Այսօր ընկերությունների տեղեկատվական անվտանգության (այսուհետ՝ տեղեկատվական անվտանգության) խնդիրն ամենաարդիականներից է աշխարհում։ Եվ դա զարմանալի չէ, քանի որ շատ երկրներում պահանջների խստացում կա այն կազմակերպությունների նկատմամբ, որոնք պահում և մշակում են անձնական տվյալները։ Ներկայումս Ռուսաստանի օրենսդրությունը պահանջում է թղթային ձևով փաստաթղթերի հոսքի զգալի մասը պահպանել: Միաժամանակ նկատելի է թվայնացման միտումը. շատ ընկերություններ արդեն իսկ պահպանում են մեծ քանակությամբ գաղտնի տեղեկատվություն ինչպես թվային ձևաչափով, այնպես էլ թղթային փաստաթղթերի տեսքով։
Ըստ արդյունքների
Ներկայումս կորպորատիվ տեղեկատվական անվտանգությունը ոչ միայն տեխնիկական միջոցների մի շարք է, ինչպիսիք են հակավիրուսները կամ firewalls-ը, այն արդեն ինտեգրված մոտեցում է ընկերության ակտիվների հետ առհասարակ և մասնավորապես տեղեկատվության հետ աշխատելու համար: Ընկերությունները տարբեր կերպ են մոտենում այս խնդիրներին: Այսօր մենք կցանկանայինք խոսել ISO 27001 միջազգային ստանդարտի ներդրման մասին՝ որպես նման խնդրի լուծում։ Ռուսական շուկայում գործող ընկերությունների համար նման վկայագրի առկայությունը հեշտացնում է փոխգործակցությունը օտարերկրյա հաճախորդների և գործընկերների հետ, ովքեր այս հարցում բարձր պահանջներ ունեն: ISO 27001-ը լայնորեն կիրառվում է Արևմուտքում և ներառում է տեղեկատվական անվտանգության ոլորտի պահանջները, որոնք պետք է ծածկվեն օգտագործվող տեխնիկական լուծումներով, ինչպես նաև նպաստեն բիզնես գործընթացների զարգացմանը: Այսպիսով, այս ստանդարտը կարող է դառնալ ձեր մրցակցային առավելությունը և օտարերկրյա ընկերությունների հետ շփման կետ:
Տեղեկատվական անվտանգության կառավարման համակարգի այս հավաստագրումը (այսուհետ՝ ISMS) հավաքել է ISMS նախագծման լավագույն փորձը և, կարևորը, ապահովել է համակարգի գործունեությունը ապահովելու համար կառավարման գործիքների ընտրության հնարավորությունը, անվտանգության տեխնոլոգիական աջակցության պահանջները և նույնիսկ։ ընկերությունում անձնակազմի կառավարման գործընթացի համար. Ի վերջո, պետք է հասկանալ, որ տեխնիկական խափանումները խնդրի միայն մի մասն են։ Տեղեկատվական անվտանգության հարցերում մարդկային գործոնը հսկայական դեր է խաղում, և այն վերացնելը կամ նվազագույնի հասցնելը շատ ավելի դժվար է։
Եթե ձեր ընկերությունը ցանկանում է ստանալ ISO 27001 սերտիֆիկատ, ապա դուք կարող եք արդեն փորձել գտնել դա անելու հեշտ ճանապարհը: Մենք պետք է ձեզ հիասթափեցնենք. այստեղ հեշտ ճանապարհներ չկան: Այնուամենայնիվ, կան որոշակի քայլեր, որոնք կօգնեն կազմակերպությանը պատրաստել տեղեկատվական անվտանգության միջազգային պահանջներին.
