Tänapäeval on ettevõtete infoturbe (edaspidi infoturbe) teema maailmas üks aktuaalsemaid. Ja see pole üllatav, sest paljudes riikides karmistatakse nõudeid isikuandmeid säilitavatele ja töötlevatele organisatsioonidele. Praegu nõuavad Venemaa õigusaktid olulise osa dokumentide liikumise säilitamist paberkandjal. Samas on märgata digitaliseerumise suundumust: paljud ettevõtted säilitavad juba praegu suurel hulgal konfidentsiaalset infot nii digitaalsel kujul kui ka paberdokumentide kujul.
Vastavalt tulemustele Pahavaratõrje analüüsikeskuse 86% vastanutest märkis, et aasta jooksul tuli neil vähemalt korra lahendada intsidente pärast küberrünnet või kasutaja poolt kehtestatud reeglite rikkumise tagajärjel. Sellega seoses on infoturbe tähtsustamine ettevõtluses muutunud hädavajalikuks.
Praegu ei ole ettevõtte infoturve ainult tehniliste vahendite kogum, nagu viirusetõrjed või tulemüürid, vaid see on juba integreeritud lähenemine ettevõtte varade ja eelkõige teabe käsitlemisel. Ettevõtted lähenevad neile probleemidele erinevalt. Täna räägime rahvusvahelise standardi ISO 27001 rakendamisest kui sellise probleemi lahendusest. Venemaa turul olevate ettevõtete jaoks lihtsustab sellise sertifikaadi olemasolu suhtlemist välismaiste klientide ja partneritega, kellel on selles küsimuses kõrged nõudmised. ISO 27001 on läänes laialdaselt kasutusel ja hõlmab infoturbe valdkonna nõudeid, mis peaksid olema kaetud kasutatavate tehniliste lahendustega ning aitama kaasa ka äriprotsesside arendamisele. Seega võib sellest standardist saada teie konkurentsieelis ja kontaktpunkt välismaiste ettevõtetega.
See infoturbe haldussüsteemi (edaspidi ISMS) sertifikaat kogus ISMS-i kujundamise parimaid praktikaid ning, mis oluline, nägi ette võimaluse valida süsteemi toimimise tagamiseks juhtimisvahendeid, nõudeid tehnoloogilisele turvatoele ja isegi personalijuhtimise protsessi jaoks ettevõttes. Lõppude lõpuks on vaja mõista, et tehnilised rikked on vaid osa probleemist. Infoturbe küsimustes mängib tohutut rolli inimfaktor, mille kõrvaldamine või minimeerimine on palju keerulisem.
Kui teie ettevõte soovib saada ISO 27001 sertifikaati, siis olete võib-olla juba proovinud leida lihtsat viisi seda teha. Peame teile pettumuse valmistama: siin pole lihtsaid viise. Siiski on teatud sammud, mis aitavad organisatsiooni ette valmistada rahvusvaheliste infoturbenõuete täitmiseks:
1. Hankige juhtkonnalt tuge
Võite arvata, et see on ilmne, kuid praktikas jäetakse see punkt sageli tähelepanuta. Pealegi on see üks peamisi põhjusi, miks ISO 27001 juurutusprojektid sageli ebaõnnestuvad. Ilma standardse rakendusprojekti olulisuse mõistmiseta ei taga juhtkond sertifitseerimiseks piisavalt inimressursse ega piisavat eelarvet.
2. Töötage välja sertifitseerimise ettevalmistamise plaan
ISO 27001 sertifitseerimiseks valmistumine on keeruline ülesanne, mis hõlmab paljusid erinevaid töid, nõuab suure hulga inimeste kaasamist ja võib kesta mitu kuud (või isegi aastaid). Seetõttu on väga oluline koostada detailne projektiplaan: eraldada rangelt määratletud ülesannete täitmiseks ressursse, aega ja inimeste kaasatust ning jälgida tähtaegadest kinnipidamist – muidu ei pruugi töö kunagi valmis saada.
3. Määratlege sertifitseerimispiirkond
Kui teil on suur organisatsioon, millel on mitmekesised tegevused, võib olla mõttekas sertifitseerida ainult osa ettevõtte äritegevusest ISO 27001 järgi, mis vähendab oluliselt teie projekti riski, samuti selle aega ja kulusid.
4. Töötada välja infoturbepoliitika
Üks olulisemaid dokumente on ettevõtte infoturbepoliitika. See peaks kajastama teie ettevõtte infoturbe eesmärke ja infoturbe juhtimise põhiprintsiipe, mida peavad järgima kõik töötajad. Käesoleva dokumendi eesmärk on kindlaks teha, mida ettevõtte juhtkond soovib infoturbe vallas saavutada ning kuidas seda ellu viia ja kontrollida.
5. Määratlege riskihindamise metoodika
Üks keerulisemaid ülesandeid on riskide hindamise ja juhtimise reeglite määratlemine. Oluline on mõista, milliseid riske võib ettevõte pidada vastuvõetavaks ja millised nõuavad nende vähendamiseks kohest tegutsemist. Ilma nende reegliteta ISMS ei tööta.
Samas tasub meeles pidada riskide vähendamiseks võetud meetmete adekvaatsust. Kuid te ei tohiks optimeerimisprotsessiga liialt kaasa minna, sest sellega kaasnevad ka suured aja- või rahalised kulud või võivad need olla lihtsalt võimatud. Soovitame riskide vähendamise meetmete väljatöötamisel kasutada „minimaalse piisavuse“ põhimõtet.
