Այսօր ընկերությունների տեղեկատվական անվտանգության (այսուհետ՝ տեղեկատվական անվտանգության) խնդիրն ամենաարդիականներից է աշխարհում։ Եվ դա զարմանալի չէ, քանի որ շատ երկրներում պահանջների խստացում կա այն կազմակերպությունների նկատմամբ, որոնք պահում և մշակում են անձնական տվյալները։ Ներկայումս Ռուսաստանի օրենսդրությունը պահանջում է թղթային ձևով փաստաթղթերի հոսքի զգալի մասը պահպանել: Միաժամանակ նկատելի է թվայնացման միտումը. շատ ընկերություններ արդեն իսկ պահպանում են մեծ քանակությամբ գաղտնի տեղեկատվություն ինչպես թվային ձևաչափով, այնպես էլ թղթային փաստաթղթերի տեսքով։
Ըստ արդյունքների Anti-Malware վերլուծական կենտրոնում հարցվածների 86%-ը նշել է, որ տարվա ընթացքում առնվազն մեկ անգամ ստիպված են եղել կարգավորել միջադեպերը կիբեր հարձակումներից հետո կամ օգտատերերի կողմից սահմանված կանոնների խախտման հետևանքով։ Այս առումով անհրաժեշտություն է դարձել բիզնեսում տեղեկատվական անվտանգության առաջնահերթությունը։
Ներկայումս կորպորատիվ տեղեկատվական անվտանգությունը ոչ միայն տեխնիկական միջոցների մի շարք է, ինչպիսիք են հակավիրուսները կամ firewalls-ը, այն արդեն ինտեգրված մոտեցում է ընկերության ակտիվների հետ առհասարակ և մասնավորապես տեղեկատվության հետ աշխատելու համար: Ընկերությունները տարբեր կերպ են մոտենում այս խնդիրներին: Այսօր մենք կցանկանայինք խոսել ISO 27001 միջազգային ստանդարտի ներդրման մասին՝ որպես նման խնդրի լուծում։ Ռուսական շուկայում գործող ընկերությունների համար նման վկայագրի առկայությունը հեշտացնում է փոխգործակցությունը օտարերկրյա հաճախորդների և գործընկերների հետ, ովքեր այս հարցում բարձր պահանջներ ունեն: ISO 27001-ը լայնորեն կիրառվում է Արևմուտքում և ներառում է տեղեկատվական անվտանգության ոլորտի պահանջները, որոնք պետք է ծածկվեն օգտագործվող տեխնիկական լուծումներով, ինչպես նաև նպաստեն բիզնես գործընթացների զարգացմանը: Այսպիսով, այս ստանդարտը կարող է դառնալ ձեր մրցակցային առավելությունը և օտարերկրյա ընկերությունների հետ շփման կետ:
Տեղեկատվական անվտանգության կառավարման համակարգի այս հավաստագրումը (այսուհետ՝ ISMS) հավաքել է ISMS նախագծման լավագույն փորձը և, կարևորը, ապահովել է համակարգի գործունեությունը ապահովելու համար կառավարման գործիքների ընտրության հնարավորությունը, անվտանգության տեխնոլոգիական աջակցության պահանջները և նույնիսկ։ ընկերությունում անձնակազմի կառավարման գործընթացի համար. Ի վերջո, պետք է հասկանալ, որ տեխնիկական խափանումները խնդրի միայն մի մասն են։ Տեղեկատվական անվտանգության հարցերում մարդկային գործոնը հսկայական դեր է խաղում, և այն վերացնելը կամ նվազագույնի հասցնելը շատ ավելի դժվար է։
Եթե ձեր ընկերությունը ցանկանում է ստանալ ISO 27001 սերտիֆիկատ, ապա դուք կարող եք արդեն փորձել գտնել դա անելու հեշտ ճանապարհը: Մենք պետք է ձեզ հիասթափեցնենք. այստեղ հեշտ ճանապարհներ չկան: Այնուամենայնիվ, կան որոշակի քայլեր, որոնք կօգնեն կազմակերպությանը պատրաստել տեղեկատվական անվտանգության միջազգային պահանջներին.
