Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вы здесь: Главная / Услуги / Внедрение и сертификация СУИБ / Понятие и цели сертификации СУИБ

Понятие и цели сертификации СУИБ

Для подтверждения соответствия существующей в организации системы управления информационной безопасностью требованиям международного стандарта ISO 27001, а также ее адекватности существующим бизнес рискам используется процедура добровольной сертификации.

Сертификация СУИБ

Под сертификацией системы управления информационной безопасностью (СУИБ) организации по требованиям международного стандарта ISO/IEC 27001:2013 понимается комплекс организационно-технических мероприятий, проводимых независимыми экспертами, в результате которых, посредством специального «Сертификата соответствия», подтверждается наличие и надлежащее функционирование всех рекомендуемых Стандартом механизмов контроля, применимых в данной организации. Целью работ по сертификации также является совершенствование СУИБ организации в соответствии с рекомендациями стандарта ISO/IEC 27001:2013.

GlobalTrust совместно с российском отделением BSI Management Systems предлагает российским организациям услуги по сертификации систем управления информационной безопасностью на соответствие требованиям международного стандарта ISO 27001. GlobalTrust в качестве консультанта, имеющего статус BSI Registered Member, берет на себя подготовку организаций к прохождению процедуры сертификации, в соответствии с одобренной BSI MS методологией.

Эксперты GlobalTrust оказывают квалифицированную помощь своим клиентам на всех этапах проведения сертификации, включая финальный аудит системы управления информационной безопасностью. В свою очередь российское отделение BSI Management Sуstems занимается проведением предсертификационного и сертификационного аудита, регистрацией соискателей в едином реестре BSI/UKAS и выдачей зарегистрированным организациям сертификатов международного образца.

Cертификация полностью оправдывает вложенные в эту процедуру средства и время. В результате организации получают ряд неоспоримых преимуществ:

  • Во-первых, происходит официальная регистрация СУИБ организации в реестре авторитетных органов, таких как служба аккредитации Великобритании (UKAS), что укрепляет имидж компании, повышает интерес со стороны потенциальных клиентов, инвесторов, кредиторов и спонсоров.
  • Во-вторых, в результате успешной сертификации расширяется сфера деятельности компании за счет получения возможности участия в тендерах и развития бизнеса на международном уровне.

В наиболее чувствительных к уровню информационной безопасности областях, такой, например, как финансы, наличие сертификата соответствия ISO 27001 начинает выступать как обязательное требование для осуществления деятельности. Некоторые российские компании уже сталкиваются с этими ограничениями.

Процедура сертификации оказывает серьезное мотивирующее и мобилизующее воздействие на персонал компании: повышается уровень осведомленности сотрудников, эффективнее выявляются и устраняются недостатки и несоответствия в системе управления информационной безопасностью, что в перспективе означает для организации снижение среднестатистического ущерба от инцидентов безопасности, а также сокращение накладных расходов на эксплуатацию информационных систем. Вполне возможно, наличие сертификата позволит застраховать информационные риски организации на более выгодных условиях.

Как свидетельствует текущая практика, расходы на сертификацию в большинстве случаев несопоставимо малы в сравнении с затратами организации на обеспечение информационной безопасности, а получаемые преимущества многократно их компенсируют.

Все перечисленные преимущества организация получает только в том случае, если речь идет о системе сертификации, имеющей международное признание, в рамках которой обеспечивается надлежащее качество проведения работ и достоверность результатов.

Сертификация предусматривает комплексный аудит СУИБ в реальных условиях функционирования с целью проверки наличия рекомендуемых Стандартом механизмов контроля, оценки полноты и правильности их реализации, а также их адекватности существующим рискам. Обязательной составляющей работ по сертификации является анализ рисков информационной безопасности. Сертификация также предусматривает проектирование и внедрение недостающих механизмов контроля, их интеграцию в существующую организационную и программно-техническую инфраструктуру организации, а также оценку эффективности и совершенствование существующих механизмов контроля.

Сертификация проводится органом сертификации в установленном порядке в соответствии со схемой, выбираемой на этапе инициирования процедуры сертификации.

Сертификация СУИБ по требованиям стандарта ISO/IEC 27001:2013 позволяет организации:

  • Построить СУИБ организации в соответствии с наиболее востребованным в мире международными стандартоми ИБ - ISO/IEC 27001:2013, на основе лучших примеров мирового опыта, и получить официальный и признаваемый во всем мире «сертификат соответствия», являющийся важным показателем надежности организации в глазах клиентов, партнеров, акционеров, аудиторов, и государственных и контролирующих органов
  • Выработать долговременную стратегию развития СУИБ организации, адекватную существующим тенденциям развития
  • Достигнуть комплексности, эффективности, прозрачности и экономической обоснованности мер по обеспечению информационной безопасности, предпринимаемых в организации
  • Повысить степень привлекательности организации на внутреннем и внешнем рынках

В соответствии с ISO/IEC 27001:2013, одной из ключевых областей контроля является обеспечение соответствии СУИБ организации требованиям действующего законодательства. «Сертификат соответствия» является подтверждением такого соответствия. Информационные системы, успешно прошедшие сертификацию, полностью отвечают требованиям законодательства той страны, в которой они эксплуатируются, и являются полностью подготовленными к аттестации по требованиям безопасности информации в государственной системе сертификации продуктов и услуг РФ.

Для предварительного заказа услуг по сертификации, уточнения задачи и получения дополнительных сведений Вы можете заполнить Заявку на сертификацию СУИБ. Наш менеджер обязательно свяжется с Вами и предоставит подробную информацию об услуге.