Problematika informační bezpečnosti (dále jen informační bezpečnost) firem je dnes jednou z nejpalčivějších ve světě. A není se čemu divit, protože v mnoha zemích dochází ke zpřísnění požadavků na organizace, které uchovávají a zpracovávají osobní údaje. V současné době ruská legislativa vyžaduje zachování významné části toku dokumentů v papírové podobě. Zároveň je patrný trend k digitalizaci: mnoho společností již uchovává velké množství důvěrných informací jak v digitální podobě, tak v podobě papírových dokumentů.
Podle výsledků Anti-Malware Analytical Center 86 % respondentů uvedlo, že v průběhu roku museli alespoň jednou řešit incidenty po kybernetických útocích nebo v důsledku porušení zavedených předpisů uživateli. V tomto ohledu se upřednostňování informační bezpečnosti v podnikání stalo nutností.
V současné době není podniková informační bezpečnost pouze souborem technických prostředků, jako jsou antiviry nebo firewally, je to již integrovaný přístup k nakládání s majetkem společnosti obecně a informacemi zvláště. Firmy k těmto problémům přistupují různě. Dnes bychom rádi hovořili o implementaci mezinárodní normy ISO 27001 jako o řešení takového problému. Pro společnosti na ruském trhu přítomnost takového certifikátu zjednodušuje interakci se zahraničními klienty a partnery, kteří mají v této věci vysoké požadavky. ISO 27001 je široce používána na Západě a pokrývá požadavky v oblasti informační bezpečnosti, které by měla pokrývat používaná technická řešení a také přispívat k rozvoji podnikových procesů. Tento standard se tak může stát vaší konkurenční výhodou a styčným bodem se zahraničními společnostmi.
Tato certifikace Systému managementu bezpečnosti informací (dále jen ISMS) shromáždila osvědčené postupy pro návrh ISMS a, co je důležité, poskytla možnost volby kontrolních nástrojů pro zajištění funkčnosti systému, požadavků na technologickou bezpečnostní podporu a dokonce i pro proces personálního řízení ve firmě. Koneckonců je nutné pochopit, že technické poruchy jsou jen částí problému. V otázkách bezpečnosti informací hraje obrovskou roli lidský faktor, jehož odstranění nebo minimalizace je mnohem obtížnější.
Pokud se vaše společnost snaží získat certifikaci ISO 27001, možná jste se již pokusili najít snadný způsob, jak toho dosáhnout. Musíme vás zklamat: tady nejsou žádné jednoduché cesty. Existují však určité kroky, které pomohou organizaci připravit na mezinárodní požadavky na bezpečnost informací:
1. Získejte podporu od vedení
Možná si myslíte, že je to zřejmé, ale v praxi je tento bod často přehlížen. Navíc je to jeden z hlavních důvodů, proč projekty implementace ISO 27001 často selhávají. Bez pochopení významu standardního implementačního projektu management neposkytne dostatečné lidské zdroje ani dostatečný rozpočet na certifikaci.
2. Vypracujte plán přípravy certifikace
Příprava na certifikaci ISO 27001 je složitý úkol, který zahrnuje mnoho různých typů práce, vyžaduje zapojení velkého počtu lidí a může trvat mnoho měsíců (nebo dokonce let). Proto je velmi důležité vytvořit si podrobný plán projektu: alokovat zdroje, čas a zapojení lidí na přesně definované úkoly a hlídat dodržování termínů – jinak se může stát, že práci nikdy nedokončíte.
3. Definujte certifikační perimetr
Pokud máte velkou organizaci s diverzifikovanými činnostmi, může mít smysl certifikovat pouze část podnikání společnosti podle ISO 27001, což výrazně sníží riziko vašeho projektu, stejně jako jeho čas a náklady.
4. Vytvořte politiku bezpečnosti informací
Jedním z nejdůležitějších dokumentů je Politika informační bezpečnosti společnosti. Měl by odrážet cíle vaší společnosti v oblasti bezpečnosti informací a základní principy řízení bezpečnosti informací, kterými se musí řídit všichni zaměstnanci. Účelem tohoto dokumentu je určit, čeho chce management společnosti v oblasti informační bezpečnosti dosáhnout a jak to bude implementováno a kontrolováno.
5. Definujte metodiku hodnocení rizik
Jedním z nejobtížnějších úkolů je definování pravidel pro hodnocení a řízení rizik. Je důležité pochopit, která rizika může společnost považovat za přijatelná a která vyžadují okamžitá opatření k jejich snížení. Bez těchto pravidel nebude ISMS fungovat.
Zároveň je vhodné připomenout přiměřenost přijatých opatření ke snížení rizik. Ale neměli byste se příliš unést procesem optimalizace, protože také vyžadují velké časové nebo finanční náklady nebo mohou být jednoduše nemožné. Při vypracovávání opatření ke snížení rizik doporučujeme použít zásadu „minimální dostatečnosti“.
6. Řídit rizika podle schválené metodiky
Další fází je důsledná aplikace metodiky řízení rizik, tedy jejich posuzování a zpracování. Tento proces musí být prováděn pravidelně s velkou pečlivostí. Udržováním aktuálního registru rizik zabezpečení informací budete schopni efektivně alokovat firemní zdroje a předcházet vážným incidentům.
