Danas je pitanje informacione sigurnosti (u daljem tekstu – IS) kompanija jedno od najrelevantnijih u svijetu. I to nije iznenađujuće, jer u mnogim zemljama postoje pooštravanje zahtjeva za organizacije koje čuvaju i obrađuju lične podatke. Trenutno, rusko zakonodavstvo zahtijeva da se značajan dio toka dokumenata vodi u papirnom obliku. Istovremeno, primjetan je trend digitalizacije: mnoge kompanije već pohranjuju veliku količinu povjerljivih informacija kako u digitalnom formatu, tako iu obliku papirnih dokumenata.
Prema rezultatima Analitičkog centra za borbu protiv malvera, 86% ispitanika je navelo da su tokom godine morali bar jednom da reše incidente nakon sajber napada ili kao posledica kršenja utvrđenih propisa od strane korisnika. S tim u vezi, prioritetna pažnja u poslovanju na informacijsku sigurnost postala je neophodna.
U ovom trenutku, korporativna informaciona sigurnost nije samo kompleks tehničkih sredstava, kao što su antivirusi ili firewall, već je integrirani pristup upravljanju imovinom kompanije općenito i informacijama posebno. Kompanije imaju različite pristupe rješavanju ovih problema. Danas bismo željeli govoriti o implementaciji međunarodnog standarda ISO 27001 kao rješenju takvog problema. Za kompanije na ruskom tržištu, prisustvo takvog certifikata pojednostavljuje interakciju sa stranim klijentima i partnerima koji imaju visoke zahtjeve po ovom pitanju. ISO 27001 se široko koristi na Zapadu i pokriva zahtjeve za sigurnost informacija koji moraju biti pokriveni tehničkim rješenjima koja se koriste, kao i pomoći u izgradnji poslovnih procesa. Dakle, ovaj standard može postati vaša konkurentska prednost i kontaktna tačka sa stranim kompanijama.
Ova sertifikacija Sistema upravljanja bezbednošću informacija (u daljem tekstu – ISMS) sakupila je najbolje prakse za projektovanje ISMS-a i, što je još važnije, omogućila mogućnost izbora kontrola koje će obezbediti funkcionisanje sistema, zahteve za tehnološku bezbednost, pa čak i za proces upravljanja osobljem u kompaniji. Na kraju krajeva, potrebno je shvatiti da su tehnički kvarovi samo dio problema. U pitanjima informacione sigurnosti veliku ulogu igra ljudski faktor, koji je mnogo teže isključiti ili minimizirati.
Ako vaša kompanija uskoro dobije ISO 27001 certifikat, možda ste već pokušali pronaći jednostavan način da to učinite. Morat ćemo vas razočarati: ovdje nema lakih načina. Međutim, postoje određeni koraci koji će pomoći pripremiti organizaciju za međunarodne zahtjeve sigurnosti informacija:
1. Dobijte podršku od menadžmenta
Možda mislite da je ovo očigledno, ali u praksi se ova tačka često zanemaruje. Štaviše, ovo je jedan od glavnih razloga zašto projekti implementacije ISO 27001 često propadaju. Bez razumijevanja značaja projekta za implementaciju standarda, menadžment neće obezbijediti ni dovoljne ljudske resurse ni dovoljan budžet za sertifikaciju.
2. Razviti plan pripreme za certifikaciju
Priprema za ISO 27001 certifikaciju je složen zadatak koji uključuje mnogo različitih vrsta poslova, zahtijeva uključivanje velikog broja ljudi i može trajati mnogo mjeseci (ili čak godina). Stoga je vrlo važno izraditi detaljan plan projekta: dodijeliti resurse, vrijeme i angažman ljudi na strogo definisane zadatke i pratiti poštovanje rokova – inače nećete moći da završite posao.
3. Odredite certifikacijski perimetar
Ako imate veliku organizaciju sa raznolikim aktivnostima, vjerovatno ima smisla certificirati samo dio poslovanja kompanije prema ISO 27001, što će značajno smanjiti rizike vašeg projekta, kao i njegovo vrijeme i troškove.
4. Razviti politiku sigurnosti informacija
Jedan od najvažnijih dokumenata je Politika informacione bezbednosti kompanije. Trebalo bi da odražava ciljeve Vaše kompanije u oblasti informacione bezbednosti i osnovne principe upravljanja bezbednošću informacija, koje moraju da poštuju svi zaposleni. Svrha ovog dokumenta je da definiše šta menadžment kompanije želi da postigne u oblasti informacione bezbednosti, kao i kako će se to implementirati i kontrolisati.
5. Definirajte metodologiju procjene rizika
Jedan od najtežih zadataka je definisanje pravila za procenu i upravljanje rizicima. Važno je razumjeti koje rizike kompanija može smatrati prihvatljivim, a koji zahtijevaju hitnu akciju za njihovo ublažavanje. Bez ovih pravila, ISMS neće raditi.
Istovremeno, vrijedno je podsjetiti na adekvatnost razvijenih mjera poduzetih za smanjenje rizika. Ali ne biste se trebali previše zanositi procesom optimizacije, jer oni, između ostalog, podrazumijevaju velike vremenske ili financijske troškove, ili mogu jednostavno biti nemogući. Preporučujemo da koristite princip „minimalne dovoljnosti” kada razvijate mjere za smanjenje rizika.
