обеспечивать информационную безопасность, которая соответствует требованиям безопасности, установленным соответствующими законодательными актами или определенными на основе оценок рисков.

Примечание — Если организация уже имеет действующую систему менеджмента бизнес-процессов (например, в соответствии с ИСО 9001 [2] или ИСО 14001 [3]), тогда в большинстве случаев предпочтительнее удовлетворить требования настоящего стандарта в рамках этой существующей системы менеджмента.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующий стандарт:

ISO/IEC 17799:2005, Information technology — Security techniques — Code of practice for information security management (Информационные технологии. Методы и средства обеспечения безопасности. Свод правил по менеджменту информационной безопасности)

Заменен на ISO/IEC 27002:2005.

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 активы (asset): Все, что имеет ценность для организации.

[ИСО/МЭК 13335-1:2004] [4]

3.2 доступность (availability): Свойство объекта находиться в состоянии готовности и возможности использования по запросу авторизованного логического объекта.

[ИСО/МЭК 13335-1:2004] [4]

3.3 конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.

[ИСО/МЭК 13335-1:2004] [4]

3.4 информационная безопасность; ИБ (information security): Свойство информации сохранять конфиденциальность, целостность и доступность.

Примечание — Кроме того, данное понятие может включать в себя также и свойство сохранять аутентичность, подотчетность, неотказуемость и надежность.

3.5 событие информационной безопасности (information security event): Идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью.

[ИСО/МЭК ТО 18044:2004] [5]

3.6 инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

Источник

Сертификация ГОСТ Р ИСО/МЭК 27001-2006 (ISO/IEC 27001:2006) в Москве

Получение сертификата ГОСТ Р ИСО/МЭК 27001-2006 (ISO/IEC 27001: 2006) в Москве

Данный сертификат – это единственный законный международный способ подтвердить качество системы менеджмента информационной безопасности, по которому возможно экспортирование программного обеспечения в другие страны.

ГОСТ Р ИСО/МЭК 27001-2006 (ISO/IEC 27001: 2006) международный стандарт, его наличие обязательно при работе с другими странами, поскольку он гарантирует определенный уровень информационной безопасности. Отсутствие сертификата делает международный экспорт ПО практически невозможным.

Порядок прохождения сертификации за 1 день в Москве:

В стоимость включено

• Персональный эксперт
• Сертификат соответствия
• Сертификаты на сотрудников организации
• Разрешение на применение знака соответствия
• Дальнейшее юридическое сопровождение
• Доставка курьером до вашего офиса

Мы зарегистрированы в гос. реестре

Организация «НОПСС» зарегистрирована в едином реестре Федерального агентства
по техническому регулированию и метрологии Росстандарт за номером РОСС RU.З2449.04НОП03.

Ссылка на реестр РОССТАНДАРТА GOST.RU.

Список необходимых документов:

Наш менеджер ответит на все вопросы

Преимущества прохождения сертификации в нашей организации

Наша команда

Наши партнеры

Наши кейсы

Производственной компании, для заключения договора, нужно было получить сертификат безопасности труда и охраны здоровья. У компании не было денег, для получения аванса ей нужно было заключить договор.

После переговоров было принято решение заключить договор с отсрочкой платежа на 1 месяц.

После предоставленных документов, компания заказчика была внесена в единый реестр системы сертификации, сертификат был выпущен. Спустя 2 недели заказчик уже получил аванс, начал выполнение работ и оплатил прохождение сертификации досрочно.

Строительной компании, работающей на особо-опасных объектах нужен, был сертификат менеджмента качества для вступления в СРО

Было принято решение провести переговоры на предмет помощи в оказании услуг по вступлению в СРО. Вступая в СРО через аккредитованную организацию «НОПСС», компания получает сертификат ИСО 9001 в подарок.

Организацией «НОПСС» были бесплатно подготовлены все необходимые документы и сертификация ИСО 9001. Заказчик получил всю необходимую консультацию и оперативно вступил в СРО за 1 день.

Компании, оказывающей услуги в области налогового консультирования нужен был срочно сертификат ИСО 9001 в день обращения.

После получения документов было принято решение не дожидаться поступления оплаты и провести сертификацию вне графика.

