Tsjintwurdich is de kwestje fan ynformaasjefeiligens (hjirnei oantsjutten as ynformaasjefeiligens) fan bedriuwen ien fan 'e meast driuwende yn 'e wrâld. En dit is net ferrassend, want yn in protte lannen is d'r in oanskerping fan easken foar organisaasjes dy't persoanlike gegevens opslaan en ferwurkje. Op it stuit fereasket Russyske wetjouwing it behâld fan in signifikant diel fan dokumintstream yn papierfoarm. Tagelyk is de trend nei digitalisearring te fernimmen: in protte bedriuwen bewarje al in grutte hoemannichte fertroulike ynformaasje sawol yn digitaal formaat as yn 'e foarm fan papieren dokuminten.
Neffens de resultaten Anti-Malware Analytical Center, 86% fan 'e respondinten merkten op dat se yn' t jier op syn minst ien kear ynsidinten moatte oplosse nei cyberoanfallen of as gefolch fan brûker oertredings fan fêststelde regeljouwing. Yn dit ferbân is it prioritearjen fan ynformaasjefeiligens yn bedriuw in need wurden wurden.
Op it stuit is bedriuwsynformaasjefeiligens net allinich in set fan technyske middels, lykas anty-firusen of firewalls, it is al in yntegreare oanpak foar it behanneljen fan bedriuwsfermogen yn it algemien en ynformaasje yn it bysûnder. Bedriuwen benaderje dizze problemen oars. Hjoed wolle wy prate oer de ymplemintaasje fan 'e ynternasjonale standert ISO 27001 as in oplossing foar sa'n probleem. Foar bedriuwen op 'e Russyske merk, de oanwêzigens fan sa'n sertifikaat simplifies ynteraksje mei bûtenlânske kliïnten en partners dy't hawwe hege easken yn dizze saak. ISO 27001 wurdt in protte brûkt yn it Westen en omfettet easken op it mêd fan ynformaasjefeiligens, dy't moatte wurde behannele troch de brûkte technyske oplossingen, en ek bydrage oan 'e ûntwikkeling fan saaklike prosessen. Sa kin dizze standert jo konkurrinsjefoardiel wurde en in kontaktpunt mei bûtenlânske bedriuwen.
Dizze sertifisearring fan it Information Security Management System (hjirnei oantsjutten as ISMS) sammele de bêste praktiken foar it ûntwerpen fan in ISMS en, wichtiger, foarsjoen fan de mooglikheid om te kiezen kontrôle ark om te garandearjen it funksjonearjen fan it systeem, easken foar technologyske feiligens stipe en sels foar it personielbehearproses yn it bedriuw. Ommers, is it nedich om te begripen dat technyske flaters binne mar in part fan it probleem. Yn saken fan ynformaasjefeiligens spilet de minsklike faktor in grutte rol, dy't folle dreger is om te eliminearjen of te minimalisearjen.
As jo bedriuw op syk is nei ISO 27001-sertifisearre te wurden, dan hawwe jo miskien al besocht de maklike manier te finen om it te dwaan. Wy moatte jo teloarstelle: hjir binne gjin maklike manieren. D'r binne lykwols bepaalde stappen dy't sille helpe om in organisaasje ta te rieden op ynternasjonale easken foar ynformaasjefeiligens:
1. Krij stipe fan behear
Jo meie tinke dat dit fanselssprekkend is, mar yn 'e praktyk wurdt dit punt faak oersjoen. Boppedat is dit ien fan 'e wichtichste redenen wêrom't ISO 27001 ymplemintaasjeprojekten faak mislearje. Sûnder de betsjutting fan it standert ymplemintaasjeprojekt te begripen, sil it behear net genôch minsklike boarnen of genôch budzjet foar sertifikaasje leverje.
2. Untwikkelje in sertifisearringsplan
Tarieding op ISO 27001-sertifikaasje is in komplekse taak dy't in protte ferskillende soarten wurk omfettet, de belutsenens fan in grut oantal minsken fereasket en in protte moannen (of sels jierren) kin duorje. Dêrom is it heul wichtich om in detaillearre projektplan te meitsjen: allocearje middels, tiid en belutsenens fan minsken oan strikt definieare taken en kontrolearje neilibjen fan deadlines - oars kinne jo it wurk noait ôfmeitsje.
