Farante ajnan strategie gravan decidon por la firmao, dungitoj trairas bazan defendan mekanismon, konatan kiel la 5 stadioj de respondado al ŝanĝo (de E. Kübler-Ross). Eminenta psikologo iam priskribis emociajn reagojn, elstarigante 5 ŝlosilajn stadiojn de emocia respondo: neo, kolero, marĉandado, depresio kaj finfine Adopcio. Ni preparis serion da artikoloj dediĉitaj al ISO 27001-atestado, kie ni rigardos ĉiun el la etapoj. Hodiaŭ ni parolos pri la unua el ili - neado.
Akiri ISO 27001-atestilon "por spektaklo" estas tre dubinda plezuro, ĉar ĝi postulas longan kaj multekostan preparon. Krome, kiel ĝi montras , ĉi tiu normo estas ekstreme nepopulara en la Rusa Federacio: ĝis nun nur 70 kompanioj estis atestitaj por plenumado. Samtempe, ĉi tio estas unu el la plej popularaj normoj eksterlande, renkontante la kreskantajn postulojn de komerco en la kampo de informa sekureco.
Nia firmao provizas plenan gamon de kontadaj funkcioj subkontraktantaj servoj: kontado kaj imposta kontado, etato kaj administrado de dungitaro. Ni okupas unu el la ĉefaj merkataj pozicioj, precipe pro la fakto, ke eksterlandaj kompanioj kun filioj en Rusio fidas al ni siajn konfidencajn informojn. Ĉi tio validas ne nur por la financaj procezoj de niaj klientoj, sed ankaŭ por la personaj datumoj, kun kiuj ni laboras ĉiutage. Ĉi-rilate, la temo de informa sekureco estas unu el niaj prioritatoj.
Ofte, ĉiuj komercaj procezoj de rusaj dividoj estas kontrolitaj kaj deklaritaj de la ĉefsidejoj de eksterlandaj kompanioj, kaj tial ili devas plenumi internajn grupajn normojn. Lastatempe, kelkaj el niaj ŝlosilaj klientoj komencis revizii siajn sekurecpolitikojn en la direkto de streĉi ilin. Kompreneble, ĉi tio estas pro tutmondaj tendencoj en la kreskanta nombro da ciberatakoj kaj perdoj asociitaj kun incidentoj pri rompo pri informa sekureco.Se necesas efektivigi protektajn mezurojn, politikojn kaj procedurojn celantajn pliigi la informan sekurecon de la kompanio, vi povas malhavi ISO. Atestilo /IEC 27001, ŝparante tiel multe da mono, tempo kaj nervoj.
Hodiaŭ, postuloj por ekzistanta informa sekureco en la kompanio komencis aperi en ofertoj de eksterlandaj klientoj. Iuj, por simpligi ilian konfirmon kaj unuigi la aliron, starigas devigan taksadkriterion - la ĉeeston de ISO/IEC 27001-atestilo.
Jen kion ni vidis: Unu el niaj ĉefaj internaciaj klientoj atestitaj laŭ ĉi tiu normo ŝajnas esti signife plifortigis sian tutmondan informan sekurecan teamon. Kiel ni sciis pri tio? Ili decidis revizii nian informan sekurecan administradsistemon, ĉar ni provizas al ili kontadajn servojn kaj administradon de dungitaro - kaj, sekve, la sekureco de niaj informsistemoj estas grave grava por ili. La antaŭa revizio okazis antaŭ 3 jaroj - tiufoje ĉio iris tute sendolore.
Ĉi-foje, amika teamo de indianoj atakis nin, lerte eltrovante kelkajn dekojn da mankoj en nia sekureca mastruma sistemo. La revizioprocezo similis la radon de Samsara - ŝajnis ke principe ili havis neniun celon atingi ajnan finan punkton kiel parto de la revizio. Ĝi estis senfina vico da demandoj, komentoj, niaj komentoj kaj evidenteco de ilia realeco, konferencovokoj kaj longaj filozofiaj konversacioj en provoj rekoni la akcenton de la IT-sekureca teamo de la kliento. Cetere, la revizio daŭras kun diversaj gradoj de intenseco ĝis hodiaŭ - kun la tempo, ni ekkonis ĉi tion. Tiel, la bezono de atestado ekestis memstare.
Eble ni povas fari kun ISO 9001?
