आज, कंपनियों की सूचना सुरक्षा (इसके बाद - आईएस) का मुद्दा दुनिया में सबसे प्रासंगिक में से एक है। और यह आश्चर्य की बात नहीं है, क्योंकि कई देशों में व्यक्तिगत डेटा को संग्रहीत और संसाधित करने वाले संगठनों के लिए आवश्यकताओं को कड़ा कर दिया गया है। वर्तमान में, रूसी कानून के लिए आवश्यक है कि दस्तावेज़ प्रवाह का एक महत्वपूर्ण हिस्सा कागज़ के रूप में रखा जाए। इसी समय, डिजिटलीकरण की ओर रुझान ध्यान देने योग्य है: कई कंपनियां पहले से ही डिजिटल प्रारूप और कागजी दस्तावेजों के रूप में बड़ी मात्रा में गोपनीय जानकारी संग्रहीत करती हैं।
परिणामों के आधार पर एंटी-मैलवेयर एनालिटिकल सेंटर के 86% उत्तरदाताओं ने कहा कि वर्ष के दौरान उन्हें साइबर हमलों के बाद या उपयोगकर्ताओं द्वारा स्थापित नियमों के उल्लंघन के परिणामस्वरूप कम से कम एक बार घटनाओं को हल करना पड़ा। इस संबंध में, व्यवसाय में सूचना सुरक्षा पर प्राथमिकता से ध्यान देना एक आवश्यकता बन गई है।
वर्तमान में, कॉर्पोरेट सूचना सुरक्षा न केवल एंटीवायरस या फ़ायरवॉल जैसे तकनीकी साधनों का एक जटिल है, यह पहले से ही सामान्य रूप से कंपनी की संपत्ति और विशेष रूप से जानकारी को संभालने के लिए एक एकीकृत दृष्टिकोण है। इन समस्याओं को हल करने के लिए कंपनियों के पास अलग-अलग दृष्टिकोण हैं। आज हम ऐसी ही समस्या के समाधान के रूप में अंतर्राष्ट्रीय मानक ISO 27001 के कार्यान्वयन के बारे में बात करना चाहेंगे। रूसी बाजार में कंपनियों के लिए, इस तरह के प्रमाणपत्र की उपस्थिति उन विदेशी ग्राहकों और भागीदारों के साथ बातचीत को सरल बनाती है जिनकी इस मामले में उच्च आवश्यकताएं हैं। ISO 27001 पश्चिम में व्यापक रूप से उपयोग किया जाता है और इसमें सूचना सुरक्षा आवश्यकताओं को शामिल किया गया है जिन्हें उपयोग किए गए तकनीकी समाधानों द्वारा कवर किया जाना चाहिए, साथ ही व्यावसायिक प्रक्रियाओं के निर्माण में भी मदद करनी चाहिए। इस प्रकार, यह मानक आपका प्रतिस्पर्धात्मक लाभ और विदेशी कंपनियों के साथ संपर्क का एक बिंदु बन सकता है।
सूचना सुरक्षा प्रबंधन प्रणाली (इसके बाद - आईएसएमएस) के इस प्रमाणीकरण ने आईएसएमएस को डिजाइन करने के लिए सर्वोत्तम प्रथाओं को एकत्र किया है और, महत्वपूर्ण रूप से, सिस्टम के कामकाज, तकनीकी सुरक्षा की आवश्यकताओं और यहां तक कि सुनिश्चित करने के लिए नियंत्रण चुनने की संभावना प्रदान की है। कंपनी में कार्मिक प्रबंधन प्रक्रिया। आख़िरकार, यह समझना आवश्यक है कि तकनीकी विफलताएँ समस्या का केवल एक हिस्सा हैं। सूचना सुरक्षा के मामलों में, मानवीय कारक एक बड़ी भूमिका निभाता है, जिसे बाहर करना या कम करना कहीं अधिक कठिन है।
यदि आपकी कंपनी ISO 27001 प्रमाणित होने वाली है, तो हो सकता है कि आपने पहले ही इसका आसान तरीका ढूंढने का प्रयास कर लिया हो। हमें आपको निराश करना होगा: यहां कोई आसान रास्ते नहीं हैं। हालाँकि, कुछ ऐसे कदम हैं जो किसी संगठन को अंतर्राष्ट्रीय सूचना सुरक्षा आवश्यकताओं के लिए तैयार करने में मदद करेंगे:
1. प्रबंधन से समर्थन प्राप्त करें
आप सोच सकते हैं कि यह स्पष्ट है, लेकिन व्यवहार में इस बिंदु को अक्सर अनदेखा कर दिया जाता है। इसके अलावा, यह एक मुख्य कारण है कि ISO 27001 को लागू करने वाली परियोजनाएँ अक्सर विफल हो जाती हैं। मानक को लागू करने के लिए परियोजना के महत्व को समझे बिना, प्रबंधन प्रमाणन के लिए पर्याप्त मानव संसाधन या पर्याप्त बजट प्रदान नहीं करेगा।
2. एक प्रमाणन तैयारी योजना विकसित करें
ISO 27001 प्रमाणन के लिए तैयारी करना एक जटिल कार्य है जिसमें कई अलग-अलग प्रकार के काम शामिल हैं, इसमें बड़ी संख्या में लोगों की भागीदारी की आवश्यकता होती है और इसमें कई महीने (या साल भी) लग सकते हैं। इसलिए, एक विस्तृत परियोजना योजना तैयार करना बहुत महत्वपूर्ण है: कड़ाई से परिभाषित कार्यों के लिए संसाधन, समय और लोगों की भागीदारी आवंटित करें और समय सीमा के अनुपालन की निगरानी करें - अन्यथा आप काम कभी पूरा नहीं कर पाएंगे।
3. प्रमाणन परिधि निर्धारित करें
यदि आपके पास विविध गतिविधियों वाला एक बड़ा संगठन है, तो संभवतः कंपनी के व्यवसाय के केवल एक हिस्से को ISO 27001 के लिए प्रमाणित करना समझ में आता है, जो आपके प्रोजेक्ट के जोखिमों के साथ-साथ इसके समय और लागत को भी काफी कम कर देगा।
4. एक सूचना सुरक्षा नीति विकसित करें
सबसे महत्वपूर्ण दस्तावेजों में से एक कंपनी की सूचना सुरक्षा नीति है। इसे सूचना सुरक्षा के क्षेत्र में आपकी कंपनी के लक्ष्यों और सूचना सुरक्षा प्रबंधन के बुनियादी सिद्धांतों को प्रतिबिंबित करना चाहिए, जिसका सभी कर्मचारियों को पालन करना चाहिए। इस दस्तावेज़ का उद्देश्य यह परिभाषित करना है कि कंपनी का प्रबंधन सूचना सुरक्षा के क्षेत्र में क्या हासिल करना चाहता है, साथ ही इसे कैसे लागू और नियंत्रित किया जाएगा।
5. जोखिम मूल्यांकन पद्धति को परिभाषित करें
सबसे कठिन कार्यों में से एक जोखिमों के आकलन और प्रबंधन के लिए नियमों को परिभाषित करना है। यह समझना महत्वपूर्ण है कि कंपनी किन जोखिमों को स्वीकार्य मान सकती है और जिन्हें कम करने के लिए तत्काल कार्रवाई की आवश्यकता है। इन नियमों के बिना आईएसएमएस काम नहीं करेगा।
साथ ही, जोखिमों को कम करने के लिए किए गए विकसित उपायों की पर्याप्तता को याद रखना उचित है। लेकिन आपको अनुकूलन प्रक्रिया में बहुत अधिक शामिल नहीं होना चाहिए, क्योंकि इसमें अन्य बातों के अलावा, बड़ा समय या वित्तीय लागत शामिल होती है, या यह असंभव भी हो सकता है। हम अनुशंसा करते हैं कि जोखिम शमन उपाय विकसित करते समय आप "न्यूनतम पर्याप्तता" के सिद्धांत का उपयोग करें।
6. अनुमोदित पद्धति के अनुसार जोखिमों का प्रबंधन करें