1. Ստացեք աջակցություն ղեկավարությունից
Դուք կարող եք մտածել, որ սա ակնհայտ է, բայց գործնականում այս կետը հաճախ անտեսվում է: Ավելին, սա հիմնական պատճառներից մեկն է, որ ISO 27001-ի ներդրման նախագծերը հաճախ ձախողվում են: Չհասկանալով ստանդարտ իրականացման նախագծի նշանակությունը, ղեկավարությունը չի տրամադրի ոչ բավարար մարդկային ռեսուրսներ, ոչ էլ բավարար բյուջե սերտիֆիկացման համար:
2. Մշակել հավաստագրման նախապատրաստման պլան
ISO 27001 սերտիֆիկացման համար նախապատրաստվելը բարդ խնդիր է, որը ներառում է բազմաթիվ տարբեր տեսակի աշխատանքներ, պահանջում է մեծ թվով մարդկանց ներգրավում և կարող է տևել շատ ամիսներ (կամ նույնիսկ տարիներ): Հետևաբար, շատ կարևոր է ստեղծել ծրագրի մանրամասն պլան. հատկացնել ռեսուրսներ, ժամանակ և մարդկանց ներգրավել խստորեն սահմանված առաջադրանքներին և վերահսկել ժամկետների պահպանումը, հակառակ դեպքում դուք երբեք չեք կարող ավարտել աշխատանքը:
3. Սահմանեք հավաստագրման պարագիծը
Եթե դուք ունեք բազմաբնույթ գործունեություն ծավալող մեծ կազմակերպություն, կարող է իմաստալից լինել ISO 27001-ով հավաստագրել ընկերության բիզնեսի միայն մի մասը, ինչը զգալիորեն կնվազեցնի ձեր նախագծի ռիսկը, ինչպես նաև դրա ժամանակը և ծախսերը:
4. Մշակել տեղեկատվական անվտանգության քաղաքականություն
Ամենակարևոր փաստաթղթերից է ընկերության տեղեկատվական անվտանգության քաղաքականությունը: Այն պետք է արտացոլի ձեր ընկերության տեղեկատվական անվտանգության նպատակները և տեղեկատվական անվտանգության կառավարման հիմնական սկզբունքները, որոնց պետք է հետևեն բոլոր աշխատակիցները: Այս փաստաթղթի նպատակն է պարզել, թե ինչի է ցանկանում հասնել ընկերության ղեկավարությունը տեղեկատվական անվտանգության ոլորտում, ինչպես նաև այն, թե ինչպես է դա իրականացվելու և վերահսկվելու:
5. Սահմանել ռիսկերի գնահատման մեթոդաբանություն
Ամենադժվար խնդիրներից մեկը ռիսկերի գնահատման և կառավարման կանոնների սահմանումն է: Կարևոր է հասկանալ, թե ընկերությունն ինչ ռիսկեր կարող է ընդունելի համարել, և որոնք անհապաղ միջոցներ են պահանջում դրանք նվազեցնելու համար: Առանց այս կանոնների, ISMS-ը չի աշխատի:
Միաժամանակ հարկ է հիշել ռիսկերի նվազեցմանն ուղղված միջոցառումների համարժեքությունը։ Բայց դուք չպետք է շատ տարվեք օպտիմալացման գործընթացով, քանի որ դրանք նաև ենթադրում են մեծ ժամանակային կամ ֆինանսական ծախսեր կամ պարզապես անհնար է: Ռիսկերի նվազեցման միջոցառումներ մշակելիս խորհուրդ ենք տալիս օգտագործել «նվազագույն բավարարության» սկզբունքը:
6. Կառավարել ռիսկերը՝ համաձայն հաստատված մեթոդաբանության
Հաջորդ փուլը ռիսկերի կառավարման մեթոդաբանության հետևողական կիրառումն է, այն է՝ դրանց գնահատումն ու մշակումը։ Այս գործընթացը պետք է իրականացվի կանոնավոր հիմունքներով մեծ խնամքով: Տեղեկատվական անվտանգության ռիսկերի ռեգիստրը արդիական պահելով` դուք կկարողանաք արդյունավետորեն բաշխել ընկերության ռեսուրսները և կանխել լուրջ միջադեպերը:
7. Պլանավորել ռիսկերի բուժումը
Ձեր ընկերության համար ընդունելի մակարդակը գերազանցող ռիսկերը պետք է ներառվեն ռիսկերի բուժման պլանում: Այն պետք է արձանագրի ռիսկերի նվազեցմանն ուղղված գործողությունները, ինչպես նաև դրանց համար պատասխանատու անձինք և ժամկետները։
8. Լրացրեք Կիրառելիության հայտարարությունը
Սա առանցքային փաստաթուղթ է, որը աուդիտի ընթացքում ուսումնասիրվելու է սերտիֆիկացման մարմնի մասնագետների կողմից: Այն պետք է նկարագրի, թե որ տեղեկատվական անվտանգության վերահսկողությունը կիրառվում է ձեր ընկերության գործունեության նկատմամբ:
9. Որոշել, թե ինչպես է չափվելու տեղեկատվական անվտանգության վերահսկողության արդյունավետությունը:
Ցանկացած գործողություն պետք է ունենա սահմանված նպատակների իրականացմանը տանող արդյունք։ Հետևաբար, կարևոր է հստակ սահմանել, թե ինչ պարամետրերով է չափվելու նպատակների ձեռքբերումը ինչպես տեղեկատվական անվտանգության կառավարման ամբողջ համակարգի, այնպես էլ Կիրառելիության հավելվածից ընտրված յուրաքանչյուր վերահսկման մեխանիզմի համար:
10. Իրականացնել տեղեկատվական անվտանգության վերահսկողություն
