Danas je pitanje informacijske sigurnosti (u daljnjem tekstu informacijske sigurnosti) tvrtki jedno od gorućih u svijetu. I to ne čudi, jer u mnogim zemljama postoje stroži zahtjevi za organizacije koje pohranjuju i obrađuju osobne podatke. Trenutačno rusko zakonodavstvo zahtijeva održavanje značajnog udjela protoka dokumenata u papirnatom obliku. Istodobno je primjetan trend digitalizacije: mnoge tvrtke već pohranjuju veliku količinu povjerljivih informacija kako u digitalnom obliku tako iu obliku papirnatih dokumenata.
Prema rezultatima Anti-Malware Analytic Center, 86% ispitanika navelo je da su tijekom godine barem jednom morali rješavati incidente nakon cyber napada ili kao rezultat kršenja utvrđenih propisa od strane korisnika. U tom smislu, davanje prioriteta informacijskoj sigurnosti u poslovanju postalo je nužnost.
Trenutno korporativna informacijska sigurnost nije samo skup tehničkih sredstava, poput antivirusa ili vatrozida, već je to integrirani pristup rukovanju imovinom tvrtke općenito, a posebno informacijama. Tvrtke tim problemima pristupaju drugačije. Danas bismo željeli govoriti o implementaciji međunarodne norme ISO 27001 kao rješenju takvog problema. Za tvrtke na ruskom tržištu, prisutnost takvog certifikata pojednostavljuje interakciju sa stranim klijentima i partnerima koji imaju visoke zahtjeve po ovom pitanju. ISO 27001 je u širokoj primjeni na Zapadu i pokriva zahtjeve u području informacijske sigurnosti, koje bi trebala pokriti korištena tehnička rješenja, a također pridonijeti razvoju poslovnih procesa. Tako ovaj standard može postati vaša konkurentska prednost i kontaktna točka sa stranim tvrtkama.
Ovom certifikacijom Sustava upravljanja informacijskom sigurnošću (u daljnjem tekstu ISMS) prikupljene su najbolje prakse za projektiranje ISMS-a i, što je važno, dala je mogućnost odabira kontrolnih alata za osiguranje funkcioniranja sustava, zahtjeve za tehnološku sigurnosnu podršku i čak za proces upravljanja kadrovima u poduzeću. Uostalom, potrebno je shvatiti da su tehnički kvarovi samo dio problema. U pitanjima informacijske sigurnosti ljudski čimbenik igra veliku ulogu i puno ga je teže eliminirati ili minimizirati.
Ako vaša tvrtka želi dobiti certifikat ISO 27001, možda ste već pokušali pronaći jednostavan način da to učinite. Moramo vas razočarati: ovdje nema lakih načina. Međutim, postoje određeni koraci koji će pomoći pripremiti organizaciju za međunarodne zahtjeve informacijske sigurnosti:
1. Dobijte podršku od uprave
Možda mislite da je to očito, ali u praksi se ova točka često zanemaruje. Štoviše, ovo je jedan od glavnih razloga zašto projekti implementacije ISO 27001 često propadaju. Bez razumijevanja značaja projekta implementacije standarda, menadžment neće osigurati ni dovoljne ljudske resurse ni dovoljan proračun za certifikaciju.
2. Razvijte plan pripreme za certifikaciju
Priprema za ISO 27001 certifikaciju složen je zadatak koji uključuje mnogo različitih vrsta posla, zahtijeva angažman velikog broja ljudi i može trajati više mjeseci (pa čak i godina). Stoga je vrlo važno izraditi detaljan plan projekta: dodijeliti resurse, vrijeme i angažman ljudi na strogo definirane zadatke i pratiti poštivanje rokova - inače možda nikada nećete završiti posao.
3. Definirajte opseg certifikacije
Ako imate veliku organizaciju s raznolikim aktivnostima, možda ima smisla certificirati samo dio poslovanja tvrtke prema ISO 27001, što će značajno smanjiti rizik vašeg projekta, kao i njegovo vrijeme i troškove.
4. Razviti politiku informacijske sigurnosti
Jedan od najvažnijih dokumenata je Politika informacijske sigurnosti tvrtke. Trebao bi odražavati ciljeve informacijske sigurnosti vaše tvrtke i osnovna načela upravljanja informacijskom sigurnošću, kojih se moraju pridržavati svi zaposlenici. Svrha ovog dokumenta je utvrditi što uprava poduzeća želi postići na području informacijske sigurnosti te kako će se to provoditi i kontrolirati.
5. Definirati metodologiju procjene rizika
Jedan od najtežih zadataka je definiranje pravila za procjenu i upravljanje rizicima. Važno je razumjeti koje rizike tvrtka može smatrati prihvatljivima, a koji zahtijevaju hitnu akciju za njihovo smanjenje. Bez ovih pravila ISMS neće raditi.
Istodobno, vrijedi zapamtiti primjerenost mjera poduzetih za smanjenje rizika. Ali ne treba se previše zanositi procesom optimizacije, jer oni također podrazumijevaju velike vremenske ili financijske troškove ili jednostavno mogu biti nemogući. Preporučujemo da koristite načelo "minimalne dostatnosti" kada razvijate mjere za smanjenje rizika.
6. Upravljati rizicima prema odobrenoj metodologiji
Sljedeća faza je dosljedna primjena metodologije upravljanja rizicima, odnosno njihova procjena i obrada. Ovaj se postupak mora provoditi redovito i s velikom pažnjom. Održavanjem registra rizika informacijske sigurnosti ažurnim, moći ćete učinkovito rasporediti resurse tvrtke i spriječiti ozbiljne incidente.