1. Ստացեք աջակցություն ղեկավարությունից
Դուք կարող եք մտածել, որ սա ակնհայտ է, բայց գործնականում այս կետը հաճախ անտեսվում է: Ավելին, սա հիմնական պատճառներից մեկն է, որ ISO 27001-ի ներդրման նախագծերը հաճախ ձախողվում են: Չհասկանալով ստանդարտ իրականացման նախագծի նշանակությունը, ղեկավարությունը չի տրամադրի ոչ բավարար մարդկային ռեսուրսներ, ոչ էլ բավարար բյուջե սերտիֆիկացման համար:
2. Մշակել հավաստագրման նախապատրաստման պլան
ISO 27001 սերտիֆիկացման համար նախապատրաստվելը բարդ խնդիր է, որը ներառում է բազմաթիվ տարբեր տեսակի աշխատանքներ, պահանջում է մեծ թվով մարդկանց ներգրավում և կարող է տևել շատ ամիսներ (կամ նույնիսկ տարիներ): Հետևաբար, շատ կարևոր է ստեղծել ծրագրի մանրամասն պլան. հատկացնել ռեսուրսներ, ժամանակ և մարդկանց ներգրավել խստորեն սահմանված առաջադրանքներին և վերահսկել ժամկետների պահպանումը, հակառակ դեպքում դուք երբեք չեք կարող ավարտել աշխատանքը:
3. Սահմանեք հավաստագրման պարագիծը
Եթե դուք ունեք բազմաբնույթ գործունեություն ծավալող մեծ կազմակերպություն, կարող է իմաստալից լինել ISO 27001-ով հավաստագրել ընկերության բիզնեսի միայն մի մասը, ինչը զգալիորեն կնվազեցնի ձեր նախագծի ռիսկը, ինչպես նաև դրա ժամանակը և ծախսերը:
4. Մշակել տեղեկատվական անվտանգության քաղաքականություն
Ամենակարևոր փաստաթղթերից է ընկերության տեղեկատվական անվտանգության քաղաքականությունը: Այն պետք է արտացոլի ձեր ընկերության տեղեկատվական անվտանգության նպատակները և տեղեկատվական անվտանգության կառավարման հիմնական սկզբունքները, որոնց պետք է հետևեն բոլոր աշխատակիցները: Այս փաստաթղթի նպատակն է պարզել, թե ինչի է ցանկանում հասնել ընկերության ղեկավարությունը տեղեկատվական անվտանգության ոլորտում, ինչպես նաև այն, թե ինչպես է դա իրականացվելու և վերահսկվելու:
5. Սահմանել ռիսկերի գնահատման մեթոդաբանություն
Ամենադժվար խնդիրներից մեկը ռիսկերի գնահատման և կառավարման կանոնների սահմանումն է: Կարևոր է հասկանալ, թե ընկերությունն ինչ ռիսկեր կարող է ընդունելի համարել, և որոնք անհապաղ միջոցներ են պահանջում դրանք նվազեցնելու համար: Առանց այս կանոնների, ISMS-ը չի աշխատի:
Միաժամանակ հարկ է հիշել ռիսկերի նվազեցմանն ուղղված միջոցառումների համարժեքությունը։ Բայց դուք չպետք է շատ տարվեք օպտիմալացման գործընթացով, քանի որ դրանք նաև ենթադրում են մեծ ժամանակային կամ ֆինանսական ծախսեր կամ պարզապես անհնար է: Ռիսկերի նվազեցման միջոցառումներ մշակելիս խորհուրդ ենք տալիս օգտագործել «նվազագույն բավարարության» սկզբունքը:
6. Կառավարել ռիսկերը՝ համաձայն հաստատված մեթոդաբանության
Հաջորդ փուլը ռիսկերի կառավարման մեթոդաբանության հետևողական կիրառումն է, այն է՝ դրանց գնահատումն ու մշակումը։ Այս գործընթացը պետք է իրականացվի կանոնավոր հիմունքներով մեծ խնամքով: Տեղեկատվական անվտանգության ռիսկերի ռեգիստրը արդիական պահելով` դուք կկարողանաք արդյունավետորեն բաշխել ընկերության ռեսուրսները և կանխել լուրջ միջադեպերը:
