Karon, ang isyu sa kasiguruhan sa kasayuran (gitawag nga kasiguruhan sa kasayuran) sa mga kompanya mao ang usa sa labing dinalian sa kalibutan. Ug dili kini katingad-an, tungod kay sa daghang mga nasud adunay paghigpit sa mga kinahanglanon alang sa mga organisasyon nga nagtipig ug nagproseso sa personal nga datos. Sa pagkakaron, ang Russian nga lehislasyon nagkinahanglan sa pagpadayon sa usa ka mahinungdanon nga proporsyon sa dagan sa dokumento sa papel nga porma. Sa parehas nga oras, ang uso sa digitalization mamatikdan: daghang mga kompanya ang nagtipig sa daghang kantidad sa kompidensyal nga kasayuran sa digital format ug sa porma sa mga dokumento sa papel.
Sumala sa mga resulta Anti-Malware Analytical Center, 86% sa mga respondents nakamatikod nga sulod sa tuig sila sa labing menos kausa kinahanglan nga sulbaron ang mga insidente human sa cyber attacks o isip resulta sa mga paglapas sa user sa natukod nga mga regulasyon. Niining bahina, ang pag-una sa kasiguruhan sa kasayuran sa negosyo nahimong usa ka kinahanglanon.
Sa pagkakaron, ang seguridad sa impormasyon sa korporasyon dili lamang usa ka hugpong sa mga teknikal nga paagi, sama sa mga antivirus o mga firewall, kini usa na ka integrated nga pamaagi sa pagdumala sa mga kabtangan sa kompanya sa kinatibuk-an ug sa partikular nga impormasyon. Ang mga kompanya nag-atubang niini nga mga problema sa lahi nga paagi. Karon gusto namon nga hisgutan ang bahin sa pagpatuman sa internasyonal nga sumbanan nga ISO 27001 ingon usa ka solusyon sa ingon nga problema. Alang sa mga kompanya sa merkado sa Russia, ang presensya sa ingon nga usa ka sertipiko nagpasimple sa pakig-uban sa mga langyaw nga kliyente ug mga kauban nga adunay taas nga mga kinahanglanon sa kini nga butang. Ang ISO 27001 kaylap nga gigamit sa Kasadpan ug gisakup ang mga kinahanglanon sa natad sa kasiguruhan sa kasayuran, nga kinahanglan masakop sa mga teknikal nga solusyon nga gigamit, ug makatampo usab sa pag-uswag sa mga proseso sa negosyo. Sa ingon, kini nga sumbanan mahimong imong bentaha sa kompetisyon ug usa ka punto sa kontak sa mga langyaw nga kompanya.
Kini nga sertipikasyon sa Sistema sa Pagdumala sa Seguridad sa Impormasyon (gitawag dinhi nga ISMS) nagkolekta sa labing kaayo nga mga gawi alang sa pagdesinyo sa usa ka ISMS ug, hinungdanon, naghatag alang sa posibilidad sa pagpili sa mga himan sa pagkontrol aron masiguro ang paglihok sa sistema, mga kinahanglanon alang sa suporta sa seguridad sa teknolohiya ug bisan pa. alang sa proseso sa pagdumala sa mga kawani sa kompanya. Human sa tanan, gikinahanglan nga masabtan nga ang teknikal nga mga kapakyasan kabahin lamang sa problema. Sa mga butang sa kasiguruhan sa kasayuran, ang hinungdan sa tawo adunay dako nga papel, ug labi ka lisud ang pagwagtang o pagminus niini.
