Σήμερα, το ζήτημα της ασφάλειας των πληροφοριών (εφεξής καλούμενη ασφάλεια πληροφοριών) των εταιρειών είναι ένα από τα πιο πιεστικά στον κόσμο. Και αυτό δεν προκαλεί έκπληξη, διότι σε πολλές χώρες υπάρχει αυστηρότερη υποχρέωση για τους οργανισμούς που αποθηκεύουν και επεξεργάζονται προσωπικά δεδομένα. Επί του παρόντος, η ρωσική νομοθεσία απαιτεί τη διατήρηση ενός σημαντικού ποσοστού της ροής των εγγράφων σε έντυπη μορφή. Ταυτόχρονα, η τάση προς την ψηφιοποίηση είναι αισθητή: πολλές εταιρείες ήδη αποθηκεύουν μεγάλο όγκο εμπιστευτικών πληροφοριών τόσο σε ψηφιακή μορφή όσο και σε έντυπα έγγραφα.
Σύμφωνα με τα αποτελέσματα Κέντρο ανάλυσης κατά του κακόβουλου λογισμικού, το 86% των ερωτηθέντων σημείωσε ότι κατά τη διάρκεια του έτους χρειάστηκε τουλάχιστον μία φορά να επιλύσουν περιστατικά μετά από επιθέσεις στον κυβερνοχώρο ή ως αποτέλεσμα παραβιάσεων των καθιερωμένων κανονισμών από τους χρήστες. Από αυτή την άποψη, η προτεραιότητα στην ασφάλεια των πληροφοριών στις επιχειρήσεις έχει καταστεί αναγκαιότητα.
Επί του παρόντος, η ασφάλεια εταιρικών πληροφοριών δεν είναι μόνο ένα σύνολο τεχνικών μέσων, όπως προγράμματα προστασίας από ιούς ή τείχη προστασίας, αλλά είναι ήδη μια ολοκληρωμένη προσέγγιση για το χειρισμό εταιρικών περιουσιακών στοιχείων γενικά και πληροφοριών ειδικότερα. Οι εταιρείες αντιμετωπίζουν αυτά τα προβλήματα διαφορετικά. Σήμερα θα θέλαμε να μιλήσουμε για την εφαρμογή του διεθνούς προτύπου ISO 27001 ως λύση σε ένα τέτοιο πρόβλημα. Για τις εταιρείες στη ρωσική αγορά, η παρουσία ενός τέτοιου πιστοποιητικού απλοποιεί την αλληλεπίδραση με ξένους πελάτες και συνεργάτες που έχουν υψηλές απαιτήσεις σε αυτό το θέμα. Το ISO 27001 χρησιμοποιείται ευρέως στη Δύση και καλύπτει απαιτήσεις στον τομέα της ασφάλειας πληροφοριών, οι οποίες θα πρέπει να καλύπτονται από τις τεχνικές λύσεις που χρησιμοποιούνται, αλλά και να συμβάλλουν στην ανάπτυξη επιχειρηματικών διαδικασιών. Έτσι, αυτό το πρότυπο μπορεί να γίνει το ανταγωνιστικό σας πλεονέκτημα και σημείο επαφής με ξένες εταιρείες.
Αυτή η πιστοποίηση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (εφεξής ISMS) συγκέντρωσε τις βέλτιστες πρακτικές για το σχεδιασμό ενός ISMS και, κυρίως, παρείχε τη δυνατότητα επιλογής εργαλείων ελέγχου για τη διασφάλιση της λειτουργίας του συστήματος, απαιτήσεις για τεχνολογική υποστήριξη ασφάλειας και ακόμη για τη διαδικασία διαχείρισης προσωπικού στην εταιρεία. Εξάλλου, είναι απαραίτητο να κατανοήσουμε ότι οι τεχνικές βλάβες είναι μόνο μέρος του προβλήματος. Σε θέματα ασφάλειας πληροφοριών, ο ανθρώπινος παράγοντας παίζει τεράστιο ρόλο και είναι πολύ πιο δύσκολο να τον εξαλείψουμε ή να τον ελαχιστοποιήσουμε.
