Bu gün şirkətlərin informasiya təhlükəsizliyi (bundan sonra informasiya təhlükəsizliyi) məsələsi dünyada ən aktual məsələlərdən biridir. Və bu təəccüblü deyil, çünki bir çox ölkələrdə şəxsi məlumatları saxlayan və emal edən təşkilatlara tələblər sərtləşdirilir. Hazırda Rusiya qanunvericiliyi sənəd dövriyyəsinin əhəmiyyətli bir hissəsinin kağız şəklində saxlanmasını tələb edir. Eyni zamanda, rəqəmsallaşma tendensiyası nəzərə çarpır: bir çox şirkətlər artıq həm rəqəmsal formatda, həm də kağız sənədlər şəklində böyük miqdarda məxfi məlumat saxlayırlar.
Nəticələrə əsaslanaraq Zərərli Proqramlara Qarşı Analitik Mərkəzi, respondentlərin 86%-i qeyd edib ki, il ərzində ən azı bir dəfə kiberhücumlardan sonra və ya istifadəçilərin müəyyən edilmiş qaydaların pozulması nəticəsində yaranan insidentləri həll etməli olublar. Bu baxımdan biznesdə informasiya təhlükəsizliyinin prioritetləşdirilməsi zərurətə çevrilib.
Hal-hazırda korporativ informasiya təhlükəsizliyi təkcə antiviruslar və ya firewall kimi texniki vasitələrin məcmusudur, o, artıq ümumilikdə şirkət aktivlərinin və xüsusən də məlumatların idarə edilməsinə inteqrasiya olunmuş yanaşmadır. Şirkətlər bu problemlərə fərqli yanaşırlar. Bu gün belə bir problemin həlli kimi ISO 27001 beynəlxalq standartının tətbiqi haqqında danışmaq istərdik. Rusiya bazarındakı şirkətlər üçün belə bir sertifikatın olması bu məsələdə yüksək tələbləri olan xarici müştərilər və tərəfdaşlarla qarşılıqlı əlaqəni asanlaşdırır. ISO 27001 Qərbdə geniş istifadə olunur və istifadə olunan texniki həllərlə əhatə edilməli olan informasiya təhlükəsizliyi sahəsində tələbləri əhatə edir, həmçinin biznes proseslərinin inkişafına töhfə verir. Beləliklə, bu standart sizin rəqabət üstünlüyünüzə və xarici şirkətlərlə əlaqə nöqtəsinə çevrilə bilər.
İnformasiya Təhlükəsizliyi İdarəetmə Sisteminin (bundan sonra İİS adlandırılacaq) bu sertifikatı İBS-nin layihələndirilməsi üçün ən yaxşı təcrübələri topladı və ən başlıcası, sistemin işləməsini təmin etmək üçün nəzarət vasitələrini, texnoloji təhlükəsizlik dəstəyi tələblərini və hətta şirkətdə kadrların idarə edilməsi prosesi üçün. Axı başa düşmək lazımdır ki, texniki nasazlıqlar problemin yalnız bir hissəsidir. İnformasiya təhlükəsizliyi məsələlərində insan amili böyük rol oynayır və onu aradan qaldırmaq və ya minimuma endirmək daha çətindir.
Əgər şirkətiniz ISO 27001 sertifikatına sahib olmaq istəyirsə, onda siz artıq bunun asan yolunu tapmağa çalışmısınız. Sizi məyus etməliyik: burada asan yollar yoxdur. Bununla belə, təşkilatı beynəlxalq informasiya təhlükəsizliyi tələblərinə hazırlamağa kömək edəcək müəyyən addımlar var:
1. Rəhbərlikdən dəstək alın
Bunun açıq olduğunu düşünə bilərsiniz, amma praktikada bu məqam çox vaxt diqqətdən kənarda qalır. Bundan əlavə, bu, ISO 27001 tətbiqi layihələrinin tez-tez uğursuz olmasının əsas səbəblərindən biridir. Standart icra layihəsinin əhəmiyyətini dərk etmədən rəhbərlik sertifikatlaşdırma üçün nə kifayət qədər insan resursları, nə də kifayət qədər büdcə təmin etməyəcək.
2. Sertifikatlaşdırmaya hazırlıq planını hazırlayın
ISO 27001 sertifikatına hazırlıq çoxlu müxtəlif iş növlərini əhatə edən, çoxlu sayda insanın cəlb olunmasını tələb edən və bir çox aylar (və ya hətta illər) çəkə bilən mürəkkəb bir işdir. Buna görə də, ətraflı layihə planı yaratmaq çox vacibdir: resursları, vaxtı və insanları ciddi şəkildə müəyyən edilmiş tapşırıqlara cəlb etmək və son tarixlərə riayət olunmasına nəzarət etmək - əks halda işi heç vaxt başa çatdıra bilməyəcəksiniz.
