Oghje, u prublema di a sicurità di l'infurmazioni (in seguitu chjamata a sicurità di l'infurmazioni) di l'imprese hè unu di i più pressanti in u mondu. È questu ùn hè micca surprisante, perchè in parechji paesi ci hè un strettu di esigenze per l'urganisazioni chì almacenanu è processanu e dati persunali. Attualmente, a legislazione russa impone di mantene una parte significativa di u flussu di documenti in forma di carta. À u listessu tempu, a tendenza à a digitalizazione hè notevule: assai cumpagnie digià almacenanu una grande quantità di informazioni cunfidenziale in forma digitale è in forma di documenti di carta.
In a cunclusione Anti-Malware Analytical Center, 86% di i rispondenti nutatu chì durante l'annu, almenu una volta avianu a risolve incidenti dopu attacchi cibernetici o per via di violazioni di l'utilizatori di regulamenti stabiliti. In questu sensu, a priorità di a sicurità di l'infurmazioni in l'affari hè diventata una necessità.
Attualmente, a sicurità di l'infurmazione corporativa ùn hè micca solu un inseme di mezi tecnichi, cum'è antivirus o firewalls, hè digià un accostu integratu per trattà l'assi di a cumpagnia in generale è l'infurmazioni in particulare. L'imprese avvicinanu sti prublemi in modu diversu. Oghje vulemu parlà di l'implementazione di u standard internaziunale ISO 27001 cum'è una suluzione à un tali prublema. Per l'imprese in u mercatu russu, a prisenza di un tali certificatu simplificà l'interazzione cù i clienti stranieri è i partenarii chì anu esigenze elevate in questa materia. ISO 27001 hè largamente utilizatu in l'Occidenti è copre i bisogni in u campu di a sicurità di l'infurmazioni, chì deve esse cuparti da e soluzioni tecniche utilizzate, è ancu cuntribuiscenu à u sviluppu di i prucessi di cummerciale. Cusì, stu standard pò diventà u vostru vantaghju cumpetitivu è un puntu di cuntattu cù cumpagnie straniere.
Questa certificazione di u Sistema di Gestione di a Sicurezza di l'Informazione (in seguitu chjamatu ISMS) hà riunitu e migliori pratiche per u disignu di un ISMS è, sopratuttu, hà previstu a pussibilità di sceglie strumenti di cuntrollu per assicurà u funziunamentu di u sistema, i requisiti per u supportu di sicurezza tecnologica è ancu. per u prucessu di gestione di u persunale in a cumpagnia. Dopu tuttu, hè necessariu di capisce chì i fallimenti tecnichi sò solu una parte di u prublema. In materia di sicurità di l'infurmazioni, u fattore umanu ghjoca un rolu enormu, è hè assai più difficiule di eliminà o minimizzà.
Se a vostra cumpagnia cerca di diventà certificata ISO 27001, allora pudete avè digià pruvatu à truvà u modu faciule per fà. Avemu da disappointà voi: ùn ci sò micca modi facili quì. Tuttavia, ci sò certi passi chì aiutanu à preparà una urganizazione per i bisogni internaziunali di sicurezza di l'infurmazioni:
1. Get sustegnu da a gestione
Puderete pensà chì questu hè ovvi, ma in pratica stu puntu hè spessu trascuratu. Inoltre, questu hè unu di i mutivi principali perchè i prughjetti di implementazione ISO 27001 spessu fallenu. Senza capisce u significatu di u prughjettu di implementazione standard, a gestione ùn furnisce micca risorse umane sufficienti o un budgetu sufficiente per a certificazione.
2. Sviluppà un Pianu di Preparazione di Certificazione
A preparazione per a certificazione ISO 27001 hè un compitu cumplessu chì implica parechji tippi di travagliu diffirenti, richiede l'implicazione di un gran numaru di persone è pò piglià parechji mesi (o ancu anni). Per quessa, hè assai impurtante di creà un pianu di prughjettu detallatu: assignà risorse, tempu è implicazione di e persone à i travaglii strettamente definiti è monitorà u rispettu di e scadenze - altri ùn pudete mai finisce u travagliu.