Ĉiuj, kiuj pli-malpli scipovas pri la afero de atestado laŭ iu el la ISO-normoj, komprenas, ke la bazo por ĉiu el ili estas la atestilo ISO 9001 "Kvalita Administra Sistemo". Ĉi tio eble estas la plej populara atestilo nuntempe en la tuta vico de ISO-normoj. Ni ne havis ĝin – kaj ni decidis ne ricevi ĝin. Estis pluraj kialoj por ĉi tio:
- la dubinda ekonomia efikeco de la firmao havanta ĉi tiun atestilon;
- niaj internaj procezoj, plejparte, jam estis proksimaj al ĉi tiu normo;
- Akiro de ĉi tiu atestilo postulus plian tempon kaj monon.
Sekve, ni decidis tuj efektivigi ISO 27001, sen komenci per la "pli malpeza" 9001.
Aŭ eble ankoraŭ ne necesas?
Rigardante antaŭen, ni multfoje revenis al la demando, ĉu estas konsilinde akiri ĝin. Ni komencis studi la aferon de ĉiuj flankoj, ĉar ni havis absolute neniun kompetentecon. Kaj jen la miskomprenoj, kiuj denove pensigis nin pri ĉi tiu afero.
Miskompreniĝo #1.
Ni esperis, ke la normo provizos al ni detalan kontrolon, liston de politikoj kaj aliajn laŭleĝajn dokumentojn. En realeco, montriĝis, ke ISO/IEC 27001 estas aro de postuloj por la informa sekureca administra sistemo mem kaj la procezo konstruita. Surbaze de ili, estis necese sendepende decidi kion skribi/efektivigi en nia kompanio por plenumi la postulojn de la normo.
Miskompreniĝo #2.
Ni sincere kredis, ke sufiĉus por ni mem studi unu dokumenton kaj efektivigi ĝin en relative mallonga tempo. En realeco, dum legado de la dokumento, ni rimarkis kiom da rilataj normoj nia normo "alkroĉas" al kiom da normoj ni bezonas konatiĝi (almenaŭ supraĵe). La "ĉerizo" sur la kuko estis la manko de aktualaj normtekstoj en la publika domeno - ili devis esti aĉetitaj en la oficiala ISO-retejo.
Miskompreniĝo #3.
Ni estis certaj, ke ni trovos ĉion, kion ni bezonas por prepari por atestado en malfermaj fontoj. Ekzistis ja sufiĉe multe da materialoj pri ISO 27001 en la Interreto, sed sufiĉe mankis al ili specifaĵoj. Preskaŭ ne estis facile kompreneblaj paŝo-post-paŝaj instrukcioj por prepari por atesto, kaj ankaŭ realaj kazoj de kompanioj, kiuj efektivigis ĉi tiun normon.
Miskompreniĝo #4.
Ni skribos politikojn, sed ili ne funkcios! Nu, estas vere, nia kompanio jam havas tro multajn regulojn, neniu plenumos aliajn 3 dekduojn da novaj politikoj. En realeco, feliĉe, niaj dungitoj prenis la taskon respondece regi la novajn regulojn kaj sukcese trapasis provojn pri scio pri informa sekureca administradsistemo-dokumentoj.
Miskompreniĝo #5.
En tiu tempo, ni ne povis klare taksi kiajn profitojn ni ricevus el niaj klopodoj. Tiutempe, la nombro da petoj por ĉi tiu atestilo ne estis tiom granda, kaj ni havis nian ŝlosilon kaj plej postuleman klienton longe antaŭ atestado. Sperto montris, ke ni sukcesis sen normo.
En iu momento, ni rimarkis, ke ni kaose fermis unu aŭ alian emerĝantan breĉon pro la postuloj de la kliento. Ĉiufoje ni elpensis novajn politikojn aŭ solvojn. Kaj ni finfine sendepende alvenis al la konkludo, ke estus multe pli facile sistemigi la procezon, kio eĉ ŝparus al ni multajn laborkostojn en la estonteco. La normo celis simpligi ĉi tiun taskon.
Nun, du jarojn poste, ni vidas kreskantan tendencon en la nombro da petoj kaj intereso pri ĉi tiu afero de ĉefaj internaciaj klientoj.
Fina decido.
Konklude, ni ŝatus diri, ke niaj industriaj gvidantoj ricevis atestilon ISO/IEC 27001, kiu devigis ĉiujn aliajn ĉefajn provizantojn (inkluzive de ni) pensi pri ĉi tiu afero. Sendube, bela linio en la merkatmaterialoj de la kompanio - en la retejo, en sociaj retoj, en reklamaj broŝuroj ktp. – povas esti konsiderata kiel agrabla gratifiko, sed ĉu indas elspezi tiom da rimedoj por? Ni mem decidis, ke por ni ĉi tio estas pli ol nur bela linio, kaj ni okupiĝis pri ĉi tiu projekto.
fonto: www.habr.com