Как да внедрим ISO 27001: инструкции за употреба

Днес въпросът за информационната сигурност (наричана по-нататък информационна сигурност) на компаниите е един от най-належащите в света. И това не е изненадващо, защото в много страни има затягане на изискванията към организациите, които съхраняват и обработват лични данни. В момента руското законодателство изисква поддържането на значителна част от документооборота на хартиен носител. В същото време се забелязва тенденцията към дигитализация: много компании вече съхраняват голямо количество поверителна информация както в цифров формат, така и под формата на хартиени документи.

Според резултатите изследване Аналитичен център за борба с злонамерен софтуер, 86% от респондентите отбелязват, че през годината поне веднъж е трябвало да разрешават инциденти след кибератаки или в резултат на потребителски нарушения на установените разпоредби. В тази връзка приоритизирането на информационната сигурност в бизнеса се превърна в необходимост.

Понастоящем корпоративната информационна сигурност не е само набор от технически средства, като антивируси или защитни стени, тя вече е интегриран подход за работа с активите на компанията като цяло и информацията в частност. Компаниите подхождат по различен начин към тези проблеми. Днес бихме искали да говорим за прилагането на международния стандарт ISO 27001 като решение на такъв проблем. За компаниите на руския пазар наличието на такъв сертификат опростява взаимодействието с чуждестранни клиенти и партньори, които имат високи изисквания по този въпрос. ISO 27001 е широко използван на Запад и обхваща изискванията в областта на информационната сигурност, които трябва да бъдат покрити от използваните технически решения, а също така да допринесат за развитието на бизнес процесите. Така този стандарт може да стане ваше конкурентно предимство и точка за контакт с чуждестранни компании.

Тази сертификация на Системата за управление на информационната сигурност (наричана по-нататък ISMS) събра най-добрите практики за проектиране на ISMS и, което е важно, предостави възможност за избор на инструменти за контрол, за да се гарантира функционирането на системата, изисквания за поддръжка на технологична сигурност и дори за процеса на управление на персонала във фирмата. В крайна сметка е необходимо да се разбере, че техническите повреди са само част от проблема. По въпросите на информационната сигурност човешкият фактор играе огромна роля и е много по-трудно да се премахне или минимизира.

Ако вашата компания иска да стане сертифицирана по ISO 27001, тогава може би вече сте се опитали да намерите лесния начин да го направите. Трябва да ви разочароваме: тук няма лесни пътища. Има обаче определени стъпки, които ще помогнат на организацията да се подготви за международните изисквания за информационна сигурност:

1. Получете подкрепа от ръководството

Може да мислите, че това е очевидно, но на практика този момент често се пренебрегва. Освен това, това е една от основните причини, поради които проектите за внедряване на ISO 27001 често се провалят. Без разбиране на значението на проекта за внедряване на стандарта, ръководството няма да осигури нито достатъчно човешки ресурси, нито достатъчен бюджет за сертифициране.

2. Разработете план за подготовка за сертифициране

Подготовката за сертифициране по ISO 27001 е сложна задача, която включва много различни видове работа, изисква участието на голям брой хора и може да отнеме много месеци (или дори години). Ето защо е много важно да създадете подробен план на проекта: разпределете ресурси, време и ангажираност на хората за строго определени задачи и следете за спазването на сроковете - в противен случай може никога да не завършите работата.

3. Определете периметъра на сертифициране

Ако имате голяма организация с разнообразни дейности, може би има смисъл да сертифицирате само част от бизнеса на компанията по ISO 27001, което значително ще намали риска на вашия проект, както и времето и разходите за него.

4. Разработване на политика за информационна сигурност

Един от най-важните документи е Политиката за информационна сигурност на компанията. Той трябва да отразява целите на вашата компания за информационна сигурност и основните принципи на управление на информационната сигурност, които трябва да се следват от всички служители. Целта на този документ е да определи какво иска да постигне ръководството на компанията в областта на информационната сигурност, както и как това ще се прилага и контролира.

5. Определете методология за оценка на риска

Една от най-трудните задачи е определянето на правила за оценка и управление на риска. Важно е да се разбере кои рискове една компания може да счита за приемливи и кои изискват незабавни действия за намаляването им. Без тези правила ISMS няма да работи.
В същото време си струва да запомните адекватността на предприетите мерки за намаляване на рисковете. Но не бива да се увличате твърде много от процеса на оптимизация, защото те също включват големи времеви или финансови разходи или просто могат да бъдат невъзможни. Препоръчваме ви да използвате принципа на „минимална достатъчност“, когато разработвате мерки за намаляване на риска.

6. Управлявайте рисковете по утвърдена методология

Следващият етап е последователното прилагане на методологията за управление на риска, тоест тяхната оценка и обработка. Този процес трябва да се извършва редовно с голямо внимание. Поддържайки регистъра на рисковете за информационната сигурност актуален, вие ще можете ефективно да разпределяте ресурсите на компанията и да предотвратявате сериозни инциденти.

