Das Thema Informationssicherheit (im Folgenden Informationssicherheit genannt) von Unternehmen ist heute eines der drängendsten weltweit. Und das ist nicht verwunderlich, denn in vielen Ländern gibt es eine Verschärfung der Anforderungen an Organisationen, die personenbezogene Daten speichern und verarbeiten. Derzeit schreibt die russische Gesetzgebung vor, dass ein erheblicher Teil des Dokumentenflusses in Papierform erfolgen muss. Gleichzeitig ist der Trend zur Digitalisierung spürbar: Viele Unternehmen speichern bereits heute große Mengen vertraulicher Informationen sowohl digital als auch in Form von Papierdokumenten.
Nach den Ergebnissen Im Anti-Malware Analytical Center gaben 86 % der Befragten an, dass sie im Laufe des Jahres mindestens einmal Vorfälle nach Cyberangriffen oder infolge von Verstößen der Benutzer gegen geltende Vorschriften beheben mussten. In diesem Zusammenhang ist es zu einer Notwendigkeit geworden, der Informationssicherheit im Unternehmen Priorität einzuräumen.
Derzeit besteht die Informationssicherheit von Unternehmen nicht nur aus einer Reihe technischer Mittel wie Antivirenprogrammen oder Firewalls, sondern ist bereits ein integrierter Ansatz für den Umgang mit Unternehmensressourcen im Allgemeinen und Informationen im Besonderen. Unternehmen gehen diese Probleme unterschiedlich an. Heute möchten wir über die Umsetzung der internationalen Norm ISO 27001 als Lösung für ein solches Problem sprechen. Für Unternehmen auf dem russischen Markt vereinfacht das Vorhandensein eines solchen Zertifikats die Interaktion mit ausländischen Kunden und Partnern, die in diesem Bereich hohe Anforderungen stellen. ISO 27001 ist im Westen weit verbreitet und deckt Anforderungen im Bereich der Informationssicherheit ab, die durch die eingesetzten technischen Lösungen abgedeckt werden sollen und auch zur Entwicklung von Geschäftsprozessen beitragen sollen. Somit kann dieser Standard zu Ihrem Wettbewerbsvorteil und Anknüpfungspunkt für ausländische Unternehmen werden.
Diese Zertifizierung des Informationssicherheits-Managementsystems (im Folgenden als ISMS bezeichnet) sammelte die besten Praktiken für die Gestaltung eines ISMS und sah vor allem die Möglichkeit vor, Kontrollinstrumente auszuwählen, um das Funktionieren des Systems sicherzustellen, Anforderungen an die technologische Sicherheitsunterstützung usw für den Personalführungsprozess im Unternehmen. Schließlich muss man verstehen, dass technische Ausfälle nur ein Teil des Problems sind. In Fragen der Informationssicherheit spielt der menschliche Faktor eine große Rolle, der sich viel schwieriger beseitigen oder minimieren lässt.
Wenn Ihr Unternehmen eine ISO 27001-Zertifizierung anstrebt, haben Sie möglicherweise bereits versucht, einen einfachen Weg dafür zu finden. Wir müssen Sie enttäuschen: Hier gibt es keine einfachen Wege. Es gibt jedoch bestimmte Schritte, die dazu beitragen, eine Organisation auf internationale Anforderungen an die Informationssicherheit vorzubereiten:
1. Holen Sie sich Unterstützung vom Management
Sie denken vielleicht, dass dies offensichtlich ist, aber in der Praxis wird dieser Punkt oft übersehen. Darüber hinaus ist dies einer der Hauptgründe, warum ISO 27001-Implementierungsprojekte häufig scheitern. Ohne die Bedeutung des Standardimplementierungsprojekts zu verstehen, wird das Management weder ausreichende Personalressourcen noch ein ausreichendes Budget für die Zertifizierung bereitstellen.
2. Entwickeln Sie einen Zertifizierungsvorbereitungsplan
Die Vorbereitung auf die ISO 27001-Zertifizierung ist eine komplexe Aufgabe, die viele verschiedene Arten von Arbeiten umfasst, die Beteiligung einer großen Anzahl von Personen erfordert und viele Monate (oder sogar Jahre) dauern kann. Daher ist es sehr wichtig, einen detaillierten Projektplan zu erstellen: Weisen Sie Ressourcen, Zeit und Engagement der Personen streng definierten Aufgaben zu und überwachen Sie die Einhaltung von Fristen – sonst werden Sie die Arbeit möglicherweise nie beenden.