Եվ միայն նախորդ բոլոր քայլերն ավարտելուց հետո դուք պետք է սկսեք կիրառել տեղեկատվական անվտանգության վերահսկումը՝ Կիրառելիության հավելվածից: Ամենամեծ մարտահրավերն այստեղ, իհարկե, կլինի ձեր կազմակերպության բազմաթիվ գործընթացներում գործեր անելու բոլորովին նոր եղանակի ներդրումը: Մարդիկ հակված են դիմադրելու նոր քաղաքականությանն ու ընթացակարգերին, ուստի ուշադրություն դարձրեք հաջորդ կետին:
11. Իրականացնել աշխատակիցների վերապատրաստման ծրագրեր
Վերը նկարագրված բոլոր կետերն անիմաստ կլինեն, եթե ձեր աշխատակիցները չհասկանան նախագծի կարևորությունը և չգործեն տեղեկատվական անվտանգության քաղաքականությանը համապատասխան: Եթե ցանկանում եք, որ ձեր անձնակազմը համապատասխանի բոլոր նոր կանոններին, դուք նախ պետք է մարդկանց բացատրեք, թե ինչու են դրանք անհրաժեշտ, այնուհետև դասընթաց անցկացնեք ISMS-ի վերաբերյալ՝ ընդգծելով բոլոր այն կարևոր քաղաքականությունները, որոնք աշխատակիցները պետք է հաշվի առնեն իրենց ամենօրյա աշխատանքում: Անձնակազմի պատրաստվածության բացակայությունը ISO 27001 ծրագրի ձախողման ընդհանուր պատճառն է:
12. Պահպանել ISMS գործընթացները
Այս պահին ISO 27001-ը դառնում է ամենօրյա ռեժիմ ձեր կազմակերպությունում: Ստանդարտին համապատասխան տեղեկատվական անվտանգության վերահսկողության իրականացումը հաստատելու համար աուդիտորները պետք է ներկայացնեն գրառումներ՝ հսկողության իրական գործունեության ապացույցներ: Բայց ամենից շատ, գրառումները պետք է օգնեն ձեզ հետևել, թե արդյոք ձեր աշխատակիցները (և մատակարարները) կատարում են իրենց առաջադրանքները հաստատված կանոնների համաձայն:
13. Վերահսկեք ձեր ISMS-ը
Ի՞նչ է կատարվում ձեր ISMS-ի հետ: Քանի՞ դեպք ունեք, ի՞նչ տեսակի են դրանք։ Արդյո՞ք բոլոր ընթացակարգերը ճիշտ են կատարվում: Այս հարցերով դուք պետք է ստուգեք, թե արդյոք ընկերությունը համապատասխանում է տեղեկատվական անվտանգության իր նպատակներին: Եթե ոչ, դուք պետք է ծրագիր մշակեք իրավիճակը շտկելու համար:
14. Կատարել ներքին ISMS աուդիտ
Ներքին աուդիտի նպատակն է բացահայտել անհամապատասխանությունները ընկերության իրական գործընթացների և հաստատված տեղեկատվական անվտանգության քաղաքականության միջև: Մեծ մասամբ այն ստուգում է, թե որքան լավ են ձեր աշխատակիցները հետևում կանոններին: Սա շատ կարևոր կետ է, քանի որ եթե դուք չեք վերահսկում ձեր անձնակազմի աշխատանքը, կազմակերպությունը կարող է վնասվել (կանխամտածված կամ ոչ միտումնավոր): Բայց այստեղ նպատակը ոչ թե մեղավորներին գտնելն ու քաղաքականությունը չկատարելու համար նրանց կարգապահելն է, այլ իրավիճակը շտկելը և ապագա խնդիրների կանխումը։
15. Կազմակերպել կառավարման ստուգատես
Ղեկավարությունը չպետք է կազմաձևի ձեր firewall-ը, այլ նրանք պետք է իմանան, թե ինչ է կատարվում ISMS-ում. օրինակ՝ արդյոք բոլորը կատարում են իրենց պարտականությունները և արդյո՞ք ISMS-ը հասնում է իր նպատակային արդյունքներին: Դրա հիման վրա ղեկավարությունը պետք է հիմնական որոշումներ կայացնի ISMS-ի և ներքին բիզնես գործընթացների բարելավման համար:
16. Ներդնել ուղղիչ և կանխարգելիչ գործողությունների համակարգ
Ինչպես ցանկացած ստանդարտ, ISO 27001-ը պահանջում է «շարունակական բարելավում»՝ տեղեկատվական անվտանգության կառավարման համակարգում անհամապատասխանությունների համակարգված ուղղում և կանխարգելում: Ուղղիչ և կանխարգելիչ գործողությունների միջոցով անհամապատասխանությունը կարելի է շտկել և կանխել ապագայում չկրկնվելուց:
Եզրափակելով, ես կցանկանայի ասել, որ իրականում ատեստավորում ստանալը շատ ավելի դժվար է, քան նկարագրված է տարբեր աղբյուրներում: Դա հաստատում է այն փաստը, որ Ռուսաստանում այսօր կան միայն
Չնայած այն հանգամանքին, որ ISMS սերտիֆիկացումը հեշտ գործ չէ, միջազգային ստանդարտ ISO/IEC 27001 ստանդարտի պահանջներին բավարարելու փաստը կարող է լուրջ մրցակցային առավելություն ապահովել համաշխարհային շուկայում: Հուսով ենք, որ մեր հոդվածը նախնական պատկերացում է տվել ընկերության սերտիֆիկացման նախապատրաստման հիմնական փուլերի մասին:
Source: www.habr.com