На сённяшні дзень пытанне інфармацыйнай бяспекі (далей - ИБ) кампаній з'яўляецца адным з найбольш актуальных у свеце. І гэта нядзіўна, бо ў шматлікіх краінах адбываецца ўзмацненне жорсткасці патрабаванняў да арганізацый, якія захоўваюць і апрацоўваюць персанальныя дадзеныя. Цяпер расійскае заканадаўства патрабуе захавання значнай долі дакументаабароту ў папяровым выглядзе. Пры гэтым адчувальны трэнд на цыфравізацыі: многія кампаніі ўжо захоўваюць вялікую колькасць канфідэнцыйнай інфармацыі як у лічбавым фармаце, так і ў выглядзе папяровых дакументаў.
па выніках аналітычнага цэнтра Anti-Malware 86% рэспандэнтаў адзначылі, што за год ім хаця б раз прыйшлося ўрэгуляваць інцыдэнты пасля кібератак або ў выніку парушэння карыстальнікамі ўстаноўленых рэгламентаў. У сувязі з гэтым прыярытэтная ўвага ў бізнэсе да інфармацыйнай бяспекі стала неабходнасцю.
У цяперашні час карпаратыўная інфармацыйная бяспека - гэта не толькі комплекс тэхнічных сродкаў, такіх як антывірусы або міжсеткавыя экраны, гэта ўжо комплексны падыход да абыходжання з актывамі кампаніі ў цэлым і з інфармацыяй - у прыватнасці. Кампаніі па-рознаму падыходзяць да вырашэння гэтых праблем. Сёння мы хацелі б расказаць аб укараненні міжнароднага стандарту ISO 27001 у якасці вырашэння падобнай праблемы. Для кампаній на расійскім рынку наяўнасць падобнага сертыфіката спрашчае ўзаемадзеянне з замежнымі кліентамі і партнёрамі, у якіх ёсць высокія патрабаванні ў дадзеным пытанні. ISO 27001 шырока ўжываецца на Захадзе і ахоплівае патрабаванні ў вобласці ИБ, якія павінны пакрывацца выкарыстоўванымі тэхнічнымі рашэннямі, а таксама спрыяць выбудоўванню бізнэс-працэсаў. Такім чынам, дадзены стандарт можа стаць вашай канкурэнтнай перавагай і кропкай судотыку з замежнымі кампаніямі.
Дадзеная сертыфікацыя Сістэмы кіравання інфармацыйнай бяспекай (далей - СУИБ) сабрала ў сабе лепшыя практыкі праектавання СУИБ і, што немалаважна, прадугледзела магчымасць выбару сродкаў кіравання для забеспячэння функцыянавання сістэмы, патрабаванні да тэхналагічнага забеспячэння бяспекі і нават да працэсу кіравання персаналам у кампаніі. Бо неабходна разумець, што тэхнічныя збоі - гэта толькі частка праблемы. У пытаннях ИБ велізарную ролю гуляе чалавечы фактар, выключыць ці мінімізаваць які значна складаней.
Калі ваша кампанія збіраецца прайсці сертыфікацыю па стандарце ISO 27001, то, магчыма, вы ўжо спрабавалі знайсці лёгкі шлях, каб зрабіць гэта. Нам давядзецца вас расчараваць: лёгкіх шляхоў тут няма. Аднак ёсць пэўныя крокі, якія дапамогуць падрыхтаваць арганізацыю да міжнародных патрабаванняў па інфармацыйнай бяспецы:
1. Атрымайце падтрымку з боку кіраўніцтва
Вы можаце лічыць гэта відавочным, але на практыцы гэты момант часта выпускаюць з-пад увагі. Больш за тое, гэта адна з асноўных прычын, чаму часта праекты па ўкараненні ISO 27001 правальваюцца. Без разумення значнасці праекта па ўкараненні стандарту кіраўніцтва не прадаставіць або дастатковую колькасць чалавечых рэсурсаў, або дастатковы бюджэт для сертыфікацыі.
2. Распрацуйце план падрыхтоўкі да сертыфікацыі
Падрыхтоўка да сертыфікацыі па ISO 27001 - гэта комплексная задача, якая ўключае ў сябе розныя віды работ, патрабуе ўцягвання вялікай колькасці людзей і можа доўжыцца доўгія месяцы (ці нават гады). Таму вельмі важна скласці дэталёвы план праекта: размеркаваць рэсурсы, час і ўцягванне людзей на строга вызначаныя задачы і сачыць за выкананнем дэдлайнаў - інакш вы можаце ніколі не скончыць працу.