3. Definieren Sie den Zertifizierungsumfang
Wenn Sie eine große Organisation mit vielfältigen Aktivitäten haben, kann es sinnvoll sein, nur einen Teil des Unternehmensgeschäfts nach ISO 27001 zu zertifizieren, was das Risiko Ihres Projekts sowie dessen Zeit und Kosten erheblich reduziert.
4. Entwickeln Sie eine Informationssicherheitsrichtlinie
Eines der wichtigsten Dokumente ist die Informationssicherheitsrichtlinie des Unternehmens. Es sollte die Informationssicherheitsziele Ihres Unternehmens und die Grundprinzipien des Informationssicherheitsmanagements widerspiegeln, die von allen Mitarbeitern befolgt werden müssen. Der Zweck dieses Dokuments besteht darin, festzulegen, was die Unternehmensleitung im Bereich der Informationssicherheit erreichen möchte und wie diese umgesetzt und kontrolliert werden soll.
5. Definieren Sie eine Risikobewertungsmethodik
Eine der schwierigsten Aufgaben ist die Festlegung von Regeln für die Risikobewertung und das Risikomanagement. Es ist wichtig zu verstehen, welche Risiken ein Unternehmen als akzeptabel erachten kann und welche sofortige Maßnahmen zu deren Reduzierung erfordern. Ohne diese Regeln wird das ISMS nicht funktionieren.
Gleichzeitig ist an die Angemessenheit der Maßnahmen zur Risikominderung zu erinnern. Allerdings sollte man sich bei der Optimierung nicht zu sehr hinreißen lassen, denn auch diese ist mit großem Zeit- und Finanzaufwand verbunden oder schlichtweg unmöglich. Wir empfehlen Ihnen, bei der Entwicklung von Risikominderungsmaßnahmen das Prinzip der „minimalen Suffizienz“ anzuwenden.
6. Verwalten Sie Risiken gemäß einer genehmigten Methodik
Der nächste Schritt ist die konsequente Anwendung der Risikomanagementmethodik, also deren Bewertung und Bearbeitung. Dieser Vorgang muss regelmäßig und mit großer Sorgfalt durchgeführt werden. Indem Sie das Informationssicherheitsrisikoregister auf dem neuesten Stand halten, können Sie Unternehmensressourcen effektiv einsetzen und schwerwiegende Vorfälle verhindern.
7. Planen Sie eine Risikobehandlung
Risiken, die ein für Ihr Unternehmen akzeptables Maß überschreiten, müssen in den Risikobehandlungsplan einbezogen werden. Darin sollten Maßnahmen zur Risikominderung sowie die dafür verantwortlichen Personen und Fristen festgehalten werden.
8. Füllen Sie die Anwendbarkeitserklärung aus
Hierbei handelt es sich um ein Schlüsseldokument, das von Spezialisten der Zertifizierungsstelle während des Audits untersucht wird. Darin sollte beschrieben werden, welche Informationssicherheitskontrollen für die Aktivitäten Ihres Unternehmens gelten.
9. Bestimmen Sie, wie die Wirksamkeit von Informationssicherheitskontrollen gemessen wird.
Jede Aktion muss ein Ergebnis haben, das zur Erfüllung festgelegter Ziele führt. Daher ist es wichtig, klar zu definieren, an welchen Parametern die Zielerreichung sowohl für das gesamte Informationssicherheitsmanagementsystem als auch für jeden ausgewählten Kontrollmechanismus aus dem Anwendbarkeitsanhang gemessen wird.
10. Implementieren Sie Informationssicherheitskontrollen
Und erst nachdem Sie alle vorherigen Schritte abgeschlossen haben, sollten Sie mit der Implementierung der anwendbaren Informationssicherheitskontrollen aus dem Anhang zur Anwendbarkeit beginnen. Die größte Herausforderung hierbei wird natürlich darin bestehen, in vielen Prozessen Ihres Unternehmens eine völlig neue Vorgehensweise einzuführen. Menschen neigen dazu, sich neuen Richtlinien und Verfahren zu widersetzen. Achten Sie daher auf den nächsten Punkt.
