Сертификация ГОСТ Р ИСО/МЭК 27001-2006 (ISO/IEC 27001:2005). Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - СДС "МСК"

ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» — это классическая версия национального стандарта, идентичная международному ISO/IEC 27001:2005. Несмотря на выход более новых версий, данный стандарт продолжает использоваться в ряде отраслей для обеспечения совместимости с ранее внедренными системами, выполнения условий долгосрочных государственных контрактов и соблюдения внутренних корпоративных стандартов, базирующихся на редакции 2005 года. Сертификация в системе «МСК» подтверждает, что ваша система защиты информации соответствует утвержденным требованиям.

В каких случаях нужен сертификат образца 2006 года?

Оформление сертификата именно по ГОСТ Р ИСО/МЭК 27001-2006 актуально в специфических ситуациях:

• Требования действующих контрактов. Если в вашем договоре с заказчиком (особенно в сфере гособоронзаказа или строительства инфраструктуры) жестко прописан номер ГОСТа 2006 года, предоставление более нового сертификата может формально считаться нарушением условий тендера.
• Внутренние регламенты. Для крупных холдингов, чья нормативная база была разработана на основе ISO 27001:2005 и еще не прошла процедуру актуализации.
• Интеграция с наследуемыми системами. Когда система безопасности строилась много лет назад и требует подтверждения соответствия именно исходной архитектуре.

Сертификат выдается сроком на 3 года. Документ подтверждает выполнение требований по защите конфиденциальности, целостности и доступности информации согласно методологии 2005 года.

Модель PDCA в стандарте 2006 года

ГОСТ Р ИСО/МЭК 27001-2006 жестко привязан к модели процессов «Plan-Do-Check-Act» (Планирование — Осуществление — Проверка — Действие). Мы проверяем:

1. Планирование (Plan). Определена ли политика ИБ, область действия системы и методология оценки рисков? Выбраны ли цели управления и средства контроля.
2. Осуществление (Do). Внедрен ли план обработки рисков? Реализованы ли меры защиты (управление доступом, безопасность оборудования).
3. Проверка (Check). Проводится ли мониторинг инцидентов и внутренние аудиты ИБ?
4. Действие (Act). Принимаются ли корректирующие меры по результатам аудитов для улучшения системы.

Основные домены контроля (Приложение А)

Стандарт 2006 года включает проверку классических мер управления безопасностью:

• Политика безопасности.
• Организация информационной безопасности.
• Управление активами (инвентаризация, классификация).
• Безопасность людских ресурсов (перед наймом, во время работы, при увольнении).
• Физическая безопасность и безопасность окружения.
• Управление коммуникациями и операциями.
• Контроль доступа (логический и физический).
• Приобретение, разработка и обслуживание информационных систем.
• Управление инцидентами информационной безопасности.
• Управление непрерывностью бизнеса.
• Соответствие требованиям (правовым и техническим).

Комплект выдаваемых документов

По результатам сертификации заказчик получает:

• Сертификат соответствия ГОСТ Р ИСО/МЭК 27001-2006 (ISO/IEC 27001:2005).
• Разрешение на применение знака соответствия системы «МСК».
• Сертификаты внутренних аудиторов.

Стоимость сертификации

Расчет стоимости производится индивидуально и зависит от:

Преимущества работы с нами

Система добровольной сертификации «МСК» обеспечивает:

• Точное соответствие запросу. Мы понимаем специфику работы с «классическими» версиями стандартов и оформляем документы в строгом соответствии с требованиями ГОСТ Р ИСО/МЭК 27001-2006.
• Конфиденциальность. Строгое соблюдение соглашения о неразглашении (NDA) на всех этапах работы.
• Оперативность. Ускоренная процедура оформления для закрытия срочных контрактных обязательств.