Заказчик оплатил сертификацию, прислал платежное поручение с отметкой банка и организация «НОПСС» сразу же запустила процесс. Спустя 3 часа сертификация была выполнена в полном объеме. Компанию заказчика внесли в единый реестр системы, скан-копии документов отправили на электронную почту, а оригиналы доставили экспресс-курьером прямо в офис заказчика в этот же день.

Отзывы о нашей компании

Выражаем благодарность специалистам компании «НОПСС» за качественную и оперативную помощь в области сертификации НАССР. Спасибо за профессиональный подход, лояльность и оперативность. Сертификация проведена в минимальные сроки. Документы уже на следующий день после обращения были у нас в офисе.

ООО «НПО перспективных технологий» выражает благодарность всем специалистам и сотрудникам консалтинговой компании «НОПСС» (в особенности, Ярославу Зайцеву) за высокую скорость, качество, эффективность и профессионализм при выполнении комплекса работ по сертификации и последующем оформлении допуска СРО. Желаем успехов и процветания вашей компании.

Руководство компании ООО «РемСтройТ-2011» выражает признательность за высокую скорость и профессионализм при выполнении комплекса работ по получению допуска СРО и проведения необходимой сертификации.

Все документы были оформлены в тот же день, а на следующий сертификат был уже в офисе. Выражаем благодарность за качественную оказанную услугу! Надеемся на дальнейшее взаимодействие.

Выражаем благодарность всем специалистам и сотрудникам консалтинговой компании «НОПСС» за своевременную оказанную помощь в проведении сертификации и последующем оформлении допуска СРО.

Благодарим компанию «НОПСС» за быструю помощь с допуском СРО. Хотелось бы отметить высокий профессионализм сотрудников компании. На протяжении всего периода взаимодействий, Ваша компания проявила себя как надежный партнёр. Все услуги были оказаны с срок в полном объеме.

Выражаю благодарность сотрудникам компании «НОПСС» за помощь в прохождении сертификации международного стандарта ISO. Нами был получен высокий объем консультаций, проведенные работы заняли не более двух дней. Сертификат ИСО 9001:2015 был доставлен прямо в офис совершенно бесплатно.

Все услуги были оказаны быстро, с надлежащим уровнем качества. Особенно хотим отметить специалистов компании, их высокая компетентность и опыт, смогли сэкономить нам много времени. С Вашей помощью, мы уже благополучно работаем в странах СНГ.

С их помощью получили сертификат ISO 14001:2007. Нам не пришлось отвлекаться на подготовку документов, полный цикл работ был выполнен специалистами «НОПСС» в оговоренные договором сроки, при минимальной стоимости услуг. Благодарим за высокое качество и скорость проведенной работы!

Можно выделить высокую порядочность, соответствие заявленным срокам исполнения и гибкость в переговорном процессе. С их помощью неоднократно были получены допуски в надежные строительные СРО, получены сертификаты для участия в государственных тендерах. За время сотрудничества, компанией «НОПСС» был внесен неоценимый вклад в успех нашего бизнеса.

Для участия в тендере на выполнение проектировочных работ нам понадобился сертификат ОДР. Наши партнеры посоветовали обратиться в компании «НОПСС». Эта рекомендация на 100% была правильной. Оказанная нам помощь была максимально быстрой и квалифицированной. Удобно, что сначала проводят анализ, а после оплата. Стоимость услуг ниже, чем у аналогичных компаний.

В 2019 году компания «НОПСС» оказывала нам услуги по внедрению специалистов в национальный реестр строителей и проектировщиков, вместе с этим получали удостоверение о повышении квалификации и сертификаты соответствия. Хотим отметить высокий уровень организации всех процессов. Менеджеры компании всегда могли прийти на помощь и ответить на возникающие у нас вопросы. Предоставляемые услуги были отказаны в полном объеме в установленные договором сроки.

Напишите нам

Кому необходимо получать ГОСТ Р ИСО 50001-2012 (ISO 50001:2011)?

Получая сертификат ГОСТ Р ИСО/МЭК 27001-2006 (ISO/IEC 27001:2006) вы повышаете уровень лояльности со стороны потребителей, потенциальных партнеров и инвесторов и делаете возможным участие в государственных тендерах. Более того, даже если наличие сертификата не заявлено в условиях участия в тендере, вы все равно будете иметь преимущество, так как сам факт его наличия говорит о вас, как о более надежной компании.

