Ընկերության համար ռազմավարական նշանակություն ունեցող որևէ որոշում կայացնելիս աշխատակիցներն անցնում են հիմնական պաշտպանական մեխանիզմով, որը հայտնի է որպես փոփոխությանը արձագանքելու 5 փուլ (է. Կյուբլեր-Ռոսս): Մի նշանավոր հոգեբան մի անգամ նկարագրել է հուզական ռեակցիաները՝ ընդգծելով հուզական արձագանքի 5 հիմնական փուլերը. ժխտումը, զայրույթ, գործարք, դեպրեսիա եւ վերջապես Որդեգրում. Մենք պատրաստել ենք ISO 27001 սերտիֆիկացմանը նվիրված հոդվածների շարք, որտեղ կանդրադառնանք փուլերից յուրաքանչյուրին: Այսօր մենք կխոսենք դրանցից առաջինի` ժխտման մասին:
ISO 27001 «ցուցադրման համար» վկայական ստանալը շատ կասկածելի հաճույք է, քանի որ այն պահանջում է երկար և թանկ նախապատրաստություն: Ընդ որում, ինչպես ցույց է տալիս , Ռուսաստանի Դաշնությունում այս ստանդարտը չափազանց տարածված չէ. մինչ օրս միայն 70 ընկերություն է հավաստագրվել համապատասխանության համար: Միևնույն ժամանակ, սա արտասահմանում ամենատարածված ստանդարտներից մեկն է՝ բավարարելով տեղեկատվական անվտանգության ոլորտում բիզնեսի աճող պահանջները։
Մեր ընկերությունը տրամադրում է հաշվապահական հաշվառման գործառույթների աութսորսինգի ծառայությունների ամբողջական փաթեթ՝ հաշվապահական և հարկային հաշվառում, աշխատավարձերի և անձնակազմի կառավարում: Մենք զբաղեցնում ենք շուկայի առաջատար դիրքերից մեկը, մասնավորապես այն պատճառով, որ Ռուսաստանում մասնաճյուղեր ունեցող օտարերկրյա ընկերությունները մեզ վստահում են իրենց գաղտնի տեղեկությունները։ Սա վերաբերում է ոչ միայն մեր հաճախորդների ֆինանսական գործընթացներին, այլև այն անձնական տվյալներին, որոնց հետ մենք աշխատում ենք ամենօրյա ռեժիմով: Այս առումով տեղեկատվական անվտանգության խնդիրը մեր առաջնահերթություններից է։
Հաճախ ռուսական ստորաբաժանումների բոլոր բիզնես գործընթացները վերահսկվում և հայտարարվում են արտասահմանյան ընկերությունների գլխամասային գրասենյակների կողմից, և, հետևաբար, դրանք պետք է համապատասխանեն ներքին խմբի ստանդարտներին: Վերջերս մեր որոշ հիմնական հաճախորդներ սկսել են վերանայել իրենց անվտանգության քաղաքականությունը՝ դրանք խստացնելու ուղղությամբ։ Իհարկե, դա պայմանավորված է տեղեկատվական անվտանգության խախտումների հետ կապված կիբեր հարձակումների և կորուստների աճող համաշխարհային միտումներով: Եթե անհրաժեշտ է ձեռնարկել ընկերության տեղեկատվական անվտանգության բարձրացմանն ուղղված պաշտպանության միջոցներ, քաղաքականություններ և ընթացակարգեր, կարող եք անել առանց ISO-ի: /IEC 27001 սերտիֆիկացում, դրանով իսկ խնայելով շատ գումար, ժամանակ և նյարդեր:
Այսօր ընկերությունում առկա տեղեկատվական անվտանգության պահանջները սկսել են ի հայտ գալ օտարերկրյա պատվիրատուների մրցույթներում։ Ոմանք, իրենց ստուգումը պարզեցնելու և մոտեցումը միավորելու համար սահմանում են գնահատման պարտադիր չափանիշ՝ ISO/IEC 27001 հավաստագրման առկայություն։