3. Definearje de sertifisearring perimeter
As jo in grutte organisaasje hawwe mei ferskaat oan aktiviteiten, kin it sin wêze om mar in diel fan it bedriuw fan it bedriuw te sertifisearje neffens ISO 27001, wat it risiko fan jo projekt, lykas de tiid en kosten, signifikant sil ferminderje.
4. Untwikkelje in ynformaasjefeiligensbelied
Ien fan 'e wichtichste dokuminten is it ynformaasjefeiligensbelied fan it bedriuw. It moat de doelen fan jo bedriuw foar ynformaasjefeiligens en de basisprinsipes fan behear fan ynformaasjefeiligens reflektearje, dy't moatte wurde folge troch alle meiwurkers. It doel fan dit dokumint is om te bepalen wat de direksje fan it bedriuw wol berikke op it mêd fan ynformaasjefeiligens, en ek hoe't dat útfierd en kontrolearre wurdt.
5. Define in risiko beoardieling metodyk
Ien fan 'e dreechste taken is it definiearjen fan regels foar risikobeoardieling en -behear. It is wichtich om te begripen hokker risiko's in bedriuw akseptabel kin beskôgje en hokker direkte aksje nedich is om se te ferminderjen. Sûnder dizze regels sil de ISMS net wurkje.
Tagelyk is it de muoite wurdich om te ûnthâlden oer de adekwaatheid fan 'e maatregels dy't nommen binne om risiko's te ferminderjen. Mar jo moatte net te fier mei it optimalisearjen proses, om't se ek meibringt grutte tiid of finansjele kosten of miskien gewoan ûnmooglik. Wy riede oan dat jo it prinsipe fan "minimum genôch" brûke by it ûntwikkeljen fan risikoreduksjemaatregels.
6. Beheare risiko's neffens in goedkard metodyk
De folgjende poadium is de konsekwinte tapassing fan metodyk foar risikobehear, dat is har beoardieling en ferwurking. Dit proses moat wurde útfierd op in reguliere basis mei grutte soarch. Troch it register foar ynformaasjefeiligensrisiko's aktueel te hâlden, sille jo bedriuwsboarnen effektyf kinne allocearje en serieuze ynsidinten foarkomme.
7. Plan risiko behanneling
Risiko's dy't in akseptabel nivo foar jo bedriuw oerskriuwe moatte wurde opnommen yn it risikobehannelingsplan. It moat aksjes opnimme dy't rjochte binne op it ferminderjen fan risiko's, lykas de persoanen dy't dêrfoar ferantwurdlik binne en de deadlines.
8. Folje de ferklearring fan tapassing
Dit is in wichtich dokumint dat sil wurde studearre troch spesjalisten fan it sertifisearingsorgaan tidens de kontrôle. It moat beskriuwe hokker kontrôles foar ynformaasjefeiligens jilde foar de aktiviteiten fan jo bedriuw.
9. Bepale hoe't de effektiviteit fan kontrôles foar ynformaasjefeiligens wurdt mjitten.
Elke aksje moat in resultaat hawwe dat liedt ta it ferfoljen fan fêststelde doelen. Dêrom is it wichtich om dúdlik te definiearjen troch hokker parameters it realisearjen fan doelen sil wurde mjitten sawol foar it heule behearsysteem foar ynformaasjefeiligens as foar elke selektearre kontrôlemeganisme út 'e Applicability Annex.
10. Implementearje ynformaasje feiligens kontrôles
En pas nei it foltôgjen fan alle foargeande stappen moatte jo begjinne mei it ymplementearjen fan de tapassingskontrôles foar ynformaasjefeiligens út 'e Applicability Appendix. De grutste útdaging hjir sil fansels in folslein nije manier wêze om dingen te dwaan yn in protte fan jo organisaasjeprosessen. Minsken hawwe de neiging om nije belied en prosedueres te wjerstean, dus omtinken foar it folgjende punt.