Еще одним неоспоримым плюсом, является подготовка к получению сертификата. Ведь пока вы будете собирать необходимую документацию, вы обязательно обнаружите все имеющиеся ошибки и сможете их устранить, тем самым повысив качество выпускаемого ПО.

Получить сертификат ГОСТ Р ИСО/МЭК 27001-2006 (ISO/IEC 27001: 2006) самостоятельно – дело в крайней степени неблагодарное, так как здесь нужны очень узко специализированные знания. Поэтому советуем вам обращаться к специалистам компании НОПСС! Мы работаем в Москве и по всей Московской области и окажем вам помощь на всех этапах, сделав получение сертификата быстрым и легким! Работайте с профессионалами!

Источник



ISO/IEC 27001:2013 (ГОСТ Р ИСО/МЭК 27001-2006). Системы менеджмента информационной безопасности

Сертификация систем менеджмента информационной безопасности в системе добровольной сертификации «ГлобСерт». Система зарегистрирована в Федеральном агенстве по техническому регулировании метрологии РФ (Росстандарте) Федерации (по подробее о СДС «ГлобСерт», рег. РОСС RU 31473.04 ИДР0 № на сайте Росстандарта).

ЦЕНА ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001) НА ТРИ ГОДА: от 10 000 рублей

СРОКИ СЕРТИФИКАЦИИ — от 1 дня

Международный стандарт ISO/IEC 27001 содержит модель построения результативной системы менеджмента IT безопасности, основанную на анализ рисков, пстоянном улучшении, системном и процессном подходе.

Сертификат ISO/IEC 27001 организации демонстрирует ее клиентам, партнерам, инвесторам, органам власти и другим группам заинтересованных сторон способность обеспечивать безопасность испольуемых данных, в том числе персональных данных, информации, содержащую коммерческую тайну.

Глобал Эксперт Груп поможет Вам выбрать и пройти сертификацию именно того уровня, которая Вам необходима для решения стоящих задач — российскую, международную или отраслевую.

По результатам сертификации по ISO/IEC 27001 Вы получаете:

Сертификат ИСО 27001 на русском и английском языках в выбранной системе (российской или международной), При необходимости мы будем рады оформить сертификаты на дополнительных языках (Например, немецком, испанском, китайском и др.),

Оформление Сертификатов внутреннего аудитора ИСО 27001 сотрудникам Вашей организации,

Занесение информации о сертификации в единый реестр выданных сертификатов. Заказчик или другая заинтересованная сторона сможет проверить действительность предъявляемого сертификата ИСО 27001 в данном реестре.

Знаки соответствия организации. Данные знаки, зарегистрированные в Росстандарте в рамках системы Вы сможете использовать в рекламных материалах, на сайте, бланках писем и других материалах и использовать как дополнительный маркетинговый инструмент.

Доступ к широкому спектру услуг Глобал Эксперт в области обязательной регистрации продукции для выхода на международные рынки, в т.ч. США, Европейского Союза, Китая, Индии, Бразилии и ряда других стран.

Как Вашей компании получить сетификат ИСО 27001

Обратиться в офис Глобал Эксперт Груп по телефону или электронной почте с запросом на сертификацию ISO 27001

Предоставить информацию об организации, существующей системе менеджмента,

Заключить договор и пройти сертификацию,

Получить сертификаты на русском и английском языках, знаки соответствия и регистрацию в едином реестре выбранной Вами системы.

Выполняя работы мы обеспечиваем:

Законность сертификатов системы менеджмента информационной безопасности, включая выпонление требований ФЗ о техническом регулировании в области функционирования добровольных систем сертификации.

​​​​​​​Персонального менеджера, который будет оказывать информационную поддержку нашему клиенту по вопросам сертификации и регистрации.

Долгосрочные взаимоотношения – для постоянных клиентов нами разработаны особые условия, скидки, бонусы и поощрения.

