Í dag er málefni upplýsingaöryggis (hér eftir nefnt upplýsingaöryggi) fyrirtækja eitt það brýnasta í heiminum. Og þetta kemur ekki á óvart því í mörgum löndum eru hertar kröfur til stofnana sem geyma og vinna persónuupplýsingar. Eins og er, krefjast rússnesk löggjöf að viðhalda verulegum hluta skjalaflæðis á pappírsformi. Á sama tíma er þróunin í átt að stafrænni væðingu áberandi: mörg fyrirtæki geyma nú þegar mikið magn af trúnaðarupplýsingum bæði á stafrænu formi og í formi pappírsskjala.
Samkvæmt niðurstöðum Anti-Malware Analytical Center, 86% svarenda bentu á að á árinu þurftu þeir að minnsta kosti einu sinni að leysa atvik eftir netárásir eða vegna brota notenda á settum reglugerðum. Í þessum efnum er forgangsröðun upplýsingaöryggis í viðskiptum orðin nauðsyn.
Eins og er, upplýsingaöryggi fyrirtækja er ekki aðeins sett af tæknilegum aðferðum, svo sem vírusvörn eða eldveggi, það er nú þegar samþætt nálgun til að meðhöndla eignir fyrirtækja almennt og upplýsingar sérstaklega. Fyrirtæki nálgast þessi vandamál á mismunandi hátt. Í dag viljum við tala um innleiðingu alþjóðlega staðalsins ISO 27001 sem lausn á slíku vandamáli. Fyrir fyrirtæki á rússneska markaðnum auðveldar tilvist slíks vottorðs samskipti við erlenda viðskiptavini og samstarfsaðila sem hafa miklar kröfur í þessu efni. ISO 27001 er mikið notaður á Vesturlöndum og nær yfir kröfur á sviði upplýsingaöryggis sem eiga að falla undir þær tæknilausnir sem notaðar eru og stuðla jafnframt að þróun viðskiptaferla. Þannig getur þessi staðall orðið þitt samkeppnisforskot og tengiliður við erlend fyrirtæki.
Þessi vottun upplýsingaöryggisstjórnunarkerfisins (hér eftir nefnt ISMS) safnaði saman bestu starfsvenjum við hönnun ISMS og, mikilvægara, var gert ráð fyrir möguleika á að velja stjórntæki til að tryggja virkni kerfisins, kröfur um tæknilegan öryggisstuðning og jafnvel fyrir starfsmannastjórnunarferlið í fyrirtækinu. Eftir allt saman, það er nauðsynlegt að skilja að tæknilegar bilanir eru aðeins hluti af vandamálinu. Í upplýsingaöryggismálum spilar mannlegi þátturinn stórt hlutverk og mun erfiðara er að útrýma honum eða lágmarka hann.
Ef fyrirtæki þitt er að leitast við að verða ISO 27001 vottað, þá gætir þú hafa þegar reynt að finna auðveldu leiðina til að gera það. Við verðum að valda þér vonbrigðum: það eru engar auðveldar leiðir hér. Hins vegar eru ákveðin skref sem munu hjálpa til við að undirbúa stofnun fyrir alþjóðlegar kröfur um upplýsingaöryggi:
1. Fáðu stuðning frá stjórnendum
Þú gætir haldið að þetta sé augljóst, en í reynd er þetta atriði oft gleymt. Þar að auki er þetta ein helsta ástæða þess að ISO 27001 innleiðingarverkefni mistekst oft. Án þess að skilja mikilvægi staðlaðs innleiðingarverkefnis mun stjórnendur hvorki leggja til nægjanlegan mannafla né nægjanlegt fjármagn til vottunar.
2. Þróaðu undirbúningsáætlun fyrir vottun
Undirbúningur fyrir ISO 27001 vottun er flókið verkefni sem felur í sér margs konar vinnu, krefst þátttöku fjölda fólks og getur tekið marga mánuði (eða jafnvel ár). Þess vegna er mjög mikilvægt að búa til ítarlega verkefnaáætlun: úthluta fjármagni, tíma og þátttöku fólks í strangt skilgreind verkefni og fylgjast með því að tímamörk séu fylgt - annars gætirðu aldrei klárað verkið.
3. Skilgreindu ummál vottunar
Ef þú ert með stóra stofnun með fjölbreytta starfsemi getur verið skynsamlegt að votta aðeins hluta af viðskiptum fyrirtækisins samkvæmt ISO 27001, sem mun draga verulega úr hættunni á verkefninu þínu, sem og tíma þess og kostnaði.
4. Þróa upplýsingaöryggisstefnu
Eitt mikilvægasta skjalið er upplýsingaöryggisstefna fyrirtækisins. Það ætti að endurspegla upplýsingaöryggismarkmið fyrirtækis þíns og grunnreglur upplýsingaöryggisstjórnunar sem allir starfsmenn verða að fylgja. Tilgangur þessa skjals er að ákvarða hverju stjórnendur fyrirtækisins vilja ná fram á sviði upplýsingaöryggis, sem og hvernig því verður útfært og stjórnað.