11. Implementieren Sie Schulungsprogramme für Mitarbeiter
Alle oben beschriebenen Punkte sind bedeutungslos, wenn Ihre Mitarbeiter die Bedeutung des Projekts nicht verstehen und nicht im Einklang mit den Richtlinien zur Informationssicherheit handeln. Wenn Sie möchten, dass Ihre Mitarbeiter alle neuen Regeln einhalten, müssen Sie den Leuten zunächst erklären, warum sie notwendig sind, und dann eine Schulung zum ISMS anbieten und dabei alle wichtigen Richtlinien hervorheben, die die Mitarbeiter bei ihrer täglichen Arbeit berücksichtigen müssen. Mangelnde Schulung des Personals ist ein häufiger Grund für das Scheitern von ISO 27001-Projekten.
12. ISMS-Prozesse pflegen
An diesem Punkt wird ISO 27001 zur täglichen Routine in Ihrem Unternehmen. Um die Umsetzung der Informationssicherheitskontrollen gemäß dem Standard zu bestätigen, müssen Prüfer Aufzeichnungen vorlegen – Beweise für die tatsächliche Durchführung der Kontrollen. Aber vor allem sollen Aufzeichnungen Ihnen dabei helfen, nachzuverfolgen, ob Ihre Mitarbeiter (und Lieferanten) ihre Aufgaben gemäß den genehmigten Regeln ausführen.
13. Überwachen Sie Ihr ISMS
Was ist mit Ihrem ISMS los? Wie viele Vorfälle haben Sie, welcher Art sind sie? Werden alle Verfahren ordnungsgemäß befolgt? Mit diesen Fragen sollten Sie prüfen, ob das Unternehmen seine Informationssicherheitsziele erreicht. Wenn nicht, müssen Sie einen Plan entwickeln, um die Situation zu korrigieren.
14. Führen Sie ein internes ISMS-Audit durch
Der Zweck des internen Audits besteht darin, Inkonsistenzen zwischen tatsächlichen Prozessen im Unternehmen und genehmigten Informationssicherheitsrichtlinien zu identifizieren. Im Wesentlichen geht es darum, zu überprüfen, wie gut Ihre Mitarbeiter die Regeln befolgen. Dies ist ein sehr wichtiger Punkt, denn wenn Sie die Arbeit Ihrer Mitarbeiter nicht kontrollieren, kann die Organisation Schaden erleiden (absichtlich oder unbeabsichtigt). Das Ziel hier besteht jedoch nicht darin, die Schuldigen zu finden und sie für die Nichteinhaltung von Richtlinien zu bestrafen, sondern darin, die Situation zu korrigieren und künftigen Problemen vorzubeugen.
15. Organisieren Sie eine Managementbewertung
Das Management sollte Ihre Firewall nicht konfigurieren, aber es sollte wissen, was im ISMS passiert: zum Beispiel, ob jeder seinen Pflichten nachkommt und ob das ISMS seine Zielergebnisse erreicht. Auf dieser Grundlage muss das Management wichtige Entscheidungen zur Verbesserung des ISMS und der internen Geschäftsprozesse treffen.
16. Führen Sie ein System von Korrektur- und Vorbeugungsmaßnahmen ein
Wie jede Norm fordert ISO 27001 eine „kontinuierliche Verbesserung“: die systematische Korrektur und Vermeidung von Inkonsistenzen im Informationssicherheits-Managementsystem. Durch korrigierende und vorbeugende Maßnahmen kann die Nichtkonformität korrigiert und verhindert werden, dass sie in Zukunft erneut auftritt.
Abschließend möchte ich sagen, dass die Zertifizierung tatsächlich viel schwieriger ist, als in verschiedenen Quellen beschrieben. Dies wird durch die Tatsache bestätigt, dass es in Russland heute nur noch solche gibt wurden für die Einhaltung zertifiziert. Gleichzeitig handelt es sich um einen der im Ausland am weitesten verbreiteten Standards, der den wachsenden Anforderungen der Wirtschaft im Bereich Informationssicherheit gerecht wird. Dieser Umsetzungsbedarf ist nicht nur auf das Wachstum und die Komplexität der Bedrohungsarten zurückzuführen, sondern auch auf die Anforderungen der Gesetzgebung sowie auf Kunden, die die vollständige Vertraulichkeit ihrer Daten wahren müssen.
Auch wenn die ISMS-Zertifizierung keine leichte Aufgabe ist, kann allein die Tatsache, dass die Anforderungen der internationalen Norm ISO/IEC 27001 erfüllt werden, einen ernsthaften Wettbewerbsvorteil auf dem Weltmarkt darstellen. Wir hoffen, dass unser Artikel einen ersten Einblick in die wichtigsten Schritte bei der Vorbereitung eines Unternehmens auf die Zertifizierung vermittelt hat.
Source: habr.com