6. Upravljati rizicima prema odobrenoj metodologiji
Sljedeća faza je dosljedna primjena metodologije upravljanja rizicima, odnosno njihova procjena i obrada. Ovaj proces se mora provoditi redovno s velikom pažnjom. Održavanjem registra rizika za sigurnost informacija ažurnim, možete efikasno alocirati resurse kompanije i spriječiti ozbiljne incidente.
7. Planirajte svoj tretman rizika
Rizici koji prelaze nivo prihvatljiv za vašu kompaniju treba da budu uključeni u plan tretmana rizika. Trebalo bi evidentirati radnje koje imaju za cilj smanjenje rizika, kao i osobe odgovorne za njih i vrijeme.
8. Popunite Izjavu o primjenjivosti
Ovo je ključni dokument koji će tijelo za ovjeravanje ispitati tokom revizije. Trebalo bi opisati koje se kontrole sigurnosti informacija primjenjuju na poslovanje vaše kompanije.
9. Odredite kako će se mjeriti efikasnost kontrola sigurnosti informacija
Svaka akcija mora imati rezultat koji vodi ka ispunjenju postavljenih ciljeva. Stoga je važno jasno definisati parametre kojima će se mjeriti postizanje ciljeva kako za cijeli sistem upravljanja sigurnošću informacija, tako i za svaki odabrani kontrolni mehanizam iz Aneksa primjenjivosti.
10. Implementirati kontrole sigurnosti informacija
I tek nakon implementacije svih prethodnih koraka, trebate započeti implementaciju primjenjivih kontrola sigurnosti informacija iz Dodatka o primjenjivosti. Najveći izazov ovdje će, naravno, biti implementacija potpuno novog načina rada u mnogim procesima vaše organizacije. Ljudi se obično opiru novim politikama i procedurama, pa obratite pažnju na sljedeću tačku.
11. Implementirati programe obuke zaposlenih
Sve gore opisane tačke bit će besmislene ako vaši zaposleni ne razumiju važnost projekta i ne postupaju u skladu sa politikama sigurnosti informacija. Ako želite da se vaše osoblje pridržava svih novih pravila, prvo morate objasniti ljudima zašto su potrebna, a zatim obezbijediti obuku o ISMS-u, naglašavajući sve važne politike koje zaposleni trebaju uzeti u obzir u svom svakodnevnom radu. Nedostatak obuke osoblja je čest razlog zašto projekt ISO 27001 ne uspijeva.
12. Održavati ISMS procese
U ovoj fazi, ISO 27001 postaje svakodnevna rutina u vašoj organizaciji. Da bi potvrdili implementaciju kontrola sigurnosti informacija u skladu sa standardom, revizori će morati obezbijediti evidenciju – dokaz o stvarnom funkcionisanju kontrola. Ali prije svega, evidencija bi vam trebala pomoći da pratite da li vaši zaposlenici (i dobavljači) obavljaju svoje zadatke u skladu s odobrenim pravilima.
13. Nadgledajte ISMS
Šta se dešava sa vašim ISMS-om? Koliko incidenata imate, koje su vrste? Da li se sve procedure pravilno poštuju? Uz ova pitanja provjerite da li kompanija ostvaruje svoje ciljeve u pogledu informacione sigurnosti. Ako ne, morate razviti plan za ispravljanje situacije.
14. Sprovesti internu reviziju ISMS-a
Svrha interne revizije je da otkrije nesklad između stvarnih procesa u kompaniji i odobrenih IS politika. Uglavnom, ovo je test kako se vaši zaposleni pridržavaju pravila. Ovo je vrlo važna stvar, jer ako ne kontrolišete rad svog osoblja, organizacija može biti oštećena (namjerno ili nenamjerno). Ali poenta ovdje nije u pronalaženju počinitelja i izricanju disciplinskih sankcija za nepoštivanje politike, već u ispravljanju situacije i sprječavanju budućih problema.
15. Organizirajte pregled menadžmenta
Menadžment ne mora da postavlja vaš zaštitni zid, ali mora da zna šta se dešava u ISMS-u, na primer, da li ispunjavaju sve svoje odgovornosti i da li ISMS postiže planirane rezultate. Na osnovu toga, menadžment treba da donese ključne odluke za poboljšanje ISMS-a i internih poslovnih procesa.
16. Uvesti sistem korektivnih i preventivnih radnji
Kao i svaki standard, ISO 27001 zahtijeva "kontinuirano poboljšanje": sistematsko ispravljanje i sprječavanje nedosljednosti u sistemu upravljanja sigurnošću informacija. Korektivne i preventivne radnje mogu ispraviti neusklađenost i spriječiti njeno ponavljanje u budućnosti.
Kao zaključak, želio bih reći da je zapravo mnogo teže dobiti certifikat nego što je opisano u raznim izvorima. Potvrda je činjenica da je danas samo u Rusiji su certificirani za usklađenost. Istovremeno, u inostranstvu je to jedan od najpopularnijih standarda koji zadovoljava rastuće potrebe poslovanja u oblasti informacione bezbednosti. Ovakva potražnja za implementacijom je uzrokovana ne samo porastom i usložnjavanjem vrsta prijetnji, već i zahtjevima zakona, kao i klijentima koji moraju zadržati potpunu povjerljivost svojih podataka.
Uprkos činjenici da ISMS certifikacija nije lak zadatak, sama činjenica ispunjavanja zahtjeva međunarodnog standarda ISO/IEC 27001 može dati ozbiljnu konkurentsku prednost na globalnom tržištu. Nadamo se da je naš članak dao primarno razumijevanje ključnih faza u pripremi kompanije za certifikaciju.
izvor: www.habr.com