Hodiaŭ, la afero pri informa sekureco (ĉi-poste - IS) de kompanioj estas unu el la plej gravaj en la mondo. Kaj ĉi tio ne estas surpriza, ĉar en multaj landoj estas plifortiĝo de postuloj por organizoj, kiuj stokas kaj prilaboras personajn datumojn. Nuntempe, rusa leĝaro postulas ke signifa proporcio de la dokumentfluo estu konservita en papera formo. Samtempe rimarkeblas la tendenco al ciferecigo: multaj kompanioj jam konservas grandan kvanton da konfidencaj informoj kaj en cifereca formato kaj en formo de paperaj dokumentoj.
Laŭ la rezultoj de la Analiza Centro Anti-Malware, 86% de la respondantoj rimarkis, ke dum la jaro ili devis solvi incidentojn almenaŭ unufoje post ciberatakoj aŭ kiel rezulto de malobservoj de establitaj regularoj de uzantoj. Ĉi-rilate, la prioritata atento en komerco al informa sekureco fariĝis neceso.
Nuntempe, kompania informsekureco ne estas nur komplekso de teknikaj rimedoj, kiel antivirusoj aŭ fajroŝirmiloj, ĝi jam estas integra aliro al traktado de firmaaj aktivoj ĝenerale kaj informoj aparte. Firmaoj havas malsamajn alirojn por solvi ĉi tiujn problemojn. Hodiaŭ ni ŝatus paroli pri la efektivigo de la internacia normo ISO 27001 kiel solvo al tia problemo. Por kompanioj en la rusa merkato, la ĉeesto de tia atestilo simpligas interagon kun eksterlandaj klientoj kaj partneroj, kiuj havas altajn postulojn en ĉi tiu afero. ISO 27001 estas vaste uzata en la Okcidento kaj kovras informajn sekurecajn postulojn, kiuj devas esti kovritaj de la teknikaj solvoj uzataj, kaj ankaŭ helpi konstrui komercajn procezojn. Tiel, ĉi tiu normo povas fariĝi via konkurenciva avantaĝo kaj kontaktpunkto kun eksterlandaj kompanioj.
Ĉi tiu atesto de la Sistemo pri Administrado pri Informa Sekureco (ĉi-poste - ISMS) kolektis la plej bonajn praktikojn por desegni ISMS kaj, grave, provizis por la eblo elekti kontrolojn por certigi la funkciadon de la sistemo, la postulojn por teknologia sekureco kaj eĉ por la procezo de administrado de dungitaro en la firmao. Post ĉio, necesas kompreni, ke teknikaj misfunkciadoj estas nur parto de la problemo. En aferoj de informa sekureco, grandegan rolon ludas la homa faktoro, kiu estas multe pli malfacile ekskludi aŭ minimumigi.
Se via kompanio estas atestita ISO 27001, tiam vi eble jam provis trovi facilan manieron fari ĝin. Ni devos seniluziigi vin: ne estas facilaj manieroj ĉi tie. Tamen, ekzistas iuj paŝoj, kiuj helpos prepari organizon por internaciaj informsekurecaj postuloj:
1. Akiru subtenon de administrado
Vi eble pensas, ke tio estas evidenta, sed praktike ĉi tiu punkto estas ofte preteratentita. Krome, ĉi tio estas unu el la ĉefaj kialoj kial projektoj por efektivigi ISO 27001 ofte malsukcesas. Sen kompreni la signifon de la projekto por efektivigi la normon, administrado ne disponigos aŭ sufiĉajn homajn rimedojn aŭ sufiĉan buĝeton por atestado.
2. Disvolvu atestan preparplanon
Preparado por ISO 27001-atestado estas kompleksa tasko, kiu inkluzivas multajn malsamajn specojn de laboro, postulas la implikiĝon de granda nombro da homoj kaj povas daŭri multajn monatojn (aŭ eĉ jarojn). Tial, estas tre grave ellabori detalan projektplanon: asigni rimedojn, tempon kaj homan implikiĝon al strikte difinitaj taskoj kaj kontroli la plenumon de limdatoj - alie vi eble neniam finos la laboron.