3. Вызначыце перыметр сертыфікацыі
Калі ў вас буйная арганізацыя з дыверсіфікаванай дзейнасцю, верагодна, мае сэнс сертыфікаваць па ISO 27001 толькі частка бізнэсу кампаніі, што значна зменшыць рызыкі вашага праекту, а таксама яго тэрміны і кошт.
4. Распрацуйце палітыку інфармацыйнай бяспекі
Адным з найважнейшых дакументаў з'яўляецца Палітыка інфармацыйнай бяспекі кампаніі. У ім варта адлюстраваць мэты вашай кампаніі ў галіне інфармацыйнай бяспекі і асноўныя прынцыпы кіравання ИБ, якая павінны выконвацца ўсімі супрацоўнікамі. Задача гэтага дакумента - вызначыць, чаго кіраўніцтва кампаніі хоча дасягнуць у галіне ИБ, а таксама якім чынам гэта будзе ажыццяўляцца і кантралявацца.
5. Вызначыце метадалогію ацэнкі рызык
Адна з самых складаных задач - вызначэнне правілаў ацэнкі рызык і кіравання імі. Важна разумець, якія рыскі кампанія можа лічыць прымальнымі для сябе, а якія патрабуюць неадкладных дзеянняў для іх зніжэння. Без гэтых правілаў СУІБ не будзе працаваць.
Пры гэтым варта памятаць аб адэкватнасці выпрацоўваемых мер, якія прымаюцца для памяншэння рызык. Але не варта моцна захапляцца працэсам аптымізацыі, бо яны нясуць за сабой у тым ліку і вялікія часавыя ці фінансавыя выдаткі ці могуць быць проста невыканальныя. Рэкамендуемы вам пры распрацоўцы мер па зніжэнні рызык карыстацца прынцыпам «мінімальнай дастатковасці».
6. Кіруйце рызыкамі паводле зацверджанай метадалогіі
Наступны этап - паслядоўнае прымяненне метадалогіі кіравання рызыкамі, гэта значыць іх ацэнка і апрацоўка. Гэты працэс павінен ажыццяўляцца на рэгулярнай аснове з вялікай дбайнасцю. Падтрымліваючы рэестр рызык ИБ ў актуальным стане, вы зможаце эфектыўна размяркоўваць рэсурсы кампаніі і прадухіляць сур'ёзныя інцыдэнты.
7. Плануйце апрацоўку рызык
Рызыкі, якія перавышаюць прымальны для вашай кампаніі ўзровень, павінны абавязкова трапляць у план апрацоўкі рызык. У ім павінны фіксавацца дзеянні, накіраваныя на зніжэнне рызык, а таксама адказныя за іх асобы і тэрміны.
8. Запоўніце Палажэнне аб дастасавальнасці
Гэта ключавы дакумент, які будзе вывучацца спецыялістамі з органа, які сертыфікуе пры правядзенні аўдыту. У ім павінна быць апісана, якія механізмы кантролю ў вобласці інфармацыйнай бяспекі дастасавальныя да дзейнасці вашай кампаніі.
9. Вызначыце, як будзе вымярацца эфектыўнасць сродкаў кіравання ИБ
Любое дзеянне павінна мець вынік, які вядзе да выканання ўсталяваных мэт. Таму важна дакладна вызначыць, па якіх параметрах будзе вымярацца дасягненне мэт як для ўсёй сістэмы кіравання ИБ, так і для кожнага абранага механізму кантролю з Дадатку аб дастасавальнасці.
10. Укараніце сродкі кіравання ИБ
І толькі пасля рэалізацыі ўсіх папярэдніх крокаў трэба прыступіць да ўкаранення прыдатных сродкаў кіравання ИБ з Дадатку аб дастасавальнасці. Самай вялікай складанасцю тут, вядома, будзе з'яўляцца ўкараненне зусім новай выявы дзеянняў у шматлікіх працэсах вашай арганізацыі. Людзі звычайна супраціўляюцца новым палітыкам і працэдурам, таму звярніце ўвагу на наступны пункт.