Когда нужно получение сертификата ИСО/МЭК 27001:

Наличие ИСО 27001, в основном, не требуется на уровне законодательства. В тоже время, заказчики различных отраслей при организации тендеров и проведении переговоров требуют у своих поставщиков сертификат ИСО 27001. Оформить ИСО 27001 необходимо чтобы выполнить эти требования и повысить свои шансы на заключение договора.

Сертификат ИСО 27001 это важный элемент маркетинговой деятельности компании. Особенно важно наличие такого документа для IT компаний, сотовых операторов, финансовых учреждений и иных организаций, работающих с конфиденциальной информацией или персональными данными.

Источник

Гост р исо мэк 2006 менеджмент

ГОСТ Р ИСО/МЭК 27001-2006

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Information technology. Security techniques. Information security management systems. Requirements

Дата введения 2008-02-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") и Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27001:2005* "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (ISO/IEC 27001:2005 "Information technology — Security techniques — Information security management systems — Requirements", IDT).

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. — Примечание изготовителя базы данных.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Январь 2019 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок — в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

0.1 Общие положения

Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). Внедрение СМИБ является стратегическим решением организации. На проектирование и внедрение СМИБ организации влияют потребности и цели организации, требования безопасности, используемые процессы, а также масштабы деятельности и структура организации. Предполагается, что вышеуказанные факторы и поддерживающие их системы будут изменяться во времени. Предполагается также, что СМИБ будет изменяться пропорционально потребностям организации, т.е. для простой ситуации потребуется простое решение по реализации СМИБ.

Положения настоящего стандарта могут быть использованы как внутри организации, так и внешними организациями для оценки соответствия.

0.2 Процессный подход

Настоящий стандарт предполагает использовать процессный подход для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации.

Для успешного функционирования организация должна определить и осуществить менеджмент многочисленных видов деятельности. Деятельность, использующая ресурсы и управляемая в целях преобразования входов в выходы, может быть рассмотрена как процесс. Часто выход одного процесса непосредственно формирует вход для следующего процесса.

Использование внутри организации системы процессов наряду с идентификацией и взаимодействием этих процессов, а также менеджмент процессов могут быть определены как "процессный подход".

Согласно предлагаемому настоящим стандартом процессному подходу применительно к менеджменту информационной безопасности (ИБ) особую значимость для пользователей имеют следующие факторы:

a) понимание требований информационной безопасности организации и необходимости установления политики и целей информационной безопасности;

b) внедрение и использование мер управления для менеджмента рисков ИБ среди общих бизнес-рисков организации;

c) мониторинг и проверка производительности и эффективности СМИБ;

d) непрерывное улучшение СМИБ, основанное на результатах объективных измерений.

В настоящем стандарте представлена модель "Планирование (Plan) — Осуществление (Do) — Проверка (Check) — Действие (Act)" (PDCA), которая может быть применена при структурировании всех процессов СМИБ. На рисунке 1 показано, как СМИБ, используя в качестве входных данных требования ИБ и ожидаемые результаты заинтересованных сторон, с помощью необходимых действий и процессов выдает выходные данные по результатам обеспечения информационной безопасности, которые соответствуют этим требованиям и ожидаемым результатам. Рисунок 1 иллюстрирует также связи между процессами, описанными в разделах 4, 5, 6, 7 и 8.

Принятие модели PDCA также отражает принципы, установленные в директивах Организации экономического сотрудничества и развития (ОЭСР) и определяющие безопасность информационных систем и сетей [1]. Настоящий стандарт представляет наглядную модель для реализации на практике указанных принципов, которые позволяют осуществить оценку рисков, проектирование и реализацию системы информационной безопасности, ее менеджмент и переоценку.

Примеры

1 Требование может заключаться в том, чтобы нарушения информационной безопасности не приводили к значительному финансовому ущербу для организации и/или к существенным затруднениям в ее деятельности.

2 Ожидаемым результатом может быть наличие в организации достаточно хорошо обученных сотрудников для проведения процедур, позволяющих минимизировать возможные неблагоприятные последствия в случае серьезного инцидента, например несанкционированного проникновения (атаки хакеров) на веб-сайт организации, через который она осуществляет электронную торговлю.

Связи между процессами, описанными в разделах 4, 5, 6, 7 и 8, представлены также в таблице 1.