Εάν η εταιρεία σας θέλει να λάβει πιστοποίηση ISO 27001, τότε ίσως έχετε ήδη προσπαθήσει να βρείτε τον εύκολο τρόπο για να το κάνετε. Πρέπει να σας απογοητεύσουμε: εδώ δεν υπάρχουν εύκολοι τρόποι. Ωστόσο, υπάρχουν ορισμένα βήματα που θα βοηθήσουν στην προετοιμασία ενός οργανισμού για τις διεθνείς απαιτήσεις ασφάλειας πληροφοριών:
1. Λάβετε υποστήριξη από τη διοίκηση
Μπορεί να νομίζετε ότι αυτό είναι προφανές, αλλά στην πράξη αυτό το σημείο συχνά παραβλέπεται. Επιπλέον, αυτός είναι ένας από τους κύριους λόγους για τους οποίους συχνά αποτυγχάνουν τα έργα εφαρμογής του ISO 27001. Χωρίς να κατανοήσει τη σημασία του τυπικού έργου υλοποίησης, η διοίκηση δεν θα παρέχει ούτε επαρκείς ανθρώπινους πόρους ούτε επαρκή προϋπολογισμό για πιστοποίηση.
2. Αναπτύξτε ένα σχέδιο προετοιμασίας πιστοποίησης
Η προετοιμασία για την πιστοποίηση ISO 27001 είναι μια σύνθετη εργασία που περιλαμβάνει πολλούς διαφορετικούς τύπους εργασίας, απαιτεί τη συμμετοχή μεγάλου αριθμού ατόμων και μπορεί να διαρκέσει πολλούς μήνες (ή και χρόνια). Επομένως, είναι πολύ σημαντικό να δημιουργήσετε ένα λεπτομερές σχέδιο έργου: να διαθέσετε πόρους, χρόνο και συμμετοχή των ανθρώπων σε αυστηρά καθορισμένες εργασίες και να παρακολουθείτε τη συμμόρφωση με τις προθεσμίες - διαφορετικά μπορεί να μην ολοκληρώσετε ποτέ την εργασία.
3. Καθορίστε την περίμετρο πιστοποίησης
Εάν διαθέτετε έναν μεγάλο οργανισμό με διαφοροποιημένες δραστηριότητες, μπορεί να έχει νόημα να πιστοποιήσετε μόνο μέρος των εργασιών της εταιρείας σύμφωνα με το ISO 27001, το οποίο θα μειώσει σημαντικά τον κίνδυνο του έργου σας, καθώς και τον χρόνο και το κόστος του.
4. Αναπτύξτε μια πολιτική ασφάλειας πληροφοριών
Ένα από τα πιο σημαντικά έγγραφα είναι η Πολιτική Ασφάλειας Πληροφοριών της εταιρείας. Θα πρέπει να αντικατοπτρίζει τους στόχους ασφάλειας πληροφοριών της εταιρείας σας και τις βασικές αρχές διαχείρισης της ασφάλειας πληροφοριών, τις οποίες πρέπει να ακολουθούν όλοι οι εργαζόμενοι. Σκοπός αυτού του εγγράφου είναι να προσδιορίσει τι θέλει να επιτύχει η διοίκηση της εταιρείας στον τομέα της ασφάλειας πληροφοριών, καθώς και πώς αυτό θα εφαρμοστεί και θα ελέγχεται.
5. Καθορίστε μια μεθοδολογία εκτίμησης κινδύνου
Ένα από τα πιο δύσκολα καθήκοντα είναι ο καθορισμός κανόνων για την αξιολόγηση και τη διαχείριση κινδύνου. Είναι σημαντικό να κατανοήσουμε ποιους κινδύνους μια εταιρεία μπορεί να θεωρήσει αποδεκτούς και ποιους απαιτούν άμεση δράση για τη μείωσή τους. Χωρίς αυτούς τους κανόνες, το ISMS δεν θα λειτουργήσει.
Ταυτόχρονα, αξίζει να θυμηθούμε την επάρκεια των μέτρων που λαμβάνονται για τη μείωση των κινδύνων. Αλλά δεν πρέπει να παρασυρθείτε πολύ με τη διαδικασία βελτιστοποίησης, επειδή συνεπάγονται επίσης μεγάλο χρονικό ή οικονομικό κόστος ή μπορεί απλώς να είναι αδύνατον. Συνιστούμε να χρησιμοποιείτε την αρχή της «ελάχιστης επάρκειας» κατά την ανάπτυξη μέτρων μείωσης του κινδύνου.
