I dag er spørgsmålet om informationssikkerhed (herefter benævnt informationssikkerhed) for virksomheder et af de mest presserende i verden. Og det er ikke overraskende, for i mange lande er der en skærpelse af kravene til organisationer, der opbevarer og behandler persondata. I øjeblikket kræver russisk lovgivning opretholdelse af en betydelig del af dokumentstrømmen i papirform. Samtidig er tendensen til digitalisering mærkbar: Mange virksomheder opbevarer allerede en stor mængde fortrolig information både i digitalt format og i form af papirdokumenter.
Ifølge resultaterne Anti-Malware Analytical Center, 86% af de adspurgte bemærkede, at de i løbet af året mindst én gang skulle løse hændelser efter cyberangreb eller som følge af brugerovertrædelser af etablerede regler. I den forbindelse er prioritering af informationssikkerhed i erhvervslivet blevet en nødvendighed.
I øjeblikket er virksomhedsinformationssikkerhed ikke kun et sæt tekniske midler, såsom antivirus eller firewalls, det er allerede en integreret tilgang til håndtering af virksomhedsaktiver generelt og information i særdeleshed. Virksomheder griber disse problemer forskelligt an. I dag vil vi gerne tale om implementeringen af den internationale standard ISO 27001 som en løsning på et sådant problem. For virksomheder på det russiske marked forenkler tilstedeværelsen af et sådant certifikat interaktion med udenlandske kunder og partnere, der har høje krav i denne sag. ISO 27001 er meget udbredt i Vesten og dækker krav inden for informationssikkerhed, som bør dækkes af de anvendte tekniske løsninger, og desuden bidrage til udvikling af forretningsprocesser. Således kan denne standard blive din konkurrencefordel og et kontaktpunkt med udenlandske virksomheder.
Denne certificering af informationssikkerhedsstyringssystemet (herefter benævnt ISMS) indsamlede den bedste praksis for at designe et ISMS og, hvad der er vigtigt, sørgede for muligheden for at vælge kontrolværktøjer til at sikre systemets funktion, krav til teknologisk sikkerhedssupport og evt. til personaleledelsesprocessen i virksomheden. Det er trods alt nødvendigt at forstå, at tekniske fejl kun er en del af problemet. I informationssikkerhedsspørgsmål spiller den menneskelige faktor en enorm rolle, og det er meget sværere at eliminere eller minimere den.
Hvis din virksomhed ønsker at blive ISO 27001 certificeret, har du måske allerede prøvet at finde den nemme måde at gøre det på. Vi må skuffe dig: der er ingen nemme måder her. Der er dog visse trin, der vil hjælpe med at forberede en organisation til internationale krav til informationssikkerhed:
1. Få støtte fra ledelsen
Du synes måske, at det er indlysende, men i praksis bliver dette punkt ofte overset. Desuden er dette en af hovedårsagerne til, at ISO 27001 implementeringsprojekter ofte fejler. Uden at forstå betydningen af standardimplementeringsprojektet vil ledelsen hverken stille tilstrækkelige menneskelige ressourcer eller tilstrækkeligt budget til rådighed til certificering.
2. Udvikl en certificeringsplan
Forberedelse til ISO 27001-certificering er en kompleks opgave, der involverer mange forskellige typer arbejde, kræver involvering af et stort antal mennesker og kan tage mange måneder (eller endda år). Derfor er det meget vigtigt at lave en detaljeret projektplan: allokere ressourcer, tid og involvering af folk til strengt definerede opgaver og overvåg overholdelse af deadlines - ellers bliver du måske aldrig færdig med arbejdet.
3. Definer certificeringsomkredsen
Hvis du har en stor organisation med diversificerede aktiviteter, kan det give mening kun at certificere en del af virksomhedens forretning til ISO 27001, hvilket vil reducere risikoen for dit projekt, samt dets tid og omkostninger markant.
4. Udvikle en informationssikkerhedspolitik
Et af de vigtigste dokumenter er virksomhedens informationssikkerhedspolitik. Det skal afspejle din virksomheds informationssikkerhedsmål og de grundlæggende principper for informationssikkerhedsstyring, som skal følges af alle medarbejdere. Formålet med dette dokument er at fastlægge, hvad virksomhedens ledelse ønsker at opnå inden for informationssikkerhed, samt hvordan dette vil blive implementeret og kontrolleret.
5. Definer en risikovurderingsmetode
En af de sværeste opgaver er at definere regler for risikovurdering og -styring. Det er vigtigt at forstå, hvilke risici en virksomhed kan betragte som acceptable, og hvilke der kræver øjeblikkelig handling for at reducere dem. Uden disse regler vil ISMS ikke fungere.
Samtidig er det værd at huske på tilstrækkeligheden af de foranstaltninger, der træffes for at reducere risici. Men du skal ikke lade dig rive med af optimeringsprocessen, fordi de også medfører store tids- eller økonomiske omkostninger eller kan simpelthen være umulige. Vi anbefaler, at du bruger princippet om "minimum tilstrækkelighed", når du udvikler risikoreducerende foranstaltninger.
6. Håndter risici i henhold til en godkendt metode
Den næste fase er den konsekvente anvendelse af risikostyringsmetoden, det vil sige deres vurdering og behandling. Denne proces skal udføres regelmæssigt med stor omhu. Ved at holde informationssikkerhedsrisikoregisteret opdateret vil du effektivt kunne allokere virksomhedens ressourcer og forhindre alvorlige hændelser.