3. Determini la atestan perimetron
Se vi havas grandan organizon kun diversaj agadoj, verŝajne havas sencon atesti nur parton de la entrepreno de la kompanio laŭ ISO 27001, kiu signife reduktos la riskojn de via projekto, same kiel ĝian tempon kaj koston.
4. Disvolvu politikon pri informa sekureco
Unu el la plej gravaj dokumentoj estas la Informa Sekureca Politiko de la kompanio. Ĝi devus reflekti la celojn de via kompanio en la kampo de informa sekureco kaj la bazaj principoj de informa sekureco administrado, kiuj devas esti observitaj de ĉiuj dungitoj. La celo de ĉi tiu dokumento estas difini, kion la administrado de la kompanio volas atingi en la kampo de informa sekureco, kaj kiel ĉi tio estos efektivigita kaj kontrolita.
5. Difinu metodologion pri taksado de risko
Unu el la plej malfacilaj taskoj estas difini la regulojn por taksi kaj administri riskojn. Gravas kompreni, kiujn riskojn kompanio povas konsideri akcepteblaj kaj kiuj postulas tujan agon por mildigi ilin. Sen ĉi tiuj reguloj, la ISMS ne funkcios.
Samtempe, indas memori la taŭgecon de la evoluintaj mezuroj prenitaj por redukti riskojn. Sed vi ne tro forkonduku la optimumigprocezon, ĉar ili implicas interalie grandajn tempon aŭ financajn kostojn, aŭ eble simple neeblas. Ni rekomendas, ke vi uzu la principon de "minimuma sufiĉo" kiam vi disvolvas riskajn mildigajn mezurojn.
6. Administri riskojn laŭ la aprobita metodaro
La sekva etapo estas la konsekvenca apliko de la riska administradmetodaro, tio estas, ilia taksado kaj prilaborado. Ĉi tiu procezo devas esti efektivigita regule kun granda zorgo. Tenante la registron pri informa sekureca risko ĝisdatigita, vi povas efike asigni firmaajn rimedojn kaj malhelpi gravajn okazaĵojn.
7. Planu vian riskan traktadon
Riskoj, kiuj superas la nivelon akceptebla por via kompanio, devus esti inkluzivitaj en la riska traktado. Ĝi devus registri la agojn celantajn redukti la riskojn, same kiel la respondecajn pri ili kaj la tempigon.
8. Kompletigu la Deklaron pri Aplikebleco
Ĉi tiu estas la ŝlosila dokumento, kiu estos ekzamenita de la atestanta aŭtoritato dum la revizio. Ĝi devus priskribi, kiuj informaj sekurecaj kontroloj aplikas al la operacioj de via kompanio.
9. Determini kiel la efikeco de informsekurecaj kontroloj estos mezurita
Ĉiu ago devas havi rezulton kondukantan al la plenumado de la establitaj celoj. Tial gravas klare difini la parametrojn per kiuj la atingo de celoj estos mezurita kaj por la tuta informa sekurecadministra sistemo kaj por ĉiu elektita kontrolmekanismo el la Aplikebleco-Anekso.
10. Efektivigi informsekurecajn kontrolojn
Kaj nur post la efektivigo de ĉiuj antaŭaj paŝoj, vi devas komenci efektivigi la aplikeblajn informsekurecajn kontrolojn de la Aplikebleco-Apendico. La plej granda defio ĉi tie, kompreneble, estos la efektivigo de tute nova maniero fari aferojn en multaj el la procezoj de via organizo. Homoj kutime rezistas novajn politikojn kaj procedurojn, do atentu la sekvan punkton.