3. Definisce u perimetru di certificazione
Se tenete una grande urganizazione cù attività diversificate, pò esse sensu di certificà solu una parte di l'affari di a cumpagnia à ISO 27001, chì riducerà significativamente u risicu di u vostru prughjettu, è u so tempu è u costu.
4. Sviluppà una pulitica di sicurità di l'infurmazioni
Unu di i ducumenti più impurtanti hè a Politica di Sicurezza di l'Informazione di a cumpagnia. Duverebbe riflette i scopi di sicurezza di l'infurmazioni di a vostra cumpagnia è i principii basi di a gestione di a sicurità di l'infurmazioni, chì deve esse seguitu da tutti l'impiegati. U scopu di stu ducumentu hè di determinà ciò chì a gestione di a cumpagnia vole ottene in u campu di a sicurità di l'infurmazioni, è cumu si serà implementatu è cuntrullatu.
5. Definisce una metodulugia di valutazione di risicu
Unu di i travaglii più difficili hè di definisce e regule per a valutazione è a gestione di risichi. Hè impurtante di capisce chì i risichi chì una cumpagnia pò cunsiderà accettabili è chì necessitanu azzione immediata per riduce. Senza queste regule, l'ISMS ùn funziona micca.
À u listessu tempu, vale a pena ricurdà l'adeguatezza di e misure pigliate per riduce i risichi. Ma ùn deve micca troppu purtatu cù u prucessu d'ottimisazione, perchè ancu implicanu un grande tempu o costi finanziarii o pò esse simpliciamente impussibili. Hè ricumandemu chì utilizate u principiu di "sufficienza minima" quandu si sviluppanu misure di riduzzione di risicu.
6. Gestisce i risichi secondu una metodulugia appruvata
A tappa dopu hè l'applicazione coherente di a metodulugia di gestione di risichi, vale à dì, a so valutazione è u prucessu. Stu prucessu deve esse realizatu regularmente cun grande cura. Mantenendu u registru di risicu per a sicurità di l'infurmazioni aghjurnatu, puderà allocate in modu efficace e risorse di a cumpagnia è prevene incidenti serii.
7. Pianu trattamentu di risicu
I risichi chì superanu un livellu accettabile per a vostra cumpagnia devenu esse inclusi in u pianu di trattamentu di risicu. Deve registrà l'azzioni destinate à riduce i risichi, è ancu i rispunsevuli di elli è i termini.
8. Cumplete a Dichjarazione di Applicabilità
Questu hè un documentu chjave chì serà studiatu da i specialisti di l'organi di certificazione durante l'auditu. Deve descriverà quali cuntrolli di sicurità di l'infurmazioni applicanu à l'attività di a vostra cumpagnia.
9. Determinate cumu l'efficacezza di i cuntrolli di sicurità di l'infurmazioni seranu misurati.
Ogni azzione deve avè un risultatu chì porta à u rializazione di i scopi stabiliti. Per quessa, hè impurtante di definisce chjaramente da quali parametri a realizazione di i scopi serà misurata sia per tuttu u sistema di gestione di a sicurità di l'infurmazioni sia per ogni meccanismo di cuntrollu sceltu da l'Annex di Applicabilità.
10. Implementà cuntrolli di sicurità di l'infurmazioni
È solu dopu avè finitu tutti i passi precedenti duvete cumincià à implementà i cuntrolli di sicurezza di l'infurmazioni applicabili da l'Appendice di Applicabilità. A sfida più grande quì, di sicuru, serà l'introduzione di un modu completamente novu di fà e cose in parechji di i prucessi di a vostra urganizazione. E persone tendenu à resistere à e novi pulitiche è prucedure, cusì fate attenzione à u puntu dopu.