7. Planlæg risikobehandling
Risici, der overstiger et acceptabelt niveau for din virksomhed, skal indgå i risikobehandlingsplanen. Den bør registrere handlinger, der tager sigte på at reducere risici, samt de personer, der er ansvarlige for dem, og tidsfristerne.
8. Udfyld erklæringen om anvendelighed
Dette er et nøgledokument, som vil blive studeret af specialister fra certificeringsorganet under revisionen. Det skal beskrive, hvilke informationssikkerhedskontroller, der gælder for din virksomheds aktiviteter.
9. Bestem, hvordan effektiviteten af informationssikkerhedskontroller vil blive målt.
Enhver handling skal have et resultat, der fører til opfyldelse af fastsatte mål. Derfor er det vigtigt klart at definere med hvilke parametre målopfyldelsen vil blive målt både for hele informationssikkerhedsstyringssystemet og for hver udvalgt kontrolmekanisme fra Anvendelsesbilaget.
10. Implementer informationssikkerhedskontroller
Og først efter at have gennemført alle de foregående trin, skal du begynde at implementere de gældende informationssikkerhedskontroller fra Applicability Appendix. Den største udfordring her vil naturligvis være at introducere en helt ny måde at gøre tingene på på tværs af mange af din organisations processer. Folk har en tendens til at modstå nye politikker og procedurer, så vær opmærksom på det næste punkt.
11. Implementere træningsprogrammer for medarbejdere
Alle de ovenfor beskrevne punkter vil være meningsløse, hvis dine medarbejdere ikke forstår vigtigheden af projektet og ikke handler i overensstemmelse med informationssikkerhedspolitikker. Hvis du ønsker, at dit personale skal overholde alle de nye regler, skal du først forklare folk, hvorfor de er nødvendige, og derefter give undervisning i ISMS'et, hvor du fremhæver alle de vigtige politikker, som medarbejderne skal tage hensyn til i deres daglige arbejde. Manglende uddannelse af personalet er en almindelig årsag til ISO 27001 projektfejl.
12. Vedligeholde ISMS-processer
På dette tidspunkt bliver ISO 27001 en daglig rutine i din organisation. For at bekræfte implementeringen af informationssikkerhedskontroller i overensstemmelse med standarden, skal revisorer levere optegnelser - bevis for den faktiske drift af kontrollerne. Men mest af alt skal optegnelser hjælpe dig med at spore, om dine medarbejdere (og leverandører) udfører deres opgaver i overensstemmelse med godkendte regler.
13. Overvåg dit ISMS
Hvad sker der med dit ISMS? Hvor mange hændelser har du, hvilken type er de? Følges alle procedurer korrekt? Med disse spørgsmål bør du tjekke, om virksomheden opfylder sine informationssikkerhedsmål. Hvis ikke, skal du udarbejde en plan for at rette op på situationen.
14. Udfør en intern ISMS-revision
Formålet med den interne revision er at identificere uoverensstemmelser mellem faktiske processer i virksomheden og godkendte informationssikkerhedspolitikker. For det meste er det at tjekke, hvor godt dine medarbejdere følger reglerne. Dette er en meget vigtig pointe, for hvis du ikke kontrollerer dit personales arbejde, kan organisationen lide skade (tilsigtet eller utilsigtet). Men målet her er ikke at finde de skyldige og disciplinere dem for manglende overholdelse af politikker, men at rette op på situationen og forhindre fremtidige problemer.
15. Organiser en ledelsesgennemgang
Ledelsen bør ikke konfigurere din firewall, men de skal vide, hvad der sker i ISMS: for eksempel om alle opfylder deres ansvar, og om ISMS opnår sine målresultater. På baggrund af dette skal ledelsen træffe centrale beslutninger for at forbedre ISMS og interne forretningsprocesser.
16. Indfør et system med korrigerende og forebyggende handlinger
Som enhver standard kræver ISO 27001 "kontinuerlig forbedring": systematisk korrektion og forebyggelse af uoverensstemmelser i informationssikkerhedsstyringssystemet. Gennem korrigerende og forebyggende handlinger kan afvigelsen korrigeres og forhindres i at gentage sig i fremtiden.
Afslutningsvis vil jeg gerne sige, at det faktisk er meget sværere at blive certificeret end beskrevet i forskellige kilder. Dette bekræftes af det faktum, at der i Rusland i dag kun er er blevet certificeret til overholdelse. Samtidig er dette en af de mest populære standarder i udlandet, der opfylder erhvervslivets stigende krav inden for informationssikkerhed. Denne efterspørgsel efter implementering skyldes ikke kun væksten og kompleksiteten af typerne af trusler, men også lovgivningens krav, såvel som kunder, der har brug for at opretholde fuldstændig fortrolighed af deres data.
På trods af at ISMS-certificering ikke er en let opgave, kan selve det at opfylde kravene i den internationale standard ISO/IEC 27001 give en seriøs konkurrencefordel på det globale marked. Vi håber, at vores artikel har givet en indledende forståelse af de vigtigste stadier i at forberede en virksomhed til certificering.
Kilde: www.habr.com