Ահա թե ինչ ենք մենք տեսել. այս ստանդարտին համապատասխան հավաստագրված մեր հիմնական միջազգային հաճախորդներից մեկը, ըստ երևույթին, զգալիորեն ուժեղացրել է տեղեկատվական անվտանգության իր գլոբալ թիմը: Ինչպե՞ս մենք իմացանք այս մասին: Նրանք որոշեցին ստուգել մեր տեղեկատվական անվտանգության կառավարման համակարգը, քանի որ մենք նրանց տրամադրում ենք հաշվապահական ծառայություններ և անձնակազմի կառավարում, և, համապատասխանաբար, մեր տեղեկատվական համակարգերի անվտանգությունը նրանց համար չափազանց կարևոր է: Նախորդ աուդիտը տեղի է ունեցել 3 տարի առաջ, այն ժամանակ ամեն ինչ անցել է բավականին ցավոտ։
Այս անգամ հնդկացիների ընկերական թիմը հարձակվեց մեզ վրա՝ հմտորեն բացահայտելով մի քանի տասնյակ թերություններ մեր անվտանգության կառավարման համակարգում: Աուդիտի գործընթացը նման էր Սամսարայի անիվին. թվում էր, թե նրանք սկզբունքորեն նպատակ չունեն հասնելու որևէ վերջնական կետի` որպես աուդիտի մաս: Դա հարցերի, մեկնաբանությունների, մեր մեկնաբանությունների և դրանց իրականության ապացույցների, կոնֆերանսի զանգերի և երկար փիլիսոփայական զրույցների անվերջ շարան էր՝ հաճախորդի ՏՏ անվտանգության թիմի շեշտը ճանաչելու փորձերով: Ի դեպ, աուդիտը տարբեր աստիճանի ինտենսիվությամբ շարունակվում է մինչ օրս. ժամանակի ընթացքում մենք հաշտվել ենք սրա հետ։ Այսպիսով, հավաստագրման անհրաժեշտությունն ինքնին առաջացել է։
Միգուցե մենք կարողանանք բավարարվել ISO 9001-ով:
Յուրաքանչյուր ոք, ով քիչ թե շատ տիրապետում է ISO ստանդարտներից որևէ մեկի հավաստագրման հարցում, հասկանում է, որ դրանցից յուրաքանչյուրի հիմքը ISO 9001 «Որակի կառավարման համակարգ» վկայականն է: Սա, թերեւս, ամենահայտնի վկայականն է ներկայումս ISO ստանդարտների ողջ շարքում: Մենք դա չունեինք, և մենք որոշեցինք չստանալ այն: Դրա համար մի քանի պատճառ կար.
- այս վկայագիրն ունեցող ընկերության կասկածելի տնտեսական արդյունավետությունը.
- մեր ներքին գործընթացները, մեծ մասամբ, արդեն մոտ էին այս ստանդարտին.
- Այս վկայականը ստանալու համար լրացուցիչ ժամանակ և գումար կպահանջվի:
Համապատասխանաբար, մենք որոշեցինք անմիջապես կիրառել ISO 27001-ը՝ չսկսելով «թեթևացուցիչ» 9001-ից:
Կամ գուցե դա դեռ անհրաժեշտ չէ:
Նայելով առաջ՝ մենք բազմիցս ենք վերադարձել այն հարցին, թե արդյոք նպատակահարմար է այն ձեռք բերել։ Սկսեցինք հարցը բոլոր կողմերից ուսումնասիրել, քանի որ բացարձակ փորձաքննություն չունեինք։ Եվ ահա այն սխալ պատկերացումները, որոնք ստիպեցին մեզ եւս մեկ անգամ մտածել այս հարցի շուրջ։
Սխալ կարծիք թիվ 1.
Մենք հույս ունեինք, որ ստանդարտը մեզ կտրամադրի մանրամասն ստուգաթերթ, քաղաքականությունների ցանկ և այլ կանոնադրական փաստաթղթեր: Իրականում պարզվեց, որ ISO/IEC 27001-ը իրենից տեղեկատվական անվտանգության կառավարման համակարգի և կառուցվող գործընթացի պահանջների ամբողջություն է։ Դրանց հիման վրա անհրաժեշտ էր ինքնուրույն որոշել, թե ինչ գրել/իրականացնել մեր ընկերությունում՝ ստանդարտի պահանջներին համապատասխանելու համար։
Սխալ կարծիք թիվ 2.