11. Implementà prugrammi di furmazione per l'impiegati
Tutti i punti descritti sopra seranu senza significatu se i vostri impiegati ùn capiscenu micca l'impurtanza di u prugettu è ùn agiscenu micca in cunfurmità cù e pulitiche di sicurità di l'infurmazioni. Se vulete chì u vostru staffu rispettu tutte e novi regule, prima avete bisognu di spiegà à e persone perchè sò necessarii, è dopu furnisce furmazione nantu à l'ISMS, mette in risaltu tutte e pulitiche impurtanti chì l'impiegati devenu piglià in contu in u so travagliu di ogni ghjornu. A mancanza di furmazione di u persunale hè un mutivu cumuni per u fallimentu di u prughjettu ISO 27001.
12. Mantene i prucessi ISMS
À questu puntu, ISO 27001 diventa una rutina di ogni ghjornu in a vostra urganizazione. Per cunfirmà l'implementazione di i cuntrolli di sicurità di l'infurmazioni in cunfurmità cù u standard, l'auditori anu da furnisce i registri - evidenza di l'operazione attuale di i cuntrolli. Ma soprattuttu, i registri duveranu aiutà à seguità se i vostri impiegati (è i fornitori) facenu i so compiti in cunfurmità cù e regule appruvate.
13. Monitorà u vostru ISMS
Chì succede cù u vostru ISMS? Quantu incidenti avete, chì tipu sò? Sò tutte e prucedure seguite bè? Cù sti dumanni, vi tocca à verificà s'è a cumpagnia hè scuntrà i so scopi di sicurità infurmazione. Se no, avete bisognu di sviluppà un pianu per correggerà a situazione.
14. Cunduce un auditu ISMS internu
U scopu di l'auditu internu hè di identificà inconsistenzi trà i prucessi attuali in a cumpagnia è e pulitiche di sicurezza di l'infurmazioni appruvati. Per a maiò parte, hè verificatu per vede quantu i vostri impiegati seguitanu e regule. Questu hè un puntu assai impurtante, perchè s'ellu ùn cuntrolla micca u travagliu di u vostru persunale, l'urganizazione pò soffrenu danni (intenzionale o micca). Ma l'ughjettu quì ùn hè micca di truvà i culpiti è di disciplinalli per l'inconformità di e pulitiche, ma per correggerà a situazione è prevene i prublemi futuri.
15. Organizà una rivista di gestione
A gestione ùn deve micca cunfigurà u vostru firewall, ma duveranu sapè ciò chì succede in l'ISMS: per esempiu, s'ellu ci hè tutti i so rispunsabilità è se l'ISMS ghjunghje i so risultati di destinazione. Basatu nantu à questu, a gestione deve piglià decisioni chjave per migliurà l'ISMS è i prucessi interni di l'affari.
16. Intruduce un sistema di azzioni currettive è preventive
Cum'è qualsiasi standard, ISO 27001 richiede "migliuramentu cuntinuu": a correzione sistematica è a prevenzione di inconsistenze in u sistema di gestione di a sicurità di l'infurmazioni. Per mezu di l'azzioni currettive è preventive, a non-conformità pò esse corretta è impedita di ripresentà in u futuru.
In cunclusioni, vogliu dì chì, in fattu, a certificazione hè assai più difficiule di ciò chì hè descrittu in diverse fonti. Questu hè cunfirmatu da u fattu chì in Russia oghje ci sò solu sò stati certificati per a conformità. À u listessu tempu, questu hè unu di i normi più populari à l'esteru, risponde à e crescente richieste di l'affari in u campu di a sicurità di l'infurmazioni. Questa dumanda di implementazione hè dovuta micca solu à a crescita è a cumplessità di i tipi di minacce, ma ancu à i requisiti di a legislazione, è ancu i clienti chì anu bisognu di mantene a cunfidenziale cumpleta di e so dati.
Malgradu u fattu chì a certificazione ISMS ùn hè micca un compitu faciule, u fattu stessu di risponde à i requisiti di u standard internaziunale ISO / IEC 27001 pò furnisce un vantaghju competitivu seriu in u mercatu globale. Speremu chì u nostru articulu hà furnitu una cunniscenza iniziale di e tappe chjave in a preparazione di una cumpagnia per a certificazione.
Source: www.habr.com