Информационная безопасность по ISO 27000: развенчиваем распространенные мифы

Для многих компаний сертификация по стеку документов ISO 27000 в ИБ является неким знаком качества и показателем зрелости организации. Однако, для многих вожделенным становится сам сертификат,  а не то, что за ним реально стоит. В виду этого в Интернете и в жизни среди не специалистов ходят большое количество слухов и мифов, касающиеся сертификации СУИБ в рамках ISO 27000. В одной из прошлых статей мы рассказывали о самой серии документов ISO 27000. Сегодня же мы попытаемся развеять несколько наиболее укоренившихся мифов касательной этой темы.

И так, давайте по порядку о самых популярных заблуждениях.

Миф №1 – Сертификация по ISO 27000

Это один из наиболее часто встречающихся мифов о существовании сертификации по ISO 27000 или по ISO 27k. На самом деле, требования к сертифицируемой системе управления информационной безопасностью (далее СУИБ), содержаться в одном единственном документе — ISO/IEC 27001:2005. Таким образом, существует сертификация СУИБ на соответствие требованиям содержащимся в  документе ISO/IEC 27001:2005, но никак не выполнение всех требований (собственно которые и не определены) зафиксированных в стеке стандартов под общим именем ISO 27000.

Миф №2 – Сертификат выдается на всю организацию

Область действия сертификата указана на самом сертификате и может быть (чаще всего так и есть) ограничена географической локацией, структурным подразделением, некой программно-аппаратной системой или комплексом и т.д. и т.п. Тут важно понимать, что выбор области сертификации целиком и полностью прерогатива самой компании. Аудиторы, безусловно, могут и должны указать на неудачно выбранную область, но окончательное решение остается за менеджментом компании. С точки зрения документа ISO 27001, ИБ – это прежде всего управление рисками, т.е. аудит ИБ с последующим принятием тех или иных управленческих решений.

Миф №3. Внедрение ИБ завершено — сертифицируемся!

Стандарт ISO 27001 описывает необходимость постоянного совершенствования системы, т.е. рассматривает внедрение СУИБ, как некий постоянно повторяющийся процесс. Более того, в самом стандарте четко и пошагово прописана структура PDCA цикла (цикл Деминга), о котором уже ранее мы рассказывали. В виду этого говорить о сертификации как следующем этапе после внедрения СУИБ некорректно.

Миф №4. У нас есть сертификат ISO 27001 – "теперь мы в безопасности"

Это тоже серьезное заблуждение. Как было сказано выше, с точки зрения ISO 27001, ИБ – это прежде всего управление рисками. Как вариант, руководство может принять существование рисков, т.е. принять их, сказать, что да, риски существуют, и мы будем с ними жить дальше, даже если это явная угроза ИБ. Сертификат в данном случае, позволит говорить о том, что в организации проведен анализ угроз и рисков, и менеджментом компании приняты решения, касающиеся управления этими самыми рисками. Т.е. компания осознано и комплексно управляет ИБ (что говорит о зрелой модели управления ИБ)

При этом, безусловно, внедрение и последующая сертификация СУИБ позволяют существенно повысить уровень ИБ. Как правило, в команде аудиторов, присутствуют и технические специалисты, которые оценивают конкретные технологические решения в рамках обеспечения ИБ.


Все, всем удачи и продуктивной безопасности!