7. Planirajte tretman rizika
Rizici koji premašuju prihvatljivu razinu za vašu tvrtku moraju biti uključeni u plan obrade rizika. Treba evidentirati radnje usmjerene na smanjenje rizika, kao i osobe odgovorne za njih i rokove.
8. Ispunite Izjavu o primjenjivosti
Ovo je ključni dokument koji će proučavati stručnjaci iz certifikacijskog tijela tijekom revizije. Treba opisati koje se kontrole informacijske sigurnosti primjenjuju na aktivnosti vaše tvrtke.
9. Odredite kako će se mjeriti učinkovitost kontrola informacijske sigurnosti.
Svaka akcija mora imati rezultat koji vodi do ispunjenja postavljenih ciljeva. Stoga je važno jasno definirati kojim parametrima će se mjeriti postizanje ciljeva kako za cijeli sustav upravljanja informacijskom sigurnošću tako i za svaki odabrani kontrolni mehanizam iz Priloga primjenjivosti.
10. Provedite kontrole informacijske sigurnosti
I tek nakon dovršetka svih prethodnih koraka trebali biste početi implementirati primjenjive kontrole sigurnosti informacija iz Dodatka o primjenjivosti. Najveći izazov ovdje će, naravno, biti uvođenje potpuno novog načina obavljanja stvari u mnogim procesima vaše organizacije. Ljudi su skloni opirati se novim politikama i procedurama, stoga obratite pozornost na sljedeću točku.
11. Provesti programe osposobljavanja zaposlenika
Sve gore opisane točke bit će besmislene ako vaši zaposlenici ne shvaćaju važnost projekta i ne postupaju u skladu s politikama informacijske sigurnosti. Ako želite da vaše osoblje bude u skladu sa svim novim pravilima, prvo trebate objasniti ljudima zašto su ona potrebna, a zatim pružiti obuku o ISMS-u, ističući sve važne politike koje zaposlenici moraju uzeti u obzir u svakodnevnom radu. Nedostatak obuke osoblja čest je razlog neuspjeha projekta ISO 27001.
12. Održavajte ISMS procese
U ovom trenutku ISO 27001 postaje svakodnevna rutina u vašoj organizaciji. Za potvrdu provedbe kontrola informacijske sigurnosti u skladu sa standardom, revizori će morati osigurati zapise – dokaze o stvarnom djelovanju kontrola. Ali najviše od svega, evidencija bi vam trebala pomoći da pratite obavljaju li vaši zaposlenici (i dobavljači) svoje zadatke u skladu s odobrenim pravilima.
13. Pratite svoj ISMS
Što se događa s vašim ISMS-om? Koliko incidenata imate, koje su vrste? Slijede li se svi postupci ispravno? Pomoću ovih pitanja trebali biste provjeriti ispunjava li tvrtka svoje ciljeve informacijske sigurnosti. Ako ne, morate razviti plan za ispravljanje situacije.
14. Provedite interni ISMS audit
Svrha interne revizije je identificirati nedosljednosti između stvarnih procesa u tvrtki i odobrenih politika informacijske sigurnosti. Većinom se provjerava koliko dobro vaši zaposlenici slijede pravila. Ovo je vrlo važna točka, jer ako ne kontrolirate rad svog osoblja, organizacija može pretrpjeti štetu (namjernu ili nenamjernu). Ali ovdje nije cilj pronaći krivce i disciplinirati ih za nepoštivanje politika, već ispraviti situaciju i spriječiti buduće probleme.
15. Organizirajte pregled uprave
Uprava ne bi trebala konfigurirati vaš vatrozid, ali bi trebala znati što se događa u ISMS-u: na primjer, ispunjavaju li svi svoje odgovornosti i postiže li ISMS svoje ciljane rezultate. Na temelju toga menadžment mora donijeti ključne odluke za poboljšanje ISMS-a i internih poslovnih procesa.
16. Uvesti sustav korektivnih i preventivnih radnji
Kao i svaka norma, ISO 27001 zahtijeva "kontinuirano poboljšanje": sustavno ispravljanje i sprječavanje nedosljednosti u sustavu upravljanja informacijskom sigurnošću. Korektivnim i preventivnim radnjama, nesukladnost se može ispraviti i spriječiti da se ponovno pojavi u budućnosti.
Zaključno, želio bih reći da je dobivanje certifikata zapravo mnogo teže nego što je opisano u raznim izvorima. To potvrđuje i činjenica da u Rusiji danas postoje samo su certificirani za sukladnost. Ujedno, ovo je jedan od najpopularnijih standarda u inozemstvu, koji zadovoljava sve veće zahtjeve poslovanja u području informacijske sigurnosti. Ovakav zahtjev za implementacijom uzrokovan je ne samo porastom i složenošću vrsta prijetnji, već i zahtjevima zakonodavstva, kao i klijentima koji trebaju održavati potpunu povjerljivost svojih podataka.
Unatoč činjenici da ISMS certifikacija nije lak zadatak, sama činjenica ispunjavanja zahtjeva međunarodne norme ISO/IEC 27001 može osigurati ozbiljnu konkurentsku prednost na globalnom tržištu. Nadamo se da je naš članak pružio početno razumijevanje ključnih faza u pripremi tvrtke za certifikaciju.
Izvor: www.habr.com