7. Планирайте лечение на риска

Рисковете, които надхвърлят приемливо ниво за вашата компания, трябва да бъдат включени в плана за третиране на риска. В него трябва да се записват действията, насочени към намаляване на рисковете, както и лицата, отговорни за тях, и сроковете.

8. Попълнете Декларацията за приложимост

Това е ключов документ, който ще бъде проучен от специалисти от сертифициращия орган по време на одита. Той трябва да описва кои контроли за сигурност на информацията се прилагат към дейностите на вашата компания.

9. Определете как ще се измерва ефективността на контролите за информационна сигурност.

Всяко действие трябва да има резултат, водещ до изпълнение на поставените цели. Ето защо е важно ясно да се дефинира по какви параметри ще се измерва постигането на целите както за цялата система за управление на информационната сигурност, така и за всеки избран контролен механизъм от Приложението за приложимост.

10. Внедрете контрол за сигурност на информацията

И едва след като завършите всички предишни стъпки, трябва да започнете да прилагате приложимите контроли за сигурност на информацията от Приложението за приложимост. Най-голямото предизвикателство тук, разбира се, ще бъде въвеждането на напълно нов начин за правене на нещата в много от процесите на вашата организация. Хората са склонни да се съпротивляват на новите политики и процедури, така че обърнете внимание на следващата точка.

11. Прилагане на програми за обучение на служителите

Всички точки, описани по-горе, ще бъдат безсмислени, ако вашите служители не разбират важността на проекта и не действат в съответствие с политиките за информационна сигурност. Ако искате вашият персонал да спазва всички нови правила, първо трябва да обясните на хората защо са необходими и след това да осигурите обучение за ISMS, подчертавайки всички важни политики, които служителите трябва да вземат предвид в ежедневната си работа. Липсата на обучение на персонала е често срещана причина за неуспеха на проекта по ISO 27001.

12. Поддържайте ISMS процеси

В този момент ISO 27001 става ежедневна рутина във вашата организация. За да потвърдят прилагането на контролите за сигурност на информацията в съответствие със стандарта, одиторите ще трябва да предоставят записи - доказателства за действителното функциониране на контролите. Но най-вече записите трябва да ви помогнат да проследите дали вашите служители (и доставчици) изпълняват задачите си в съответствие с одобрените правила.

13. Наблюдавайте своя ISMS

Какво става с вашия ISMS? Колко инцидента имате, какъв тип са? Спазват ли се правилно всички процедури? С тези въпроси трябва да проверите дали компанията изпълнява целите си за информационна сигурност. Ако не, трябва да разработите план за коригиране на ситуацията.

14. Провеждане на вътрешен ISMS одит

Целта на вътрешния одит е да идентифицира несъответствията между реалните процеси в компанията и одобрените политики за информационна сигурност. В по-голямата си част той проверява доколко вашите служители спазват правилата. Това е много важен момент, защото ако не контролирате работата на вашия персонал, организацията може да претърпи щети (умишлени или неумишлени). Но целта тук не е да открием виновните и да ги дисциплинираме за неспазване на политиките, а да коригираме ситуацията и да предотвратим бъдещи проблеми.

15. Организирайте преглед на ръководството

Ръководството не трябва да конфигурира вашата защитна стена, но трябва да знае какво се случва в ISMS: например дали всеки изпълнява своите отговорности и дали ISMS постига целевите си резултати. Въз основа на това ръководството трябва да вземе ключови решения за подобряване на ISMS и вътрешните бизнес процеси.

16. Въведете система от коригиращи и превантивни действия

Като всеки стандарт, ISO 27001 изисква „непрекъснато подобрение“: систематично коригиране и предотвратяване на несъответствия в системата за управление на информационната сигурност. Чрез коригиращи и превантивни действия несъответствието може да бъде коригирано и да се предотврати повторна поява в бъдеще.

В заключение бих искал да кажа, че всъщност получаването на сертификат е много по-трудно, отколкото е описано в различни източници. Това се потвърждава от факта, че в Русия днес има само 78 компании са сертифицирани за съответствие. В същото време това е един от най-популярните стандарти в чужбина, отговарящ на нарастващите изисквания на бизнеса в областта на информационната сигурност. Това търсене на внедряване се дължи не само на нарастването и сложността на видовете заплахи, но и на изискванията на законодателството, както и на клиентите, които трябва да поддържат пълна конфиденциалност на своите данни.

Въпреки факта, че сертифицирането по ISMS не е лесна задача, самият факт на покриване на изискванията на международния стандарт ISO/IEC 27001 може да осигури сериозно конкурентно предимство на световния пазар. Надяваме се, че нашата статия е предоставила първоначално разбиране на ключовите етапи в подготовката на компания за сертифициране.

Източник: www.habr.com