Kung ang imong kompanya nagtan-aw nga mahimong sertipikado sa ISO 27001, nan mahimo nimong gisulayan ang pagpangita sa dali nga paagi aron mahimo kini. Kinahanglan namong pakyason ka: walay sayon nga mga paagi dinhi. Bisan pa, adunay pipila ka mga lakang nga makatabang sa pag-andam sa usa ka organisasyon alang sa internasyonal nga mga kinahanglanon sa seguridad sa kasayuran:
1. Pagkuha og suporta gikan sa management
Mahimong maghunahuna ka nga kini klaro, apan sa praktis kini nga punto kanunay nga mataligam-an. Dugang pa, kini usa sa mga nag-unang hinungdan ngano nga ang mga proyekto sa pagpatuman sa ISO 27001 kanunay nga mapakyas. Kung wala'y pagsabot sa kamahinungdanon sa sumbanan nga proyekto sa pagpatuman, ang pagdumala dili maghatag bisan unsang igo nga kahinguhaan sa tawo o igo nga badyet alang sa sertipikasyon.
2. Paghimo og Plano sa Pagpangandam sa Sertipikasyon
Ang pag-andam alang sa sertipikasyon sa ISO 27001 usa ka komplikado nga buluhaton nga naglambigit sa daghang lainlaing mga lahi sa trabaho, nanginahanglan pag-apil sa daghang mga tawo ug mahimo’g daghang mga bulan (o bisan mga tuig). Busa, importante kaayo ang paghimo ug detalyadong plano sa proyekto: paggahin ug mga kahinguhaan, panahon ug pag-apil sa mga tawo ngadto sa estriktong gihubit nga mga buluhaton ug pagmonitor sa pagsunod sa mga takdang-panahon - kon dili, dili nimo mahuman ang trabaho.
3. Ipasabut ang perimeter sa sertipikasyon
Kung ikaw adunay usa ka dako nga organisasyon nga adunay lainlaing mga kalihokan, mahimo’g makatarunganon nga i-certify ang bahin lamang sa negosyo sa kompanya sa ISO 27001, nga makapakunhod sa peligro sa imong proyekto, ingon man ang oras ug gasto niini.
4. Paghimo og polisiya sa seguridad sa impormasyon
Usa sa labing hinungdanon nga mga dokumento mao ang Patakaran sa Seguridad sa Impormasyon sa kompanya. Kinahanglan nga kini magpakita sa mga katuyoan sa seguridad sa kasayuran sa imong kompanya ug ang sukaranang mga prinsipyo sa pagdumala sa seguridad sa kasayuran, nga kinahanglan sundon sa tanan nga mga empleyado. Ang katuyoan niini nga dokumento mao ang pagtino kung unsa ang gusto sa pagdumala sa kompanya nga makab-ot sa natad sa kasiguruhan sa kasayuran, ingon man kung giunsa kini ipatuman ug kontrolado.
5. Paghubit sa usa ka pamaagi sa pagtasa sa risgo
Usa sa labing lisud nga mga buluhaton mao ang pagtino sa mga lagda alang sa pagsusi ug pagdumala sa peligro. Mahinungdanon nga masabtan kung unsang mga peligro ang mahimo’g ikonsiderar sa usa ka kompanya nga madawat ug nga nanginahanglan dayon nga aksyon aron makunhuran kini. Kung wala kini nga mga lagda, ang ISMS dili molihok.
Sa samang higayon, angay nga hinumdoman ang pagkaigo sa mga lakang nga gihimo aron makunhuran ang mga peligro. Apan kinahanglan nga dili ka madala sa proseso sa pag-optimize, tungod kay nag-apil usab sila sa daghang oras o gasto sa pinansyal o mahimo’g imposible. Among girekomendar nga imong gamiton ang prinsipyo sa “minimum sufficiency” sa paghimo og mga lakang sa pagpamenos sa risgo.
6. Pagdumala sa mga risgo sumala sa giaprobahan nga pamaagi
Ang sunod nga yugto mao ang makanunayon nga paggamit sa metodolohiya sa pagdumala sa peligro, nga mao, ang ilang pagsusi ug pagproseso. Kini nga proseso kinahanglan nga himuon kanunay nga adunay daghang pag-amping. Pinaagi sa pagpadayon sa rehistro sa peligro sa seguridad sa kasayuran hangtod karon, mahimo nimo nga epektibo nga magahin ang mga kapanguhaan sa kompanya ug malikayan ang mga grabe nga insidente.
