27001:2005 – межнациональный эталон информационной безопасности (ИБ), разработанный общими усилиями двух организаций:
• ISO (International Organization for Standardization);
• IEC (International Electrotechnical Commission).
Этот стандарт:
• устанавливает требования относительно формирования, поддержки и усовершенствования системы управления ИБ;
• призван повысить сопротивляемость организации информационным атакам со стороны злоумышленников;
• является идеальной моделью, сформированной на основе новейших мировых практик, которая подлежит адаптации под специфику конкретного предприятия;
• имеет аналог в РФ – ГОСТ Р ИСО/МЭК 27001.
Основные понятия
• конфиденциальность – обеспечение доступа к сведениям только авторизированным пользователем;
• целостность – достоверность и полнота сведений;
• доступность к данным по требованию.
Через три этих понятия стандартом 27001:2005 определяется содержание термина «защита данных». Он сформирован на базе системы менеджмента информационных рисков. Его внедрение дает ответы на насущные вопросы:
• какое направление ИБ требует усиления;
• какие финансовые и человеческие ресурсы нужно вложить для установления приемлемого уровня ИБ.
Преимущества внедрения
Внутренние позитивные изменения:
• информационное поле предприятие становится прозрачнее;
• облегчается контроль над использованием данных;
• выявляются ранее скрытые угрозы для бизнес-процессов и недостатки ИБ;
• система генерирует рекомендации по их искоренению.
Преимущества во внешней сфере:
• повышается уровень доверия к компании;
• исключается возможность штрафов за небрежное хранение персональных данных наемных работников со стороны госструктур;
• устраняются основания для применения мероприятий договорной ответственности за разглашение коммерческой тайны либо конфиденциальной информации (например, нотариальной, адвокатской тайны).