Под сертификацией системы управления информационной безопасностью (СУИБ) организации по требованиям международного стандарта ISO/IEC 27001:2013 понимается комплекс организационно-технических мероприятий, проводимых независимыми экспертами, в результате которых, посредством специального «Сертификата соответствия», подтверждается наличие и надлежащее функционирование всех рекомендуемых Стандартом механизмов контроля, применимых в данной организации. Целью работ по сертификации также является совершенствование СУИБ организации в соответствии с рекомендациями стандарта ISO/IEC 27001:2013.
GlobalTrust совместно с российском отделением BSI Management Systems предлагает российским организациям услуги по сертификации систем управления информационной безопасностью на соответствие требованиям международного стандарта ISO 27001. GlobalTrust в качестве консультанта, имеющего статус BSI Registered Member, берет на себя подготовку организаций к прохождению процедуры сертификации, в соответствии с одобренной BSI MS методологией.
Эксперты GlobalTrust оказывают квалифицированную помощь своим клиентам на всех этапах проведения сертификации, включая финальный аудит системы управления информационной безопасностью. В свою очередь российское отделение BSI Management Sуstems занимается проведением предсертификационного и сертификационного аудита, регистрацией соискателей в едином реестре BSI/UKAS и выдачей зарегистрированным организациям сертификатов международного образца.
Cертификация полностью оправдывает вложенные в эту процедуру средства и время. В результате организации получают ряд неоспоримых преимуществ:
- Во-первых, происходит официальная регистрация СУИБ организации в реестре авторитетных органов, таких как служба аккредитации Великобритании (UKAS), что укрепляет имидж компании, повышает интерес со стороны потенциальных клиентов, инвесторов, кредиторов и спонсоров.
- Во-вторых, в результате успешной сертификации расширяется сфера деятельности компании за счет получения возможности участия в тендерах и развития бизнеса на международном уровне.
В наиболее чувствительных к уровню информационной безопасности областях, такой, например, как финансы, наличие сертификата соответствия ISO 27001 начинает выступать как обязательное требование для осуществления деятельности. Некоторые российские компании уже сталкиваются с этими ограничениями.
Процедура сертификации оказывает серьезное мотивирующее и мобилизующее воздействие на персонал компании: повышается уровень осведомленности сотрудников, эффективнее выявляются и устраняются недостатки и несоответствия в системе управления информационной безопасностью, что в перспективе означает для организации снижение среднестатистического ущерба от инцидентов безопасности, а также сокращение накладных расходов на эксплуатацию информационных систем. Вполне возможно, наличие сертификата позволит застраховать информационные риски организации на более выгодных условиях.
Как свидетельствует текущая практика, расходы на сертификацию в большинстве случаев несопоставимо малы в сравнении с затратами организации на обеспечение информационной безопасности, а получаемые преимущества многократно их компенсируют.
Все перечисленные преимущества организация получает только в том случае, если речь идет о системе сертификации, имеющей международное признание, в рамках которой обеспечивается надлежащее качество проведения работ и достоверность результатов.
Сертификация предусматривает комплексный аудит СУИБ в реальных условиях функционирования с целью проверки наличия рекомендуемых Стандартом механизмов контроля, оценки полноты и правильности их реализации, а также их адекватности существующим рискам. Обязательной составляющей работ по сертификации является анализ рисков информационной безопасности. Сертификация также предусматривает проектирование и внедрение недостающих механизмов контроля, их интеграцию в существующую организационную и программно-техническую инфраструктуру организации, а также оценку эффективности и совершенствование существующих механизмов контроля.