3. Sertifikatlaşdırma perimetrini müəyyən edin
Əgər şaxələndirilmiş fəaliyyətləri olan böyük bir təşkilatınız varsa, şirkət biznesinin yalnız bir hissəsini ISO 27001-ə uyğun olaraq sertifikatlaşdırmağın mənası ola bilər ki, bu da layihənizin riskini, həmçinin onun vaxtını və dəyərini əhəmiyyətli dərəcədə azaldacaq.
4. İnformasiya təhlükəsizliyi siyasətinin hazırlanması
Ən vacib sənədlərdən biri şirkətin İnformasiya Təhlükəsizliyi Siyasətidir. O, şirkətinizin informasiya təhlükəsizliyi məqsədlərini və bütün işçilər tərəfindən riayət edilməli olan informasiya təhlükəsizliyinin idarə edilməsinin əsas prinsiplərini əks etdirməlidir. Bu sənədin məqsədi şirkət rəhbərliyinin informasiya təhlükəsizliyi sahəsində nəyə nail olmaq istədiyini, eləcə də bunun necə həyata keçiriləcəyini və nəzarət ediləcəyini müəyyən etməkdir.
5. Riskin qiymətləndirilməsi metodologiyasını müəyyənləşdirin
Ən çətin vəzifələrdən biri risklərin qiymətləndirilməsi və idarə edilməsi üçün qaydaların müəyyən edilməsidir. Bir şirkətin hansı riskləri məqbul hesab edə biləcəyini və hansı riskləri azaltmaq üçün təcili tədbirlər görməyi tələb etdiyini başa düşmək vacibdir. Bu qaydalar olmadan ISMS işləməyəcək.
Eyni zamanda, riskləri azaltmaq üçün görülən tədbirlərin adekvatlığını da xatırlamağa dəyər. Ancaq optimallaşdırma prosesi ilə çox məşğul olmamalısınız, çünki onlar həm də böyük vaxt və ya maliyyə xərcləri tələb edir və ya sadəcə qeyri-mümkün ola bilər. Risklərin azaldılması tədbirlərini hazırlayarkən “minimum kifayətlik” prinsipindən istifadə etməyi tövsiyə edirik.
6. Riskləri təsdiq edilmiş metodologiyaya uyğun idarə etmək
Növbəti mərhələ risklərin idarə edilməsi metodologiyasının ardıcıl tətbiqi, yəni onların qiymətləndirilməsi və işlənməsidir. Bu proses mütəmadi olaraq çox diqqətlə aparılmalıdır. İnformasiya təhlükəsizliyi risk reyestrini aktual saxlamaqla siz şirkət resurslarını effektiv şəkildə bölüşdürə və ciddi insidentlərin qarşısını ala biləcəksiniz.
7. Risk müalicəsini planlaşdırın
Şirkətiniz üçün məqbul həddi aşan risklər riskin müalicəsi planına daxil edilməlidir. O, risklərin azaldılmasına yönəlmiş tədbirləri, habelə onlara cavabdeh olan şəxsləri və son tarixləri qeyd etməlidir.
8. Tətbiq olunma haqqında bəyanatı doldurun
Bu, audit zamanı sertifikatlaşdırma orqanının mütəxəssisləri tərəfindən öyrəniləcək əsas sənəddir. O, şirkətinizin fəaliyyətinə hansı informasiya təhlükəsizliyi nəzarətinin tətbiq olunduğunu təsvir etməlidir.
9. İnformasiya təhlükəsizliyinə nəzarətin effektivliyinin necə ölçüləcəyini müəyyən edin.
İstənilən hərəkətin müəyyən edilmiş məqsədlərin həyata keçirilməsinə aparan nəticəsi olmalıdır. Buna görə də, həm bütün informasiya təhlükəsizliyi idarəetmə sistemi üçün, həm də Tətbiq olunan Əlavədən seçilmiş hər bir nəzarət mexanizmi üçün məqsədlərə nail olunmasının hansı parametrlərlə ölçüləcəyini dəqiq müəyyən etmək vacibdir.
10. İnformasiya təhlükəsizliyinə nəzarətin həyata keçirilməsi
Və yalnız bütün əvvəlki addımları tamamladıqdan sonra Tətbiq Edilmə Əlavəsindən müvafiq məlumat təhlükəsizliyi nəzarətlərini həyata keçirməyə başlamalısınız. Burada ən böyük problem, əlbəttə ki, təşkilatınızın bir çox prosesində işlərin görülməsi üçün tamamilə yeni bir üsul təqdim etmək olacaq. İnsanlar yeni siyasət və prosedurlara müqavimət göstərməyə meyllidirlər, ona görə də növbəti məqama diqqət yetirin.