7. Pagplano sa risgo nga pagtambal
Ang mga peligro nga molapas sa usa ka madawat nga lebel alang sa imong kompanya kinahanglan iapil sa plano sa pagtambal sa peligro. Kinahanglang irekord niini ang mga aksyon nga gitumong sa pagpakunhod sa mga risgo, ingon man ang mga tawo nga responsable niini ug ang mga deadline.
8. Kompletoha ang Statement of Applicability
Kini usa ka hinungdanon nga dokumento nga tun-an sa mga espesyalista gikan sa lawas sa sertipikasyon sa panahon sa pag-audit. Kinahanglang ihulagway kung unsang mga kontrol sa seguridad sa impormasyon ang magamit sa mga kalihokan sa imong kompanya.
9. Tinoa kung giunsa pagsukod ang pagkaepektibo sa mga kontrol sa seguridad sa impormasyon.
Ang bisan unsang aksyon kinahanglan adunay resulta nga motultol sa katumanan sa natukod nga mga katuyoan. Busa, importante nga tin-aw nga ipasabot pinaagi sa unsa nga mga parametro ang pagkab-ot sa mga tumong ang masukod alang sa tibuok sistema sa pagdumala sa seguridad sa impormasyon ug alang sa matag pinili nga mekanismo sa pagkontrol gikan sa Applicability Annex.
10. Ipatuman ang mga kontrol sa seguridad sa impormasyon
Ug pagkahuman lamang sa pagkompleto sa tanan nga miaging mga lakang kinahanglan nimo nga magsugod sa pagpatuman sa magamit nga mga kontrol sa seguridad sa kasayuran gikan sa Applicability Appendix. Ang pinakadako nga hagit dinhi, siyempre, mao ang pagpaila sa usa ka hingpit nga bag-ong paagi sa pagbuhat sa mga butang sa daghang mga proseso sa imong organisasyon. Ang mga tawo lagmit nga mosukol sa bag-ong mga palisiya ug pamaagi, busa hatagi ug pagtagad ang sunod nga punto.
11. Ipatuman ang mga programa sa pagbansay alang sa mga empleyado
Ang tanan nga mga punto nga gihulagway sa ibabaw mahimong walay kahulogan kung ang imong mga empleyado dili makasabut sa kaimportante sa proyekto ug dili molihok subay sa mga palisiya sa seguridad sa impormasyon. Kung gusto nimo nga sundon sa imong kawani ang tanan nga bag-ong mga lagda, kinahanglan nimo una nga ipasabut sa mga tawo kung ngano nga kini kinahanglan, ug dayon maghatag pagbansay sa ISMS, nga nagpasiugda sa tanan nga hinungdanon nga mga palisiya nga kinahanglan tagdon sa mga empleyado sa ilang adlaw-adlaw nga trabaho. Ang kakulang sa pagbansay sa kawani usa ka sagad nga hinungdan sa pagkapakyas sa proyekto sa ISO 27001.
12. Hupti ang mga proseso sa ISMS
Niini nga punto, ang ISO 27001 nahimong adlaw-adlaw nga rutina sa imong organisasyon. Aron makumpirma ang pagpatuman sa mga kontrol sa seguridad sa kasayuran uyon sa sumbanan, ang mga auditor kinahanglan nga maghatag mga rekord - ebidensya sa aktuwal nga operasyon sa mga kontrol. Apan labaw sa tanan, ang mga rekord kinahanglan nga makatabang kanimo sa pagsubay kung ang imong mga empleyado (ug mga supplier) nagpahigayon sa ilang mga buluhaton subay sa giaprubahan nga mga lagda.