6. Διαχείριση κινδύνων σύμφωνα με εγκεκριμένη μεθοδολογία
Το επόμενο στάδιο είναι η συνεπής εφαρμογή της μεθοδολογίας διαχείρισης κινδύνων, δηλαδή η αξιολόγηση και η επεξεργασία τους. Αυτή η διαδικασία πρέπει να διεξάγεται σε τακτική βάση με μεγάλη προσοχή. Διατηρώντας ενημερωμένο το μητρώο κινδύνων ασφάλειας πληροφοριών, θα μπορείτε να κατανέμετε αποτελεσματικά τους πόρους της εταιρείας και να αποτρέπετε σοβαρά συμβάντα.
7. Σχεδιάστε τη θεραπεία κινδύνου
Κίνδυνοι που υπερβαίνουν ένα αποδεκτό επίπεδο για την εταιρεία σας πρέπει να περιλαμβάνονται στο σχέδιο αντιμετώπισης κινδύνου. Θα πρέπει να καταγράφει τις ενέργειες που αποσκοπούν στη μείωση των κινδύνων, καθώς και τους υπεύθυνους για αυτούς και τις προθεσμίες.
8. Συμπληρώστε τη Δήλωση Εφαρμογής
Αυτό είναι ένα βασικό έγγραφο που θα μελετηθεί από ειδικούς του φορέα πιστοποίησης κατά τη διάρκεια του ελέγχου. Θα πρέπει να περιγράφει ποιοι έλεγχοι ασφάλειας πληροφοριών ισχύουν για τις δραστηριότητες της εταιρείας σας.
9. Καθορίστε πώς θα μετρηθεί η αποτελεσματικότητα των ελέγχων ασφάλειας πληροφοριών.
Οποιαδήποτε ενέργεια πρέπει να έχει αποτέλεσμα που οδηγεί στην εκπλήρωση των καθιερωμένων στόχων. Ως εκ τούτου, είναι σημαντικό να καθοριστεί σαφώς με ποιες παραμέτρους θα μετρηθεί η επίτευξη των στόχων τόσο για ολόκληρο το σύστημα διαχείρισης ασφάλειας πληροφοριών όσο και για κάθε επιλεγμένο μηχανισμό ελέγχου από το Παράρτημα Εφαρμογής.
10. Εφαρμογή ελέγχων ασφάλειας πληροφοριών
Και μόνο αφού ολοκληρώσετε όλα τα προηγούμενα βήματα, θα πρέπει να αρχίσετε να εφαρμόζετε τους ισχύοντες ελέγχους ασφάλειας πληροφοριών από το Παράρτημα Εφαρμογής. Η μεγαλύτερη πρόκληση εδώ, φυσικά, θα είναι η εισαγωγή ενός εντελώς νέου τρόπου να κάνετε πράγματα σε πολλές από τις διαδικασίες του οργανισμού σας. Οι άνθρωποι τείνουν να αντιστέκονται σε νέες πολιτικές και διαδικασίες, γι' αυτό δώστε προσοχή στο επόμενο σημείο.
11. Εφαρμογή προγραμμάτων κατάρτισης εργαζομένων
Όλα τα σημεία που περιγράφονται παραπάνω δεν θα έχουν νόημα εάν οι υπάλληλοί σας δεν κατανοούν τη σημασία του έργου και δεν ενεργούν σύμφωνα με τις πολιτικές ασφάλειας πληροφοριών. Εάν θέλετε το προσωπικό σας να συμμορφώνεται με όλους τους νέους κανόνες, πρέπει πρώτα να εξηγήσετε στους ανθρώπους γιατί είναι απαραίτητοι και στη συνέχεια να παρέχετε εκπαίδευση για το ISMS, επισημαίνοντας όλες τις σημαντικές πολιτικές που πρέπει να λαμβάνουν υπόψη οι εργαζόμενοι στην καθημερινή τους εργασία. Η έλλειψη εκπαίδευσης προσωπικού είναι ένας κοινός λόγος για την αποτυχία του έργου ISO 27001.
12. Διατηρήστε τις διαδικασίες ISMS
Σε αυτό το σημείο, το ISO 27001 γίνεται καθημερινή ρουτίνα στον οργανισμό σας. Για να επιβεβαιωθεί η εφαρμογή των ελέγχων ασφάλειας πληροφοριών σύμφωνα με το πρότυπο, οι ελεγκτές θα πρέπει να παρέχουν αρχεία - αποδεικτικά στοιχεία της πραγματικής λειτουργίας των ελέγχων. Αλλά πάνω από όλα, τα αρχεία θα πρέπει να σας βοηθήσουν να παρακολουθείτε εάν οι υπάλληλοί σας (και οι προμηθευτές) εκτελούν τα καθήκοντά τους σύμφωνα με τους εγκεκριμένους κανόνες.
