На какой модели построен стандарт ISO 27001
ISO - это международная организация, занимающаяся вопросами стандартизации. Один из важных вопросов, который рассматривался на протяжении многих лет, связан с информационной безопасностью компаний. Первыми обратили на него внимание в Великобритании еще в 1992 году и приняли у себя в стране Кодекс управления информационной безопасностью. Он лег в основу стандарта ISO 27001, появившегося в 2005 году. Рассмотрим, на какой модели он построен и что такое сертификат ИСО 27001.
Что представляет собой стандарт ISO 27001
Любой документ, описывающий стандарт, это отчет определенных требований к чему-то, которые должны выполняться. Фактически, это ориентир для организаций. Стандарт ISO 27001 посвящен системе, гарантирующей безопасность информации.
Необходимость такой системы никто не отрицает, потому что в мире постоянно происходят кибератаки, взламываются базы данных даже крупных компаний, которые могут себе позволить ставить хорошую защиту.
Взлом системы может нанести большой вред, если не самой организации, то ее клиентам. Поэтому вопрос безопасности хранимой информации был поднят на международном уровне и разработан соответствующий документ - стандарт ISO 27001.
Какая использована модель
При разработке стандарта использовали модель CIA, которую также называют триадой информационной безопасности. В ней выделены три основные сферы, связанные с информационными системами:
- Confidentiality – конфиденциальность;
- Integrity – целостность;
- Availability – доступность.
Конфиденциальность связана с доступом к данным. В организациях постоянно генерируются новые данные, между различными устройствами идет обмен текстовыми сообщениями, файлами. Здесь могут быть задействованы электронные почты и другие варианты коммуникаций.
Важно, чтобы доступ к определенным точкам был только у лиц, имеющих на это полномочия, и чтобы переписку никто не мог перехватить. Для этого внедряются идентификаторы, пароли, выполняется шифрование данных.
Целостность - это обеспечение сохранности данных в исходном состоянии, когда они находятся в стадии покоя. Редактирование должно осуществляться только уполномоченными лицами. Пользователи должны быть уверены, что переданное сообщение или файл никто не сможет изменить. Это достигается путем использования специальных алгоритмов хеширования.
Информационная система должна быть организована так, чтобы обеспечивать доступность к данным. Некоторые кибератаки направлены на то, чтобы заблокировать доступ к ресурсам. Это должно быть исключено.
Что такое сертификация по компьютерной безопасности
Стандарт ISO 27001 - это не просто документ, на который можно и нужно ориентироваться. На его основе выдается сертификат, который подтверждает, что система информационной безопасности в компании соответствует стандартным требованиям.
Сертификацию систем менеджмента информационной безопасности проводят организации, прошедшие международную аккредитацию. В Украине по вопросу получения сертификата можно обращаться в компанию System Management, которая работает в этой сфере уже 10 лет. Благодаря такому опыту, специалисты знают, как устранять различные риски.
Наличие сертификата дает разнообразные преимущества фирме:
- повышает степень доверия со стороны партнеров и клиентов;
- улучшает имидж;
- увеличивает конкурентоспособность;
- повышает шансы на выигрыш в тендерах.
Сертификат ИСО 27001 - это ключ к успеху на международном рынке, ведь без него иностранные компании могут с осторожностью смотреть на сотрудничество. Пройти сертификацию по компьютерной безопасности выгодно для организации из любой сферы деятельности и разной масштабности, поскольку она улучшает стабильность работы внутри фирмы. Чтобы получить сертификат, нужно отправить заявку и пройти независимый аудит.