7. Naplánujte léčbu rizik
Rizika, která překračují přijatelnou úroveň pro vaši společnost, musí být zahrnuta do plánu léčby rizik. Měl by evidovat akce zaměřené na snižování rizik a také osoby za ně odpovědné a termíny.
8. Vyplňte prohlášení o použitelnosti
Jedná se o klíčový dokument, který prostudují specialisté certifikačního orgánu během auditu. Měl by popisovat, které kontroly zabezpečení informací se vztahují na činnosti vaší společnosti.
9. Určete, jak se bude měřit účinnost kontrol bezpečnosti informací.
Jakákoli akce musí mít výsledek vedoucí k naplnění stanovených cílů. Proto je důležité jasně definovat, jakými parametry bude měřeno dosažení cílů jak pro celý systém řízení bezpečnosti informací, tak pro každý vybraný kontrolní mechanismus z přílohy Aplikovatelnosti.
10. Zavést kontroly bezpečnosti informací
A teprve po dokončení všech předchozích kroků byste měli začít implementovat příslušné ovládací prvky zabezpečení informací z dodatku o použitelnosti. Největší výzvou zde samozřejmě bude zavedení zcela nového způsobu, jak dělat věci napříč mnoha procesy vaší organizace. Lidé mají tendenci odolávat novým zásadám a postupům, takže věnujte pozornost dalšímu bodu.
11. Realizovat vzdělávací programy pro zaměstnance
Všechny výše popsané body budou bezvýznamné, pokud vaši zaměstnanci nebudou chápat důležitost projektu a nebudou jednat v souladu se zásadami bezpečnosti informací. Chcete-li, aby vaši zaměstnanci dodržovali všechna nová pravidla, musíte nejprve lidem vysvětlit, proč jsou nezbytná, a poté poskytnout školení o ISMS a zdůraznit všechny důležité zásady, které musí zaměstnanci při své každodenní práci brát v úvahu. Nedostatek školení zaměstnanců je běžným důvodem selhání projektu ISO 27001.
12. Udržovat procesy ISMS
V tomto okamžiku se ISO 27001 stává ve vaší organizaci každodenní rutinou. Pro potvrzení provádění kontrol informační bezpečnosti v souladu s normou budou muset auditoři předložit záznamy – doklady o skutečném fungování kontrol. Záznamy by vám ale měly především pomoci sledovat, zda vaši zaměstnanci (a dodavatelé) plní své úkoly v souladu se schválenými pravidly.
13. Sledujte své ISMS
Co se děje s vaším ISMS? Kolik máte incidentů, jakého jsou typu? Jsou všechny postupy správně dodržovány? Pomocí těchto otázek byste si měli ověřit, zda společnost plní své cíle v oblasti informační bezpečnosti. Pokud ne, musíte vytvořit plán, jak situaci napravit.
14. Provést interní audit ISMS
Účelem interního auditu je identifikovat nesrovnalosti mezi skutečnými procesy ve společnosti a schválenými zásadami bezpečnosti informací. Z velké části je to kontrola, jak dobře vaši zaměstnanci dodržují pravidla. To je velmi důležitý bod, protože pokud nekontrolujete práci svých zaměstnanců, může organizace utrpět škodu (úmyslnou nebo neúmyslnou). Cílem zde ale není najít viníky a potrestat je za nedodržování zásad, ale napravit situaci a předejít budoucím problémům.
15. Zorganizujte kontrolu managementu
Management by neměl konfigurovat váš firewall, ale měl by vědět, co se děje v ISMS: například zda všichni plní své povinnosti a zda ISMS dosahuje svých cílových výsledků. Na základě toho musí management učinit klíčová rozhodnutí ke zlepšení ISMS a interních obchodních procesů.
16. Zavést systém nápravných a preventivních opatření
Jako každá norma i ISO 27001 vyžaduje „neustálé zlepšování“: systematickou nápravu a prevenci nesrovnalostí v systému řízení bezpečnosti informací. Prostřednictvím nápravných a preventivních opatření lze neshodu napravit a zabránit tomu, aby se v budoucnu opakovala.
Na závěr bych chtěl říci, že ve skutečnosti je získání certifikace mnohem obtížnější, než je popsáno v různých zdrojích. To potvrzuje skutečnost, že v Rusku dnes existují pouze byly certifikovány pro shodu. Zároveň se jedná o jeden z nejoblíbenějších standardů v zahraničí, splňující rostoucí nároky podnikání v oblasti informační bezpečnosti. Tato poptávka po implementaci je dána nejen růstem a komplexností typů hrozeb, ale také požadavky legislativy a také klientů, kteří potřebují zachovat naprostou důvěrnost svých dat.
Navzdory tomu, že certifikace ISMS není snadný úkol, již samotná skutečnost splnění požadavků mezinárodní normy ISO/IEC 27001 může poskytnout vážnou konkurenční výhodu na globálním trhu. Doufáme, že náš článek poskytl počáteční pochopení klíčových fází přípravy společnosti na certifikaci.
Zdroj: www.habr.com