Skip to content

System Management

Какие основные свойства информации определены стандартом ISO/IEC 27001

Какие основные свойства информации определены стандартом ISO/IEC 27001

Данные клиентов, финансовые документы, коммерческие предложения, чертежи, учетные записи и резервные копии — это активы компании. Их утечка, подмена или недоступность могут остановить работу предприятия не менее ощутимо, чем поломка оборудования. Именно поэтому ISO/IEC 27001 рассматривает информационную безопасность как систему управления бизнес-рисками, а не только как задачу IT-отдела.

ISO/IEC 27001:2022 — международный стандарт, устанавливающий требования к системе менеджмента информационной безопасности (СМИБ). Его основой является защита трех ключевых свойств информации: конфиденциальности, целостности и доступности. Именно эти принципы официально определяет ISO для организаций, стремящихся системно управлять информационными рисками.

Три свойства информации по ISO/IEC 27001

Стандарт безопасности не сводится к установке антивируса или использованию более сложных паролей. Компания должна определить важные данные, оценить риски и внедрить меры, соответствующие ее процессам, размеру и сфере деятельности.

Основные свойства информации выглядят следующим образом:

  • Конфиденциальность — доступ к информации имеют только уполномоченные сотрудники, партнеры или системы. Это касается персональных данных, договоров, финансовых отчетов, технологических документов и коммерческих условий.
  • Целостность — информация остается правильной, полной и защищенной от случайных или преднамеренных изменений. Например, подмененные реквизиты в счете или ошибочная версия технического задания могут привести к прямым убыткам.
  • Доступность — авторизованные пользователи могут получить необходимые данные в нужный момент. Если CRM, база заказов или производственная система недоступны, бизнес может потерять клиентов и сорвать сроки выполнения контрактов.

Вместе эти свойства называют триадой CIA: Confidentiality, Integrity, Availability. Это своеобразная проверка состояния информационных процессов: кто видит данные, можно ли им доверять и будут ли они доступны тогда, когда это необходимо бизнесу.

Конфиденциальность: информация не должна попадать к посторонним

Для украинских компаний вопрос конфиденциальности особенно важен при работе с клиентскими базами, персональными данными, тендерной документацией, интеллектуальной собственностью и информацией международных партнеров.

Типичная ситуация: сотрудник перешел в другой отдел или подрядчик завершил проект, но его доступ к файлам так и не был закрыт. В таком случае даже качественные технологии не заменят понятных правил.

Именно поэтому политика информационной безопасности предприятия должна определять:

  • какие данные являются критически важными для бизнеса;
  • кто и на каких условиях получает доступ;
  • как контролируются учетные записи и права пользователей;
  • что делать в случае подозрения на утечку или инцидент.

Хорошо настроенная конфиденциальность не усложняет работу, а устраняет хаос: каждый имеет доступ к необходимому, но не ко всему сразу.

Целостность: правильные данные — правильные решения

Информация может быть не украдена, но все равно нанести ущерб бизнесу. Достаточно, чтобы кто-то случайно удалил важную строку в таблице, изменил банковские реквизиты или использовал устаревший файл с требованиями клиента.

Целостность информации поддерживается посредством контроля изменений, журналирования действий, резервного копирования, согласования важных документов и разграничения ответственности. Для производственного предприятия это могут быть спецификации продукции, для IT-компании — код и конфигурации, для сервисного бизнеса — договоры и данные клиентов.

В этом смысле стандарты защиты информации помогают руководителю быть уверенным: решения принимаются на основе актуальных и достоверных данных, а не файла с названием «финальная_версия_новая_точно2».

Доступность: данные должны быть полезными, а не просто защищенными

Компания может отлично ограничить доступы и контролировать изменения, но потерять операционную способность из-за сбоя сервера, отсутствия резервной копии или длительной недоступности облачного сервиса.

Доступность предполагает резервное копирование, планы восстановления, защиту критических ресурсов, реагирование на инциденты и регулярную проверку готовности компании к перебоям. Это актуально для бизнеса, который работает с распределенными командами, онлайн-сервисами, международными заказчиками и непрерывными операционными процессами.

ISO отмечает, что СМИБ в соответствии с ISO/IEC 27001 защищает информацию в различных формах: цифровой, облачной и бумажной, а также помогает компании быть более устойчивой к новым угрозам.

Ограничиваются ли стандарты ИБ только тремя принципами

Конфиденциальность, целостность и доступность — основа ISO/IEC 27001. Однако в отдельных процессах компании могут быть важны и дополнительные характеристики: аутентичность информации, надежность, прослеживаемость действий и подтверждение авторства операций.

Например, при согласовании договора важно не только защитить файл от посторонних, но и понимать, кто именно его утвердил, когда это произошло и не изменялся ли документ после согласования.

Поэтому стандарт информационной безопасности касается не одного технического решения, а системного подхода: правил, ответственных лиц, обучения персонала, оценки рисков, аудитов и постоянного совершенствования.

Зачем бизнесу ISO/IEC 27001

Зачем бизнесу ISO/IEC 27001Внедрение СМИБ помогает компании структурировать защиту информации и подтвердить партнерам серьезное отношение к рискам. По данным ISO Survey 2022, в мире было зарегистрировано более 70 000 сертификатов ISO/IEC 27001 в 150 странах и различных секторах экономики.

Для предприятия это может означать:

  • более высокое доверие клиентов и международных партнеров;
  • подготовленность к тендерам и проверкам заказчиков;
  • понятные правила доступа к информационным активам;
  • лучшую готовность к инцидентам и перебоям в работе;
  • обоснованные расходы на защиту вместо хаотичных закупок решений.

Организациям, которые планируют подтвердить соответствие международным требованиям, стоит рассмотреть сертификацию по ISO/IEC 27001:2022. Иногда пользователи ищут сертификат IEC, однако корректное название для этой сферы — сертификация по ISO/IEC 27001:2022, поскольку стандарт совместно разработан ISO и IEC.

Как подготовиться к внедрению стандарта

Начинать следует не с покупки дорогостоящего программного обеспечения, а с понимания собственных рисков. Компания определяет границы СМИБ, перечень важной информации, возможные угрозы, ответственных лиц и меры контроля. Далее разрабатываются документы, проводится обучение команды, внутренний аудит и подготовка к сертификации.

На странице ISO/IEC 27001:2022 Менеджмент информационной безопасности компания Систем Менеджмент предлагает обучение, помощь с документацией и международную сертификацию для организаций, стремящихся построить эффективную СМИБ.

Заказать консультацию
Сертификация ISO 9001:2015