Чем мне нравится 27001?
1. Он про осмысленную и непрерывно совершенствующуюся ИБ.
2. Он про менеджмент, а не просто про внедрение мер.
3. Можно найти много дополнительных материалов и рекомендаций по теме.
4. Стандарт прошел проверку временем (первый стандарт серии появился в 1995 году)
5. Стандарт сертификационный.
6. Стандарт очень популярен в Мире (а может и является самым популярным), и широко применяется и в России и за рубежом.

Немного статистики:
В 2017 году (к сожалению более свежей статистики пока нет, может в конце года она появится) по информации с ISO.org в Мире было выдано 39 501 сертификат на системы управления ИБ (СУИБ), соответствующие требованиям ISO 27001:2013. Больше всего в Японии (9161), Китае (5069), UK (4503), Индии (3272) и США (1517). Для сравнения, в России всего 72, а по всей Европе 14605. Чаще всего на сертификацию выходят ИТ компании, особенно если они предоставляют сервисы.
В последние годы идет рост числа выданных сертификатов, порядка 20% ежегодно.

И это только те компании, которые прошли формальную сертификацию. Ну, т.е. тех, кто просто его использует в разы больше…

Немного статистики:
В 2017 году (к сожалению более свежей статистики пока нет, может в конце года она появится) по информации с ISO.org в Мире было выдано 39 501 сертификат на системы управления ИБ (СУИБ), соответствующие требованиям ISO 27001:2013. Больше всего в Японии (9161), Китае (5069), UK (4503), Индии (3272) и США (1517). Для сравнения, в России всего 72, а по всей Европе 14605. Чаще всего на сертификацию выходят ИТ компании, особенно если они предоставляют сервисы.
В последние годы идет рост числа выданных сертификатов, порядка 20% ежегодно.

И это только те компании, которые прошли формальную сертификацию. Ну, т.е. тех, кто просто его использует в разы больше…

По моим ощущениям, стандарт сейчас переживает новую волну популярности. Я это связываю с GDPR (там есть упоминание сертификации, но нет требований, многие ориентируются именно на 27001), осознанной необходимостью контролировать ИБ поставщиков и законодательным регулированием криптоплатформ и других сложных ИТ в некоторых странах (например, РБ). Также многие стандарты и “лучшие практики” используют остыл к 27001 или даже делают удобные маппинги…

У меня в блоге можно найти 53 заметки с тегом 27001, и их количество регулярно увеличивается - https://80na20.blogspot.com/search/label/27001

Ну, вот, как-то так для темы дня...

А у вас есть опыт работы с этим славным стандартом? Кто из вас с ним знаком и использует? Или может быть вы предпочитаете подходы NIST, SANS, COBIT, ISF или другие?

👍

Информативно. Спасибо

Andrey Андрей, приветствую! Какие основные метрики качества безопасности данных/процессов задаёт стандарт? топ3 примера, может быть. Или что-то своего опыта

Приходилось ли сталкиваться с примерами, когда компания прошла сертификацию по стандарту, предоставив на аудит всю правильную информацию (документы, описания процессов и т.п.),а по факту по этим процессам не живёт и с безопасностью у её все как-то непонятно.

Сам стандарт говорит о том, что в компании должны быть определены цели ИБ, а метрики должны показывать как вы к ним идёте, достигаете ли их. У нас был на прошлом аудите вот такой вопрос от аудитора по поводу метрик «Как вы понимаете, что вы делаете свою работу хорошо».

Что ответили?)

В своём блоге я несколько раз разбирал различные методики/модели и перечни метрик по ИБ

80na20.blogspot.con/search/label/метрики

Но идеального набора не существует, надо выбирать/придумывать под задачи Бизнеса. Из хороших подходов по выбору метрик отмечу Каскад целей по COBIT и забавную штуку SIRA NIST CSF

Расскажу в Сочи;)

Да, такое может быть. «Сертификация ради сертификации», но такие СУИБы долго не живут...

Часто причина в том, что консультанты сделали слишком сложные процедуры и быстро вышли сертфикацию. Не успели с ними пожить, обкатать...

Вообще, про проблему усложнения процессов планирую рассказать в Сочи. Вот, даже картинку для слайда презентации нашел

По опыту внедрения суиб по 27001 на прошлом месте работы такие наблюдения - процедуры должны быть простые как лом, но всегда иметь формализованную возможность отклонения. важно фиксировать все инциденты и вести статистику. это позволит посчитать риски. и да, собранные данные хотя бы за месяц это уже больше чем ничего вида  "мы вроде в прошлом году 2 раза поймали шифровальщика и один раз оплатили штраф за нарушение обработки ПДн".

плюс 27001 в приложении, которое помогает реализовать комплексный подход, а если чего то забыли - GAP анализ по итогам внутреннего аудита и план работ формируется быстро и понятно. "минус" 27001 - он про управление, поэтому его не сильно любят "спецы" :)

Ну тут ещё вопрос в области сертификации. Редко кто сертифицирует большую область, обычно только ключевые процессы, поэтому может быть и сертификат и проблемы с ИБ.)