अगला चरण जोखिम प्रबंधन पद्धति का लगातार अनुप्रयोग है, अर्थात उनका मूल्यांकन और प्रसंस्करण। इस प्रक्रिया को बहुत सावधानी से नियमित आधार पर किया जाना चाहिए। सूचना सुरक्षा जोखिम रजिस्टर को अद्यतन रखकर, आप कंपनी के संसाधनों को प्रभावी ढंग से आवंटित कर सकते हैं और गंभीर घटनाओं को रोक सकते हैं।
7. अपने जोखिम उपचार की योजना बनाएं
जो जोखिम आपकी कंपनी के लिए स्वीकार्य स्तर से अधिक हैं, उन्हें जोखिम उपचार योजना में शामिल किया जाना चाहिए। इसमें जोखिमों को कम करने के उद्देश्य से की गई कार्रवाइयों, साथ ही उनके लिए जिम्मेदार व्यक्तियों और समय को रिकॉर्ड करना चाहिए।
8. प्रयोज्यता का विवरण पूरा करें
यह मुख्य दस्तावेज़ है जिसकी जांच ऑडिट के दौरान प्रमाणन प्राधिकारी द्वारा की जाएगी। इसमें यह वर्णन होना चाहिए कि आपकी कंपनी के संचालन पर कौन से सूचना सुरक्षा नियंत्रण लागू होते हैं।
9. निर्धारित करें कि सूचना सुरक्षा नियंत्रणों की प्रभावशीलता को कैसे मापा जाएगा
किसी भी कार्य का एक परिणाम अवश्य होना चाहिए जो स्थापित लक्ष्यों की पूर्ति की ओर ले जाए। इसलिए, उन मापदंडों को स्पष्ट रूप से परिभाषित करना महत्वपूर्ण है जिनके द्वारा उद्देश्यों की उपलब्धि को संपूर्ण सूचना सुरक्षा प्रबंधन प्रणाली और प्रयोज्यता अनुबंध से प्रत्येक चयनित नियंत्रण तंत्र दोनों के लिए मापा जाएगा।
10. सूचना सुरक्षा नियंत्रण लागू करें
और पिछले सभी चरणों को लागू करने के बाद ही, आपको प्रयोज्यता परिशिष्ट से लागू सूचना सुरक्षा नियंत्रणों को लागू करना शुरू करना होगा। निस्संदेह, यहां सबसे बड़ी चुनौती आपके संगठन की कई प्रक्रियाओं में काम करने के एक बिल्कुल नए तरीके को लागू करना होगा। लोग आमतौर पर नई नीतियों और प्रक्रियाओं का विरोध करते हैं, इसलिए अगले बिंदु पर ध्यान दें।
11. कर्मचारी प्रशिक्षण कार्यक्रम लागू करें
ऊपर वर्णित सभी बिंदु निरर्थक होंगे यदि आपके कर्मचारी परियोजना के महत्व को नहीं समझते हैं और सूचना सुरक्षा नीतियों के अनुसार कार्य नहीं करते हैं। यदि आप चाहते हैं कि आपके कर्मचारी सभी नए नियमों का पालन करें, तो आपको पहले लोगों को यह समझाना होगा कि उनकी आवश्यकता क्यों है, और फिर आईएसएमएस पर प्रशिक्षण प्रदान करें, जिसमें उन सभी महत्वपूर्ण नीतियों पर प्रकाश डाला जाए जिन पर कर्मचारियों को अपने दैनिक कार्य में विचार करना चाहिए। ISO 27001 परियोजना के विफल होने का एक सामान्य कारण स्टाफ प्रशिक्षण की कमी है।
12. आईएसएमएस प्रक्रियाओं को बनाए रखें
इस स्तर पर, ISO 27001 आपके संगठन में एक दैनिक दिनचर्या बन जाता है। मानक के अनुसार सूचना सुरक्षा नियंत्रणों के कार्यान्वयन की पुष्टि करने के लिए, लेखा परीक्षकों को नियंत्रण के वास्तविक संचालन के रिकॉर्ड - साक्ष्य प्रदान करने की आवश्यकता होगी। लेकिन सबसे पहले और सबसे महत्वपूर्ण बात यह है कि रिकॉर्ड से आपको यह ट्रैक करने में मदद मिलेगी कि आपके कर्मचारी (और आपूर्तिकर्ता) अनुमोदित नियमों के अनुसार अपना कार्य कर रहे हैं या नहीं।
13. आईएसएमएस की निगरानी करें