7. Պլանավորել ռիսկերի բուժումը
Ձեր ընկերության համար ընդունելի մակարդակը գերազանցող ռիսկերը պետք է ներառվեն ռիսկերի բուժման պլանում: Այն պետք է արձանագրի ռիսկերի նվազեցմանն ուղղված գործողությունները, ինչպես նաև դրանց համար պատասխանատու անձինք և ժամկետները։
8. Լրացրեք Կիրառելիության հայտարարությունը
Սա առանցքային փաստաթուղթ է, որը աուդիտի ընթացքում ուսումնասիրվելու է սերտիֆիկացման մարմնի մասնագետների կողմից: Այն պետք է նկարագրի, թե որ տեղեկատվական անվտանգության վերահսկողությունը կիրառվում է ձեր ընկերության գործունեության նկատմամբ:
9. Որոշել, թե ինչպես է չափվելու տեղեկատվական անվտանգության վերահսկողության արդյունավետությունը:
Ցանկացած գործողություն պետք է ունենա սահմանված նպատակների իրականացմանը տանող արդյունք։ Հետևաբար, կարևոր է հստակ սահմանել, թե ինչ պարամետրերով է չափվելու նպատակների ձեռքբերումը ինչպես տեղեկատվական անվտանգության կառավարման ամբողջ համակարգի, այնպես էլ Կիրառելիության հավելվածից ընտրված յուրաքանչյուր վերահսկման մեխանիզմի համար:
10. Իրականացնել տեղեկատվական անվտանգության վերահսկողություն
Եվ միայն նախորդ բոլոր քայլերն ավարտելուց հետո դուք պետք է սկսեք կիրառել տեղեկատվական անվտանգության վերահսկումը՝ Կիրառելիության հավելվածից: Ամենամեծ մարտահրավերն այստեղ, իհարկե, կլինի ձեր կազմակերպության բազմաթիվ գործընթացներում գործեր անելու բոլորովին նոր եղանակի ներդրումը: Մարդիկ հակված են դիմադրելու նոր քաղաքականությանն ու ընթացակարգերին, ուստի ուշադրություն դարձրեք հաջորդ կետին:
11. Իրականացնել աշխատակիցների վերապատրաստման ծրագրեր
Վերը նկարագրված բոլոր կետերն անիմաստ կլինեն, եթե ձեր աշխատակիցները չհասկանան նախագծի կարևորությունը և չգործեն տեղեկատվական անվտանգության քաղաքականությանը համապատասխան: Եթե ցանկանում եք, որ ձեր անձնակազմը համապատասխանի բոլոր նոր կանոններին, դուք նախ պետք է մարդկանց բացատրեք, թե ինչու են դրանք անհրաժեշտ, այնուհետև դասընթաց անցկացնեք ISMS-ի վերաբերյալ՝ ընդգծելով բոլոր այն կարևոր քաղաքականությունները, որոնք աշխատակիցները պետք է հաշվի առնեն իրենց ամենօրյա աշխատանքում: Անձնակազմի պատրաստվածության բացակայությունը ISO 27001 ծրագրի ձախողման ընդհանուր պատճառն է:
12. Պահպանել ISMS գործընթացները
Այս պահին ISO 27001-ը դառնում է ամենօրյա ռեժիմ ձեր կազմակերպությունում: Ստանդարտին համապատասխան տեղեկատվական անվտանգության վերահսկողության իրականացումը հաստատելու համար աուդիտորները պետք է ներկայացնեն գրառումներ՝ հսկողության իրական գործունեության ապացույցներ: Բայց ամենից շատ, գրառումները պետք է օգնեն ձեզ հետևել, թե արդյոք ձեր աշխատակիցները (և մատակարարները) կատարում են իրենց առաջադրանքները հաստատված կանոնների համաձայն:
13. Վերահսկեք ձեր ISMS-ը
Ի՞նչ է կատարվում ձեր ISMS-ի հետ: Քանի՞ դեպք ունեք, ի՞նչ տեսակի են դրանք։ Արդյո՞ք բոլոր ընթացակարգերը ճիշտ են կատարվում: Այս հարցերով դուք պետք է ստուգեք, թե արդյոք ընկերությունը համապատասխանում է տեղեկատվական անվտանգության իր նպատակներին: Եթե ոչ, դուք պետք է ծրագիր մշակեք իրավիճակը շտկելու համար:
14. Կատարել ներքին ISMS աուդիտ
Ներքին աուդիտի նպատակն է բացահայտել անհամապատասխանությունները ընկերության իրական գործընթացների և հաստատված տեղեկատվական անվտանգության քաղաքականության միջև: Մեծ մասամբ այն ստուգում է, թե որքան լավ են ձեր աշխատակիցները հետևում կանոններին: Սա շատ կարևոր կետ է, քանի որ եթե դուք չեք վերահսկում ձեր անձնակազմի աշխատանքը, կազմակերպությունը կարող է վնասվել (կանխամտածված կամ ոչ միտումնավոր): Բայց այստեղ նպատակը ոչ թե մեղավորներին գտնելն ու քաղաքականությունը չկատարելու համար նրանց կարգապահելն է, այլ իրավիճակը շտկելը և ապագա խնդիրների կանխումը։
15. Կազմակերպել կառավարման ստուգատես
Ղեկավարությունը չպետք է կազմաձևի ձեր firewall-ը, այլ նրանք պետք է իմանան, թե ինչ է կատարվում ISMS-ում. օրինակ՝ արդյոք բոլորը կատարում են իրենց պարտականությունները և արդյո՞ք ISMS-ը հասնում է իր նպատակային արդյունքներին: Դրա հիման վրա ղեկավարությունը պետք է հիմնական որոշումներ կայացնի ISMS-ի և ներքին բիզնես գործընթացների բարելավման համար:
16. Ներդնել ուղղիչ և կանխարգելիչ գործողությունների համակարգ
Ինչպես ցանկացած ստանդարտ, ISO 27001-ը պահանջում է «շարունակական բարելավում»՝ տեղեկատվական անվտանգության կառավարման համակարգում անհամապատասխանությունների համակարգված ուղղում և կանխարգելում: Ուղղիչ և կանխարգելիչ գործողությունների միջոցով անհամապատասխանությունը կարելի է շտկել և կանխել ապագայում չկրկնվելուց:
Եզրափակելով, ես կցանկանայի ասել, որ իրականում ատեստավորում ստանալը շատ ավելի դժվար է, քան նկարագրված է տարբեր աղբյուրներում: Դա հաստատում է այն փաստը, որ Ռուսաստանում այսօր կան միայն համապատասխանության համար հավաստագրված են: Միևնույն ժամանակ, սա արտասահմանում ամենատարածված ստանդարտներից մեկն է՝ բավարարելով տեղեկատվական անվտանգության ոլորտում բիզնեսի աճող պահանջները։ Իրականացման այս պահանջը պայմանավորված է ոչ միայն սպառնալիքների տեսակների աճով և բարդությամբ, այլև օրենսդրության պահանջներով, ինչպես նաև հաճախորդների, ովքեր պետք է պահպանեն իրենց տվյալների լիակատար գաղտնիությունը:
Չնայած այն հանգամանքին, որ ISMS սերտիֆիկացումը հեշտ գործ չէ, միջազգային ստանդարտ ISO/IEC 27001 ստանդարտի պահանջներին բավարարելու փաստը կարող է լուրջ մրցակցային առավելություն ապահովել համաշխարհային շուկայում: Հուսով ենք, որ մեր հոդվածը նախնական պատկերացում է տվել ընկերության սերտիֆիկացման նախապատրաստման հիմնական փուլերի մասին:
Source: www.habr.com