11. Implementearje trainingsprogramma's foar meiwurkers
Alle hjirboppe beskreaune punten sille sinleas wêze as jo meiwurkers it belang fan it projekt net begripe en net hannelje yn oerienstimming mei ynformaasjefeiligensbelied. As jo wolle dat jo personiel oan alle nije regels foldocht, moatte jo earst oan minsken útlizze wêrom't se nedich binne, en dan training jaan oer de ISMS, en markearje alle wichtige belied dy't meiwurkers rekken hâlde moatte yn har deistich wurk. Gebrek oan training fan personiel is in mienskiplike reden foar ISO 27001 projektmislearring.
12. Underhâld ISMS prosessen
Op dit punt wurdt ISO 27001 in deistige routine yn jo organisaasje. Om de ymplemintaasje fan kontrôles foar ynformaasjefeiligens yn oerienstimming mei de standert te befestigjen, sille auditors records moatte leverje - bewiis fan 'e werklike wurking fan' e kontrôles. Mar it measte fan alles, records moatte jo helpe om te folgjen oft jo meiwurkers (en leveransiers) har taken útfiere yn oerienstimming mei goedkarde regels.
13. Monitor jo ISMS
Wat bart der mei jo ISMS? Hoefolle ynsidinten hawwe jo, hokker type binne se? Binne alle prosedueres goed folge? Mei dizze fragen moatte jo kontrolearje oft it bedriuw har doelen foar ynformaasjefeiligens foldocht. As net, moatte jo in plan ûntwikkelje om de situaasje te korrigearjen.
14. Fiere in ynterne ISMS audit
It doel fan 'e ynterne kontrôle is om ynkonsistinsjes te identifisearjen tusken werklike prosessen yn it bedriuw en goedkard belied foar ynformaasjefeiligens. Foar it meastepart kontrolearret it om te sjen hoe goed jo meiwurkers de regels folgje. Dit is in tige wichtich punt, want as jo it wurk fan jo personiel net behearskje, kin de organisaasje skea (opsetlik of ûnbedoeld) lijen. Mar it doel hjir is net om de skuldigen te finen en te dissiplinearjen foar net-neilibjen fan belied, mar om de situaasje te korrigearjen en takomstige problemen te foarkommen.
15. Organisearje in behear review
Behear moat jo firewall net konfigurearje, mar se moatte witte wat der bart yn 'e ISMS: bygelyks oft elkenien har ferantwurdlikheden foldocht en oft de ISMS syn doelresultaten berikt. Op grûn dêrfan moat management wichtige besluten nimme om de ISMS en ynterne saaklike prosessen te ferbetterjen.
16. In systeem fan korrektive en previntive aksjes ynfiere
Lykas elke standert fereasket ISO 27001 "trochgeande ferbettering": de systematyske korreksje en previnsje fan inkonsistinsjes yn it behearsysteem foar ynformaasjefeiligens. Troch korrigearjende en previntive aksjes kin de nonkonformiteit korrizjearre wurde en foarkommen wurde dat se yn 'e takomst weromkomme.
As konklúzje wol ik sizze dat it feitlik sertifisearje is folle dreger as beskreaun yn ferskate boarnen. Dit wurdt befêstige troch it feit dat hjoed yn Ruslân allinich binne binne sertifisearre foar neilibjen. Tagelyk is dit ien fan 'e populêrste noarmen yn it bûtenlân, en foldocht oan' e groeiende easken fan bedriuwen op it mêd fan ynformaasjefeiligens. Dizze fraach nei ymplemintaasje komt net allinich troch de groei en kompleksiteit fan 'e soarten bedrigingen, mar ek oan' e easken fan wetjouwing, lykas kliïnten dy't folsleine fertroulikens fan har gegevens moatte behâlde.
Nettsjinsteande it feit dat ISMS-sertifikaasje gjin maklike taak is, kin it feit fan it foldwaan oan 'e easken fan' e ynternasjonale standert ISO / IEC 27001 in serieus konkurrinsjefoardiel leverje yn 'e wrâldmerk. Wy hoopje dat ús artikel in earste begryp hat levere fan 'e wichtichste stadia by it tarieden fan in bedriuw op sertifikaasje.
Boarne: www.habr.com