आपके ISMS का क्या होता है? आपके पास कितनी घटनाएँ हैं, वे किस प्रकार की हैं? क्या सभी प्रक्रियाओं का ठीक से पालन किया गया है? इन प्रश्नों के साथ, आपको यह जांचना चाहिए कि क्या कंपनी अपने सूचना सुरक्षा लक्ष्यों को प्राप्त कर रही है। यदि नहीं, तो आपको स्थिति को ठीक करने के लिए एक योजना विकसित करनी होगी।
14. आईएसएमएस का आंतरिक ऑडिट करें
आंतरिक ऑडिट का उद्देश्य कंपनी में वास्तविक प्रक्रियाओं और अनुमोदित आईएस नीतियों के बीच विसंगति को प्रकट करना है। अधिकांश भाग के लिए, यह इस बात का परीक्षण है कि आपके कर्मचारी नियमों का अनुपालन कैसे करते हैं। यह एक बहुत ही महत्वपूर्ण बिंदु है, क्योंकि यदि आप अपने कर्मचारियों के काम पर नियंत्रण नहीं रखते हैं, तो संगठन को नुकसान हो सकता है (जानबूझकर या अनजाने में)। लेकिन यहां मुद्दा अपराधियों को ढूंढना और नीतियों का अनुपालन न करने के लिए उन पर अनुशासनात्मक प्रतिबंध लगाना नहीं है, बल्कि स्थिति को ठीक करना और भविष्य की समस्याओं को रोकना है।
15. प्रबंधन समीक्षा व्यवस्थित करें
प्रबंधन को आपका फ़ायरवॉल स्थापित करने की ज़रूरत नहीं है, लेकिन उन्हें यह जानने की ज़रूरत है कि आईएसएमएस में क्या चल रहा है, उदाहरण के लिए, क्या वे अपनी सभी ज़िम्मेदारियाँ पूरी कर रहे हैं और क्या आईएसएमएस अपने इच्छित परिणाम प्राप्त कर रहा है। इसके आधार पर, प्रबंधन को आईएसएमएस और आंतरिक व्यापार प्रक्रियाओं में सुधार के लिए महत्वपूर्ण निर्णय लेने चाहिए।
16. सुधारात्मक और निवारक कार्रवाइयों की एक प्रणाली का परिचय दें
किसी भी मानक की तरह, ISO 27001 को "निरंतर सुधार" की आवश्यकता है: सूचना सुरक्षा प्रबंधन प्रणाली में व्यवस्थित सुधार और विसंगतियों की रोकथाम। सुधारात्मक और निवारक कार्रवाइयां गैर-अनुरूपता को ठीक कर सकती हैं और भविष्य में इसकी पुनरावृत्ति को रोक सकती हैं।
अंत में, मैं यह कहना चाहूंगा कि विभिन्न स्रोतों में वर्णित की तुलना में प्रमाणित होना वास्तव में कहीं अधिक कठिन है। इसकी पुष्टि इस तथ्य से होती है कि आज केवल रूस में अनुपालन हेतु प्रमाणित किया गया है। वहीं, विदेशों में यह सबसे लोकप्रिय मानकों में से एक है जो सूचना सुरक्षा के क्षेत्र में व्यवसाय की बढ़ती जरूरतों को पूरा करता है। कार्यान्वयन की ऐसी मांग न केवल खतरों के प्रकारों की वृद्धि और जटिलता के कारण है, बल्कि कानून की आवश्यकताओं के साथ-साथ उन ग्राहकों के लिए भी है जिन्हें अपने डेटा की पूर्ण गोपनीयता बनाए रखने की आवश्यकता है।
इस तथ्य के बावजूद कि आईएसएमएस प्रमाणीकरण एक आसान काम नहीं है, अंतरराष्ट्रीय मानक आईएसओ/आईईसी 27001 की आवश्यकताओं को पूरा करने का मात्र तथ्य वैश्विक बाजार में एक गंभीर प्रतिस्पर्धी लाभ दे सकता है। हमें उम्मीद है कि हमारे लेख ने किसी कंपनी को प्रमाणन के लिए तैयार करने के प्रमुख चरणों की प्राथमिक समझ दी है।
स्रोत: www.habr.com