13. Παρακολουθήστε το ISMS σας
Τι συμβαίνει με το ISMS σας; Πόσα περιστατικά έχετε, τι είδους είναι; Ακολουθούνται σωστά όλες οι διαδικασίες; Με αυτές τις ερωτήσεις, θα πρέπει να ελέγξετε εάν η εταιρεία πληροί τους στόχους της για την ασφάλεια των πληροφοριών. Εάν όχι, πρέπει να αναπτύξετε ένα σχέδιο για να διορθώσετε την κατάσταση.
14. Διεξαγωγή εσωτερικού ελέγχου ISMS
Ο σκοπός του εσωτερικού ελέγχου είναι να εντοπίσει ασυνέπειες μεταξύ των πραγματικών διαδικασιών στην εταιρεία και των εγκεκριμένων πολιτικών ασφάλειας πληροφοριών. Ως επί το πλείστον, ελέγχεται για να δείτε πόσο καλά οι υπάλληλοί σας ακολουθούν τους κανόνες. Αυτό είναι ένα πολύ σημαντικό σημείο, γιατί εάν δεν ελέγχετε το έργο του προσωπικού σας, ο οργανισμός μπορεί να υποστεί ζημιά (σκόπιμη ή ακούσια). Αλλά ο στόχος εδώ δεν είναι να βρεθούν οι ένοχοι και να τους πειθαρχήσουν για μη συμμόρφωση με τις πολιτικές, αλλά να διορθώσουν την κατάσταση και να αποτρέψουν μελλοντικά προβλήματα.
15. Οργανώστε μια αξιολόγηση διαχείρισης
Η διοίκηση δεν πρέπει να διαμορφώσει το τείχος προστασίας σας, αλλά θα πρέπει να γνωρίζει τι συμβαίνει στο ISMS: για παράδειγμα, εάν όλοι εκπληρώνουν τις ευθύνες τους και εάν το ISMS επιτυγχάνει τα στοχευόμενα αποτελέσματα. Με βάση αυτό, η διοίκηση πρέπει να λάβει βασικές αποφάσεις για τη βελτίωση του ISMS και των εσωτερικών επιχειρηματικών διαδικασιών.
16. Εισαγωγή συστήματος διορθωτικών και προληπτικών ενεργειών
Όπως κάθε πρότυπο, το ISO 27001 απαιτεί «συνεχή βελτίωση»: τη συστηματική διόρθωση και πρόληψη ασυνεπειών στο σύστημα διαχείρισης ασφάλειας πληροφοριών. Μέσω διορθωτικών και προληπτικών ενεργειών, η μη συμμόρφωση μπορεί να διορθωθεί και να αποτραπεί η επανεμφάνισή της στο μέλλον.
Εν κατακλείδι, θα ήθελα να πω ότι στην πραγματικότητα, η απόκτηση πιστοποίησης είναι πολύ πιο δύσκολη από ό,τι περιγράφεται σε διάφορες πηγές. Αυτό επιβεβαιώνεται από το γεγονός ότι στη Ρωσία σήμερα υπάρχουν μόνο έχουν πιστοποιηθεί για συμμόρφωση. Ταυτόχρονα, πρόκειται για ένα από τα πιο δημοφιλή πρότυπα στο εξωτερικό, καλύπτοντας τις αυξανόμενες απαιτήσεις των επιχειρήσεων στον τομέα της ασφάλειας πληροφοριών. Αυτή η απαίτηση εφαρμογής οφείλεται όχι μόνο στην ανάπτυξη και την πολυπλοκότητα των τύπων απειλών, αλλά και στις απαιτήσεις της νομοθεσίας, καθώς και στους πελάτες που πρέπει να διατηρούν πλήρη εμπιστευτικότητα των δεδομένων τους.
Παρά το γεγονός ότι η πιστοποίηση ISMS δεν είναι εύκολη υπόθεση, το ίδιο το γεγονός της ικανοποίησης των απαιτήσεων του διεθνούς προτύπου ISO/IEC 27001 μπορεί να προσφέρει ένα σοβαρό ανταγωνιστικό πλεονέκτημα στην παγκόσμια αγορά. Ελπίζουμε ότι το άρθρο μας παρείχε μια αρχική κατανόηση των βασικών σταδίων για την προετοιμασία μιας εταιρείας για πιστοποίηση.
Πηγή: www.habr.com