ISO 27001 СЕРТИФИКАТ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ

Требования к СМИБ, находящиеся в ГОСТ Р ИСО/МЭК 27001, представляют собой комплексный подход к обеспечению защиты информации. В них включены ключевые аспекты, которые необходимы для грамотного построения и поддержания эффективной системы. Рассмотрим некоторые из них:

• предприятию необходимо определить заинтересованных лиц по информационной безопасности (ИБ) и их ожидания по защите данных;
• организации важно найти внешние и внутренние аспекты, которые способны повлиять на СМИБ;
• руководству необходимо обеспечить ресурсы для функционирования системы, способствовать ее результативности и постоянному улучшению;
• политика информационной безопасности должна соответствовать целям и требованиям ИБ, быть оформлена в виде документа и доступна, как клиентам, так и сотрудникам организации;
• обязательна оценка рисков, в результате которой удается устанавливать потенциальную угрозу и ее источники;
• руководству нужно задействовать компетентных лиц и при необходимости обеспечить повышение их квалификации для эффективной работы в сфере информационной безопасности;
• обязательны внутренние аудиты на соответствие требований ISO 27001 и пересмотр действующей системы с целью ее модернизации.

Перед сертификацией ISO 27001 необходимо разработать программы по управлению ИБ, выявить потенциальные риски и устранить возможные проблемы по утечке данных. Также обязательно нужно обучить персонал и провести внутренний аудит на соответствие стандарта. Это довольно сложный и длительный процесс, поэтому мероприятия по внедрению программы нужно провести заранее. При необходимости мы подскажем, как правильно организовать СМИБ, чтобы система менеджмента полностью отвечала требованиям.

В свою очередь, непосредственно сама сертификация ISO/IEC 27001 не станет обременительной задачей, так как всеми этапами процедуры займутся наши сотрудники. Заявителю потребуется лишь подготовить некоторые документы и сведения:

• карточку компании с реквизитами;
• документы о назначении руководства;
• сведения о сотрудниках, которые будут выступать аудиторами на внутренних проверках;
• должностные инструкции;
• описание информационных систем и активов;
• организационную структуру и другие.

Полный список мы уточним на консультации. Дело в том, что перечень нужных бумаг и сведений может немного варьироваться в зависимости от специфики организации, области применения информационной безопасности и выбранных мер контроля.

Далее после того, как мы получим нужные бумаги и сведения, процедура будет состоять из следующих этапов:

• анализируем документы и информацию на комплектность;
• в случае, если заявитель предоставил неполный комплект бумаг и сведений, просим дооформить нужные (или помогаем сделать сами);
• составляем договор на оказание услуг;
• заявитель ознакомляется с договором, проводит оплату;
• мы осуществляем экспертный аудит на соответствие ГОСТ Р ИСО 27001 (как правило, при обращении к нам недочеты при проверке всегда отсутствуют, так как мы сообщаем о них (при наличии) перед сертификацией, заранее);
• по итогам проверки составляем акт с выводами;
• оформляем сертификат, выдаем оригинал заявителю, регистрируем документ в реестре.

Если говорить о разработке сертификата для уже подготовленного предприятия, с внедренной СМИБ, то на оформление итогового документа уйдет не более 2 дней (при наличии полного пакета бумаг и сведений). В случае если нужно разработать или доработать систему менеджмента, то сроки, конечно, будут немного больше – от 1 недели. Количество времени, необходимое для разработки СМИБ, зависит от масштаба организации, ее структуры и уровня подготовки, технического оснащения, квалификации персонала и так далее.

Стоит отметить, что сертификат ISO 27001 действует от 1 до 3 лет. Сроки легитимности устанавливаются по желанию заявителя. Стоит отметить, что пока действует документ, необходимо проводить ежегодный инспекционный контроль, это может сделать как сертификационный центр, так и внутренние аудиторы.

Формат СС по ГОСТ ИСО МЭК 27001 идентичен другим видам добровольных сертификатов. В нем содержатся следующие ключевые элементы:

• название системы добровольной сертификации (СДС);
• контактные данные органа сертификации;
• номер сертификата;
• наименование компании с сертифицированной СМИБ;
• область деятельности организации;
• информация, что сертификационный орган удостоверяет о соответствии требованиям СМИБ;
• название стандарта – ГОСТ Р ИСО 27001;
• дата выдачи документа и срок действия;
• подписи и печати руководителя органа сертификации и председателя комиссии.

Так как сертификат ИСО 27001 оформляется в добровольных системах, найти его в государственных реестрах невозможно. Однако все же существует несколько способов, как проверить подлинность документа:

• На сайте Росстандарта можно найти реестр СДС. Так можно узнать, действительно ли зарегистрирована система сертификации, в которой выдавался добровольный СС.
• Центры сертификации ведут собственные реестры выданных добровольных документов. Некоторые организации предоставляют открытый доступ к таким сведениям на своих сайтах.
• В случае если доступ к реестру закрыт, можно узнать напрямую у сотрудников сертификационного органа, действительно ли выдавался интересующий сертификат.

Основным нормативным актом в РФ, регулирующим процессы обработки персональных данных, считается ФЗ № 152 и ГОСТ Р ИСО 27001, о которых уже упоминалось выше. Закон устанавливает требования к организациям, осуществляющим сбор, хранение, использование и передачу персональных данных. В нем указана необходимость получения согласия субъектов данных, обеспечения конфиденциальности и реализации мер защиты информации. Однако, ФЗ № 152 и ГОСТ Р – это не все регламентирующие документы, которые необходимо рассматривать при разработке СМИБ и дальнейшем оформлении сертификата ИСО 27001.

Приведем несколько других нормативно-правовых актов, относящихся к информационной безопасности:

• ФЗ № 149. Устанавливает правовые основы регулирования отношений в сфере использования ИТ и защиты информации.
• Приказ ФСТЭК № 17. В нем указаны требования о защите информации ограниченного доступа (для государственных систем).
• PCI DSS. Международный стандарт безопасности данных платежных карт.
• ГОСТ Р ИСО/МЭК 27005-2010. Представляет руководство по управлению рисками информационной безопасности. И другие.

Список регламентирующих документов довольно обширен, однако наши сотрудники ориентируются во всех действующих законодательствах, в том числе и последних их обновлениях. Мы проводим сертификацию в полном соответствии с требованиями нормативно-правовых актов, применимых к деятельности конкретной отрасли.