Планирование (разработка СМИБ)

Разработка политики, установление целей, процессов и процедур СМИБ, относящихся к менеджменту риска и улучшению информационной безопасности, для достижения результатов, соответствующих общей политике и целям организации

Осуществление (внедрение и обеспечение функционирования СМИБ)

Внедрение и применение политики информационной безопасности, мер управления, процессов и процедур СМИБ

Проверка (проведение мониторинга и анализа СМИБ)

Оценка, в том числе, по возможности, количественная, результативности процессов относительно требований политики, целей безопасности и практического опыта функционирования СМИБ и информирование высшего руководства о результатах для последующего анализа

Действие (поддержка и улучшение СМИБ)

Проведение корректирующих и превентивных действий, основанных на результатах внутреннего аудита или другой соответствующей информации, и анализа со стороны руководства в целях достижения непрерывного улучшения СМИБ

0.3 Совместимость с другими системами менеджмента

Настоящий стандарт согласован со стандартами ИСО 9001:2000 "Системы менеджмента качества. Требования" [2] и ИСО 14001:2004 "Системы управления окружающей средой. Требования и руководство по применению" [3] в целях поддержки последовательного и интегрированного внедрения и взаимодействия с другими подобными взаимосвязанными стандартами в области менеджмента. Таким образом, одна правильно построенная система менеджмента в организации может удовлетворять требованиям всех этих стандартов.

Таблица С.1 иллюстрирует взаимосвязь между разделами настоящего стандарта, а также ИСО 9001:2000 и ИСО 14001:2004.

Настоящий стандарт позволяет организации регулировать СМИБ или интегрировать ее с соответствующими требованиями других систем менеджмента.

1 Область применения

1.1 Общие положения

Настоящий стандарт предназначен для применения организациями любой формы собственности (например, коммерческими, государственными и некоммерческими организациями). Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности (СМИБ) среди общих бизнес-рисков организации. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности (ИБ).

Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Примечание — Термин "бизнес", в настоящем стандарте понимаемый в широком смысле, обозначает всю ту деятельность, которая является основой для целей существования организации.

1.2 Применение

Требования, устанавливаемые настоящим стандартом, предназначены для применения во всех организациях независимо от типа, масштабов и сферы их деятельности. Исключение любого из требований, указанных в разделах 4, 5, 6, 7 и 8, не допускается, если организация заявляет о соответствии ее СМИБ настоящему стандарту.

Любой отказ от применения той или иной меры управления, обусловленный необходимостью удовлетворения критериев принятия рисков, должен быть обоснован. Необходимо также наличие адекватных доказательств того, что подобные риски были уже приняты ответственными лицами. При исключении каких-либо мер управления заявления о соответствии организации настоящему стандарту неправомочны, кроме случаев, когда эти исключения не влияют на способность и/или обязанность организации обеспечивать информационную безопасность, которая соответствует требованиям безопасности, установленным соответствующими законодательными актами или определенными на основе оценок рисков.

Примечание — Если организация уже имеет действующую систему менеджмента бизнес-процессов (например, в соответствии с ИСО 9001 [2] или ИСО 14001 [3]), тогда в большинстве случаев предпочтительнее удовлетворить требования настоящего стандарта в рамках этой существующей системы менеджмента.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующий стандарт:

ISO/IEC 17799:2005, Information technology — Security techniques — Code of practice for information security management (Информационные технологии. Методы и средства обеспечения безопасности. Свод правил по менеджменту информационной безопасности)

Заменен на ISO/IEC 27002:2005.

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 активы (asset): Все, что имеет ценность для организации.

[ИСО/МЭК 13335-1:2004] [4]

3.2 доступность (availability): Свойство объекта находиться в состоянии готовности и возможности использования по запросу авторизованного логического объекта.

[ИСО/МЭК 13335-1:2004] [4]

3.3 конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.

[ИСО/МЭК 13335-1:2004] [4]

3.4 информационная безопасность; ИБ (information security): Свойство информации сохранять конфиденциальность, целостность и доступность.

Примечание — Кроме того, данное понятие может включать в себя также и свойство сохранять аутентичность, подотчетность, неотказуемость и надежность.

3.5 событие информационной безопасности (information security event): Идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью.

[ИСО/МЭК ТО 18044:2004] [5]

3.6 инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

Источник