6. Juhtida riske vastavalt kinnitatud metoodikale
Järgmine etapp on riskijuhtimise metoodika järjepidev rakendamine ehk nende hindamine ja töötlemine. Seda protsessi tuleb regulaarselt läbi viia väga hoolikalt. Infoturberiskide registrit ajakohasena hoides suudate ettevõtte ressursse efektiivselt jaotada ja tõsiseid intsidente ennetada.
7. Planeeri riskiravi
Riskid, mis ületavad teie ettevõtte jaoks vastuvõetava taseme, tuleb lisada riskide käsitlemise plaani. See peaks registreerima riskide vähendamiseks suunatud tegevused, samuti nende eest vastutavad isikud ja tähtajad.
8. Täitke kohaldatavusavaldus
See on võtmedokument, mida sertifitseerimisasutuse spetsialistid auditi käigus uurivad. See peaks kirjeldama, millised infoturbe kontrollid teie ettevõtte tegevusele kehtivad.
9. Tehke kindlaks, kuidas mõõdetakse infoturbe kontrollide tõhusust.
Igal tegevusel peab olema tulemus, mis viib püstitatud eesmärkide täitmiseni. Seetõttu on oluline selgelt määratleda, milliste parameetritega mõõdetakse eesmärkide saavutamist nii kogu infoturbe juhtimissüsteemi kui ka kohaldatavuse lisast iga valitud kontrollimehhanismi puhul.
10. Rakendada infoturbe kontrolle
Ja alles pärast kõigi eelmiste sammude täitmist peaksite hakkama rakendama kohaldatavuse lisas olevaid teabeturbe juhtelemente. Suurim väljakutse on siin loomulikult täiesti uue viisi kasutuselevõtt paljudes teie organisatsiooni protsessides. Inimesed kipuvad uutele poliitikatele ja protseduuridele vastu seisma, seega pöörake tähelepanu järgmisele punktile.
11. Rakendada töötajate koolitusprogramme
Kõik ülalkirjeldatud punktid on mõttetud, kui teie töötajad ei mõista projekti olulisust ega tegutse infoturbepoliitika kohaselt. Kui soovite, et teie töötajad järgiksid kõiki uusi reegleid, peate esmalt inimestele selgitama, miks need on vajalikud, ja seejärel korraldama ISMS-i alase koolituse, tuues välja kõik olulised poliitikad, millega töötajad peavad oma igapäevatöös arvestama. Personali puudulik väljaõpe on ISO 27001 projekti ebaõnnestumise tavaline põhjus.
12. Säilitada ISMS-i protsesse
Sel hetkel muutub ISO 27001 teie organisatsioonis igapäevaseks rutiiniks. Et kinnitada teabeturbe kontrollide rakendamist vastavalt standardile, peavad audiitorid esitama dokumendid – tõendid kontrollide tegeliku toimimise kohta. Kuid ennekõike peaksid dokumendid aitama teil jälgida, kas teie töötajad (ja tarnijad) täidavad oma ülesandeid kooskõlas kinnitatud reeglitega.
13. Jälgige oma ISMS-i
Mis teie ISMS-iga toimub? Kui palju juhtumeid teil on, mis tüüpi need on? Kas kõiki protseduure järgitakse õigesti? Nende küsimustega peaksite kontrollima, kas ettevõte täidab oma infoturbeeesmärke. Kui ei, siis peate välja töötama plaani olukorra parandamiseks.
14. Viia läbi ISMSi siseaudit
Siseauditi eesmärk on tuvastada ebakõlad ettevõtte tegelike protsesside ja kinnitatud infoturbepoliitika vahel. Enamasti on see kontrollimine, kui hästi teie töötajad reegleid järgivad. See on väga oluline punkt, sest kui te ei kontrolli oma töötajate tööd, võib organisatsioon saada kahju (tahtlik või tahtmatu). Kuid eesmärk pole siin süüdlaste leidmine ja poliitika mittejärgimise eest distsiplineerimine, vaid olukorra parandamine ja tulevaste probleemide ennetamine.
15. Korraldage juhtkonna ülevaatus
Juhtkond ei tohiks teie tulemüüri konfigureerida, kuid nad peaksid teadma, mis ISMS-is toimub: näiteks kas kõik täidavad oma kohustusi ja kas ISMS saavutab oma eesmärgid. Sellest lähtuvalt peab juhtkond langetama võtmeotsused ISMSi ja sisemiste äriprotsesside täiustamiseks.
16. Võtta kasutusele korrigeerivate ja ennetavate toimingute süsteem
Nagu iga standard, nõuab ISO 27001 pidevat täiustamist: infoturbe juhtimissüsteemi ebakõlade süstemaatilist parandamist ja ennetamist. Korrigeerivate ja ennetavate meetmete abil saab mittevastavust parandada ja vältida selle kordumist tulevikus.
Kokkuvõtteks tahan öelda, et tegelikult on sertifikaadi saamine palju keerulisem, kui erinevates allikates kirjeldatud. Seda kinnitab tõsiasi, et tänapäeval on Venemaal ainult on sertifitseeritud vastavuse kohta. Samas on tegemist ühe populaarseima standardiga välismaal, mis vastab äri kasvavatele nõudmistele infoturbe vallas. See rakendusnõudlus ei tulene mitte ainult ohuliikide kasvust ja keerukusest, vaid ka õigusaktide nõuetest, aga ka klientidest, kes peavad hoidma oma andmete täielikku konfidentsiaalsust.
Vaatamata sellele, et ISMS-i sertifitseerimine ei ole lihtne ülesanne, võib juba ainuüksi rahvusvahelise standardi ISO/IEC 27001 nõuete täitmine anda maailmaturul tõsise konkurentsieelise. Loodame, et meie artikkel on andnud esmase ülevaate ettevõtte sertifitseerimiseks ettevalmistamise peamistest etappidest.
Allikas: www.habr.com