11. Efektivigi dungitajn trejnajn programojn
Ĉiuj punktoj priskribitaj supre estos sensignifaj se viaj dungitoj ne komprenas la gravecon de la projekto kaj ne agas laŭ la politikoj pri informa sekureco. Se vi volas, ke via dungitaro plenumu ĉiujn novajn regulojn, vi unue devas klarigi al homoj kial ili estas bezonataj, kaj tiam provizi trejnadon pri la ISMS, elstarigante ĉiujn gravajn politikojn, kiujn dungitoj devus konsideri en sia ĉiutaga laboro. Manko de trejnado de dungitoj estas ofta kialo, kial projekto ISO 27001 malsukcesas.
12. Subtenu ISMS-procezojn
En ĉi tiu etapo, ISO 27001 fariĝas ĉiutaga rutino en via organizo. Por konfirmi la efektivigon de informaj sekurecaj kontroloj konforme al la normo, revizoroj devos provizi rekordojn - pruvojn pri la reala funkciado de kontroloj. Sed unue kaj ĉefe, la rekordoj devas helpi vin kontroli ĉu viaj dungitoj (kaj provizantoj) plenumas siajn taskojn laŭ la aprobitaj reguloj.
13. Monitoru la ISMS
Kio okazas al via ISMS? Kiom da incidentoj vi havas, kiaj ili estas? Ĉu ĉiuj proceduroj ĝuste sekvas? Kun ĉi tiuj demandoj, vi devus kontroli ĉu la kompanio atingas siajn informojn pri sekureco. Se ne, vi devas evoluigi planon por korekti la situacion.
14. Faru internan revizion de la ISMS
La celo de interna revizio estas malkaŝi la diferencon inter la realaj procezoj en la firmao kaj la aprobitaj IS-politikoj. Plejparte, ĉi tio estas provo pri kiel viaj dungitoj observas la regulojn. Ĉi tio estas tre grava punkto, ĉar se vi ne regas la laboron de via personaro, la organizo povas esti damaĝita (intence aŭ neintence). Sed la afero ĉi tie ne estas trovi la krimintojn kaj trudi al ili disciplinajn sankciojn pro nerespekto de politikoj, sed korekti la situacion kaj malhelpi estontajn problemojn.
15. Organizi Administran Revizion
Administrado ne devas agordi vian fajroŝirmilon, sed ili bezonas scii, kio okazas en la ISMS, ekzemple, ĉu ili plenumas ĉiujn siajn respondecojn kaj ĉu la ISMS atingas siajn celitajn rezultojn. Surbaze de tio, administrado devus fari ŝlosilajn decidojn por plibonigi la ISMS kaj internajn komercajn procezojn.
16. Enkonduki sistemon de korektaj kaj preventaj agoj
Kiel ĉiu normo, ISO 27001 postulas "kontinuan plibonigon": la sistema korekto kaj preventado de nekonsekvencoj en la informa sekureca administradsistemo. Korektigaj kaj preventaj agoj povas korekti la nekonformecon kaj malhelpi ĝian ripetiĝon en la estonteco.
Konklude, mi ŝatus diri, ke efektive estas multe pli malfacile atestiĝi ol ĝi estas priskribita en diversaj fontoj. Konfirmo estas la fakto, ke en Rusio hodiaŭ nur estis atestitaj por konformeco. Samtempe eksterlande ĝi estas unu el la plej popularaj normoj, kiuj renkontas la kreskantajn bezonojn de komerco en la kampo de informa sekureco. Tia postulo pri efektivigo ŝuldiĝas ne nur al la kresko kaj komplikiĝo de specoj de minacoj, sed ankaŭ al la postuloj de la leĝo, kaj ankaŭ al klientoj, kiuj bezonas konservi kompletan konfidencon de siaj datumoj.
Malgraŭ la fakto, ke ISMS-atestado ne estas facila tasko, la nura fakto plenumi la postulojn de la internacia normo ISO/IEC 27001 povas doni gravan konkurencivan avantaĝon en la tutmonda merkato. Ni esperas, ke nia artikolo donis ĉefan komprenon pri la ŝlosilaj etapoj en preparado de kompanio por atestado.
fonto: www.habr.com