11. İşçilər üçün təlim proqramlarının həyata keçirilməsi
Əgər işçiləriniz layihənin əhəmiyyətini dərk etmirsə və informasiya təhlükəsizliyi siyasətinə uyğun hərəkət etmirsə, yuxarıda təsvir olunan bütün məqamlar mənasız olacaq. Əgər siz işçilərinizin bütün yeni qaydalara əməl etməsini istəyirsinizsə, ilk növbədə insanlara onların nə üçün lazım olduğunu izah etməli, sonra isə işçilərin gündəlik işlərində nəzərə almalı olduqları bütün vacib siyasətləri vurğulayaraq İİS ilə bağlı təlimlər keçirməlisiniz. İşçilərin təliminin olmaması ISO 27001 layihəsinin uğursuzluğunun ümumi səbəbidir.
12. ISMS proseslərini qoruyun
Bu nöqtədə ISO 27001 təşkilatınızda gündəlik rutinə çevrilir. Standarta uyğun olaraq informasiya təhlükəsizliyinə nəzarət tədbirlərinin həyata keçirilməsini təsdiq etmək üçün auditorlar qeydləri - nəzarət vasitələrinin faktiki fəaliyyətinin sübutunu təqdim etməlidirlər. Ancaq ən çox qeydlər işçilərinizin (və təchizatçılarınızın) təsdiq edilmiş qaydalara uyğun olaraq öz vəzifələrini yerinə yetirib-yetirmədiyini izləməyə kömək etməlidir.
13. ISMS-ə nəzarət edin
ISMS ilə nə baş verir? Neçə hadisəniz var, hansı növdür? Bütün prosedurlara düzgün əməl olunurmu? Bu suallarla siz şirkətin informasiya təhlükəsizliyi məqsədlərinə çatdığını yoxlamalısınız. Əgər yoxsa, vəziyyəti düzəltmək üçün bir plan hazırlamalısınız.
14. Daxili İBS auditini həyata keçirin
Daxili auditin məqsədi şirkətdəki faktiki proseslərlə təsdiq edilmiş informasiya təhlükəsizliyi siyasətləri arasında uyğunsuzluğu aşkar etməkdir. Əksər hallarda işçilərinizin qaydalara nə dərəcədə əməl etdiyini yoxlamaqdır. Bu, çox vacib məqamdır, çünki siz öz işçilərinizin işinə nəzarət etməsəniz, təşkilat zərər çəkə bilər (qəsdən və ya bilməyərəkdən). Amma burada məqsəd günahkarları tapmaq və siyasətə əməl etmədiklərinə görə onları intizamla cəzalandırmaq deyil, vəziyyəti düzəltmək və gələcək problemlərin qarşısını almaqdır.
15. Rəhbərliyin nəzərdən keçirilməsini təşkil edin
Rəhbərlik sizin firewallunuzu konfiqurasiya etməməlidir, lakin onlar ISMS-də nə baş verdiyini bilməlidirlər: məsələn, hər kəs öz öhdəliklərini yerinə yetirirmi və BSMS öz hədəf nəticələrinə nail olurmu. Buna əsaslanaraq, rəhbərlik İBS və daxili biznes proseslərini təkmilləşdirmək üçün əsas qərarlar qəbul etməlidir.
16. Düzəliş və qabaqlayıcı tədbirlər sistemini tətbiq edin
İstənilən standart kimi, ISO 27001 də “davamlı təkmilləşdirmə” tələb edir: informasiya təhlükəsizliyi idarəetmə sistemindəki uyğunsuzluqların sistematik şəkildə düzəldilməsi və qarşısının alınması. Düzəldici və qabaqlayıcı tədbirlər vasitəsilə uyğunsuzluq düzəldilə və gələcəkdə təkrarlanmasının qarşısı alına bilər.
Sonda demək istərdim ki, əslində sertifikat almaq müxtəlif mənbələrdə təsvir olunduğundan qat-qat çətindir. Bu, Rusiyada bu gün yalnız olması ilə təsdiqlənir uyğunluğu üçün sertifikatlaşdırılmışdır. Eyni zamanda, bu, informasiya təhlükəsizliyi sahəsində biznesin artan tələblərinə cavab verən xaricdə ən populyar standartlardan biridir. Həyata keçirilməsi üçün bu tələb təkcə təhdid növlərinin böyüməsi və mürəkkəbliyi ilə deyil, həm də qanunvericiliyin tələbləri, eləcə də məlumatlarının tam məxfiliyini qorumalı olan müştərilərlə bağlıdır.
ISMS sertifikatının asan məsələ olmamasına baxmayaraq, ISO/IEC 27001 beynəlxalq standartının tələblərinə cavab vermə faktının özü qlobal bazarda ciddi rəqabət üstünlüyü təmin edə bilər. Ümid edirik ki, məqaləmiz şirkətin sertifikatlaşdırmaya hazırlanmasının əsas mərhələləri haqqında ilkin anlayışı təmin etmişdir.
Mənbə: www.habr.com