13. Pag-monitor sa imong ISMS
Unsa ang nahitabo sa imong ISMS? Pila ka mga insidente ang naa nimo, unsa kini nga klase? Gisunod ba sa husto ang tanan nga mga pamaagi? Sa kini nga mga pangutana, kinahanglan nimong susihon kung ang kompanya nakab-ot ba ang mga katuyoan sa seguridad sa kasayuran. Kung dili, kinahanglan ka maghimo usa ka plano aron matul-id ang sitwasyon.
14. Pagpahigayon og internal nga ISMS audit
Ang katuyoan sa internal nga pag-audit mao ang pag-ila sa mga panagsumpaki tali sa aktwal nga mga proseso sa kompanya ug giaprubahan nga mga palisiya sa seguridad sa kasayuran. Sa kadaghanan, kini nagsusi aron makita kung unsa ka maayo ang pagsunod sa imong mga empleyado sa mga lagda. Kini usa ka hinungdanon kaayo nga punto, tungod kay kung dili nimo makontrol ang trabaho sa imong kawani, ang organisasyon mahimong mag-antos sa kadaot (tinuyo o wala tuyoa). Apan ang tumong dinhi dili ang pagpangita sa mga sad-an ug pagdisiplina kanila tungod sa dili pagsunod sa mga palisiya, apan aron matul-id ang sitwasyon ug mapugngan ang umaabot nga mga problema.
15. Pag-organisar og usa ka pagrepaso sa pagdumala
Ang pagdumala kinahanglan dili i-configure ang imong firewall, apan kinahanglan nga mahibal-an nila kung unsa ang nahitabo sa ISMS: pananglitan, kung ang tanan nagtuman sa ilang mga responsibilidad ug kung ang ISMS nakakab-ot ba sa mga target nga resulta. Pinasukad niini, ang pagdumala kinahanglan maghimo hinungdanon nga mga desisyon aron mapaayo ang ISMS ug mga internal nga proseso sa negosyo.
16. Ipaila ang usa ka sistema sa corrective ug preventive nga mga aksyon
Sama sa bisan unsang sumbanan, ang ISO 27001 nanginahanglan "padayon nga pag-uswag": ang sistematikong pagtul-id ug pagpugong sa mga pagkasumpaki sa sistema sa pagdumala sa seguridad sa kasayuran. Pinaagi sa corrective ug preventive nga mga aksyon, ang nonconformity mahimong matul-id ug mapugngan nga mahitabo pag-usab sa umaabot.
Sa konklusyon, gusto nako isulti nga sa tinuud, ang pag-sertipikado labi ka lisud kaysa gihulagway sa lainlaing mga gigikanan. Kini gipamatud-an sa kamatuoran nga sa Russia karon adunay lamang gisertipikado alang sa pagsunod. Sa parehas nga oras, kini usa sa labing inila nga mga sumbanan sa gawas sa nasud, nga nagtagbo sa nagkadako nga mga panginahanglanon sa negosyo sa natad sa kasiguruhan sa kasayuran. Kini nga panginahanglan alang sa pagpatuman tungod dili lamang sa pagtubo ug pagkakomplikado sa mga matang sa mga hulga, apan usab sa mga kinahanglanon sa lehislasyon, ingon man sa mga kliyente nga kinahanglan nga magpadayon sa hingpit nga pagkakompidensyal sa ilang datos.
Bisan pa sa kamatuoran nga ang sertipikasyon sa ISMS dili sayon nga buluhaton, ang kamatuoran sa pagtagbo sa mga kinahanglanon sa internasyonal nga sumbanan nga ISO/IEC 27001 makahatag ug seryosong bentaha sa kompetisyon sa tibuok kalibotang merkado. Naglaum kami nga ang among artikulo naghatag usa ka inisyal nga pagsabut sa hinungdanon nga mga yugto sa pag-andam sa usa ka kompanya alang sa sertipikasyon.
Source: www.habr.com