11. Укараніце праграмы навучання для супрацоўніка
Усе апісаныя вышэй пункты будуць бессэнсоўныя, калі вашы супрацоўнікі не разумеюць важнасці праекту і не дзейнічаюць у адпаведнасці з палітыкамі ИБ. Калі вы хочаце, каб ваш персанал выконваў усе новыя правілы, спачатку трэба растлумачыць людзям, чаму яны неабходныя, а затым правесці навучанне па СУІБ, асвятліўшы ўсе важныя палітыкі, якія павінны ўлічваць супрацоўнікі ў сваёй штодзённай працы. Адсутнасць навучання персанала з'яўляецца распаўсюджанай прычынай правалу праекта па ISO 27001.
12. Падтрымлівайце працэсы СУІБ
На гэтым этапе ISO 27001 становіцца паўсядзённай руцінай у вашай арганізацыі. Каб пацвердзіць укараненне сродкаў кіравання ИБ у адпаведнасці са стандартам, аўдытарам трэба будзе падаць запісы - доказы рэальнай працы механізмаў кантролю. Але ў першую чаргу запісы павінны дапамагчы вам адсочваць, ці выконваюць вашыя супрацоўнікі (і пастаўшчыкі) свае задачы ў адпаведнасці з зацверджанымі правіламі.
13. Падвяргайце СУІБ маніторынгу
Што адбываецца з вашай СУІБ? Колькі ў вас інцыдэнтаў, якога яны віду? Ці належным чынам выконваюцца ўсе працэдуры? З дапамогай гэтых пытанняў вы павінны праверыць, ці дасягае кампанія мэт у вобласці інфармацыйнай бяспекі. Калі не, вы павінны распрацаваць план выпраўлення сітуацыі.
14. Праводзіце ўнутраны аўдыт СУІБ
Мэта ўнутранага аўдыту - выявіць неадпаведнасць рэальных працэсаў у кампаніі зацверджаным палітыкам у галіне ИБ. Па большай частцы гэта праверка таго, наколькі вашыя супрацоўнікі выконваюць правілы. Гэта вельмі важны пункт, бо калі вы не кантралюеце працу свайго персанала, арганізацыі можа быць нанесены ўрон (наўмысны ці ненаўмысны). Але задача тут не ў тым, каб знайсці вінаватых і накласці на іх дысцыплінарныя спагнанні за невыкананне палітык, а ў тым, каб выправіць сітуацыю і прадухіліць будучыя праблемы.
15. Арганізуйце аналіз з боку кіраўніцтва
Кіраўніцтва не павінна наладжваць ваш файрвол, але яно павінна ведаць, што адбываецца ў СУІБ: напрыклад, ці выконваюць усе свае абавязкі і ці дасягае СУІБ мэтавых вынікаў. Грунтуючыся на гэтым, кіраўніцтва павінна прымаць ключавыя рашэнні па ўдасканаленні СУІБ і ўнутраных бізнес-працэсаў.
16. Увядзіце сістэму карэкціруючых і прэвентыўных дзеянняў
Як і любы стандарт ISO 27001 патрабуе "бесперапыннага паляпшэння": сістэматычнага выпраўлення і прадухілення неадпаведнасцяў у сістэме кіравання інфармацыйнай бяспекай. З дапамогай карэкціруючых і прэвентыўных дзеянняў можна выправіць неадпаведнасць і прадухіліць яго паўторнае з'яўленне ў будучыні.
Напрыканцы жадаецца сказаць, што насамрэч мінуць сертыфікацыю нашмат складаней, чым гэта апісана ў розных крыніцах. Пацвярджэннем з'яўляецца той факт, што ў Расіі на сённяшні дзень за ўсё прайшлі сертыфікацыю на адпаведнасць. Пры гэтым за мяжой гэта адзін з найболей папулярных стандартаў, якія адказваюць якія растуць запытам бізнэсу ў вобласці ИБ. Такая запатрабаванасць укаранення абумоўлена не толькі ростам і ўскладненнем тыпаў пагроз, але і патрабаваннямі заканадаўства, а таксама кліентаў, якім неабходна захаванне поўнай канфідэнцыйнасці іх звестак.
Нягледзячы на тое, што сертыфікацыя СУИБ з'яўляецца няпростай задачай, сам факт выканання патрабаванняў міжнароднага стандарту ISO/IEC 27001 можа даць сур'ёзную канкурэнтную перавагу на глабальным рынку. Спадзяемся, што наш артыкул даў першаснае разуменне ключавых этапаў пры падрыхтоўцы кампаніі да сертыфікацыі.
Крыніца: habr.com