Մենք անկեղծորեն հավատում էինք, որ մեզ համար բավական կլինի մեկ փաստաթուղթ ուսումնասիրել և համեմատաբար կարճ ժամանակում ինքնուրույն իրականացնել։ Փաստաթուղթը կարդալիս իրականում մենք հասկացանք, թե մեր ստանդարտը որքան չափորոշիչների է «կառչում», քանի չափանիշի հետ է պետք ծանոթանալ (գոնե մակերեսորեն): Տորթի «բալը» հանրային սեփականությունում գործող ստանդարտների տեքստերի բացակայությունն էր. դրանք պետք է գնվեին ISO պաշտոնական կայքում:
Սխալ կարծիք թիվ 3.
Մենք վստահ էինք, որ կգտնենք այն ամենը, ինչ անհրաժեշտ է բաց աղբյուրներում սերտիֆիկացման նախապատրաստվելու համար: Ինտերնետում ISO 27001-ի վերաբերյալ իսկապես բավականին շատ նյութեր կային, բայց դրանք բավականին զուրկ էին կոնկրետությունից: Գործնականում չկային սերտիֆիկացման նախապատրաստման համար հեշտ հասկանալի քայլ առ քայլ հրահանգներ, ինչպես նաև իրական դեպքեր ընկերությունների, որոնք ներդրել էին այս ստանդարտը:
Սխալ կարծիք թիվ 4.
Մենք քաղաքականություն կգրենք, բայց դրանք չեն աշխատի։ Դե, ճիշտ է, մեր ընկերությունն արդեն չափազանց շատ կանոններ ունի, ևս 3 տասնյակ նոր քաղաքականություն ոչ ոք չի ենթարկվի։ Իրականում, բարեբախտաբար, մեր աշխատակիցները ամենայն պատասխանատվությամբ վերցրեցին նոր կանոնները յուրացնելու խնդիրը և հաջողությամբ անցան տեղեկատվական անվտանգության կառավարման համակարգի փաստաթղթերի իմացության թեստավորում:
Սխալ կարծիք թիվ 5.
Այն ժամանակ մենք չկարողացանք հստակ գնահատել, թե ինչ օգուտներ կստանանք մեր ջանքերից։ Այն ժամանակ այս սերտիֆիկատի հարցումների թիվն այնքան էլ մեծ չէր, և մենք ունեինք մեր հիմնական և ամենախստապահանջ հաճախորդը սերտիֆիկացումից շատ առաջ: Փորձը ցույց տվեց, որ մենք կարողացանք առանց ստանդարտի։
Ինչ-որ պահի մենք հասկացանք, որ հաճախորդի պահանջների պատճառով քաոսային կերպով փակում ենք այս կամ այն առաջացող բացը: Ամեն անգամ մենք հանդես էինք գալիս որոշ նոր քաղաքականությամբ կամ լուծումներով: Եվ մենք վերջապես ինքնուրույն եկանք այն եզրակացության, որ շատ ավելի հեշտ կլինի համակարգել գործընթացը, ինչը մեզ հետագայում նույնիսկ զգալի աշխատուժից կխնայի։ Ստանդարտը նախատեսված էր այս խնդիրը պարզեցնելու համար:
Այժմ, երկու տարի անց, մենք տեսնում ենք միջազգային խոշոր հաճախորդների կողմից այս հարցի նկատմամբ հարցումների և հետաքրքրության աճի միտում:
Վերջնական որոշում.
Եզրափակելով, մենք կցանկանայինք ասել, որ մեր ոլորտի առաջատարները ստացել են ISO/IEC 27001 սերտիֆիկացում, ինչը ստիպել է մյուս բոլոր խոշոր պրովայդերներին (այդ թվում նաև մեզ) մտածել այս հարցի շուրջ: Անկասկած, գեղեցիկ գիծ ընկերության մարքեթինգային նյութերում՝ կայքում, սոցիալական ցանցերում, գովազդային բրոշյուրներում և այլն: – կարելի է հաճելի բոնուս համարել, բայց արժե՞ այդքան ռեսուրսներ ծախսել դրա համար։ Մենք ինքներս որոշեցինք, որ մեզ համար սա ավելին է, քան պարզապես գեղեցիկ տող, և մենք ներգրավվեցինք այս նախագծի մեջ:
Source: www.habr.com