5. Skilgreindu áhættumatsaðferðafræði
Eitt erfiðasta verkefnið er að skilgreina reglur um áhættumat og áhættustjórnun. Mikilvægt er að gera sér grein fyrir hvaða áhættu fyrirtæki kann að telja ásættanlega og hverjar þarfnast tafarlausra aðgerða til að draga úr þeim. Án þessara reglna mun ISMS ekki virka.
Jafnframt er rétt að muna hversu fullnægjandi aðgerðir sem gripið er til til að draga úr áhættu eru fullnægjandi. En þú ættir ekki að vera of hrifinn af hagræðingarferlinu, því það hefur einnig í för með sér mikinn tíma eða fjármagnskostnað eða getur einfaldlega verið ómögulegt. Við mælum með að þú notir meginregluna um „lágmarks nægilegt“ þegar þú þróar ráðstafanir til að draga úr áhættu.
6. Stjórna áhættu samkvæmt viðurkenndri aðferðafræði
Næsta stig er samræmd beiting áhættustýringaraðferða, það er mat þeirra og úrvinnsla. Þetta ferli verður að fara fram reglulega með mikilli varkárni. Með því að halda áhættuskrá upplýsingaöryggis uppfærðri munt þú geta úthlutað fjármunum fyrirtækisins á áhrifaríkan hátt og komið í veg fyrir alvarleg atvik.
7. Skipuleggja áhættumeðferð
Áhætta sem fer yfir viðunandi mörk fyrir fyrirtæki þitt verður að vera með í áhættumeðferðaráætluninni. Það ætti að skrá aðgerðir sem miða að því að draga úr áhættu, sem og þá sem bera ábyrgð á þeim og fresti.
8. Ljúktu við yfirlýsingu um gildi
Þetta er lykilskjal sem verður rannsakað af sérfræðingum frá vottunarstofunni við úttektina. Það ætti að lýsa því hvaða upplýsingaöryggiseftirlit gilda um starfsemi fyrirtækis þíns.
9. Ákveðið hvernig virkni upplýsingaöryggiseftirlits verður mæld.
Allar aðgerðir verða að hafa afleiðing sem leiðir til þess að settum markmiðum verði náð. Þess vegna er mikilvægt að skilgreina með skýrum hætti með hvaða breytum markmiðin verða mæld bæði fyrir allt upplýsingaöryggisstjórnunarkerfið og fyrir hvert valið eftirlitskerfi úr viðauka um nothæfi.
10. Innleiða upplýsingaöryggiseftirlit
Og aðeins eftir að þú hefur lokið öllum fyrri skrefum ættir þú að byrja að innleiða viðeigandi upplýsingaöryggisstýringar frá Applicability Appendix. Stærsta áskorunin hér verður auðvitað að kynna alveg nýja leið til að gera hlutina í mörgum ferlum fyrirtækisins þíns. Fólk hefur tilhneigingu til að standast nýjar stefnur og verklag, svo gefðu gaum að næsta atriði.
11. Innleiða þjálfunaráætlanir fyrir starfsmenn
Öll atriðin sem lýst er hér að ofan verða tilgangslaus ef starfsmenn þínir skilja ekki mikilvægi verkefnisins og starfa ekki í samræmi við upplýsingaöryggisstefnur. Ef þú vilt að starfsfólk þitt uppfylli allar nýju reglurnar þarftu fyrst að útskýra fyrir fólki hvers vegna þær eru nauðsynlegar og síðan veita þjálfun um ISMS og leggja áherslu á allar mikilvægar stefnur sem starfsmenn verða að taka tillit til í daglegu starfi. Skortur á þjálfun starfsfólks er algeng ástæða fyrir því að ISO 27001 verkefnabrestur.
12. Viðhalda ISMS ferlum
Á þessum tímapunkti verður ISO 27001 dagleg rútína í fyrirtækinu þínu. Til að staðfesta framkvæmd upplýsingaöryggiseftirlits í samræmi við staðalinn munu endurskoðendur þurfa að leggja fram skrár - sönnunargögn um raunverulega virkni eftirlitsins. En umfram allt ættu skrár að hjálpa þér að fylgjast með því hvort starfsmenn þínir (og birgjar) sinna verkefnum sínum í samræmi við samþykktar reglur.
13. Fylgstu með ISMS þínum
Hvað er að gerast með ISMS þinn? Hvað ertu með mörg atvik, hvers konar eru þau? Er öllum verklagsreglum fylgt rétt? Með þessum spurningum ættir þú að athuga hvort fyrirtækið standist markmið sín um upplýsingaöryggi. Ef ekki, verður þú að þróa áætlun til að leiðrétta ástandið.
14. Framkvæma innri ISMS endurskoðun
Tilgangur innri endurskoðunar er að greina ósamræmi milli raunverulegra ferla í fyrirtækinu og samþykktra upplýsingaöryggisstefnu. Að mestu leyti er það að athuga hversu vel starfsmenn þínir fylgja reglunum. Þetta er mjög mikilvægt atriði, því ef þú stjórnar ekki vinnu starfsfólks þíns getur stofnunin orðið fyrir tjóni (viljandi eða óviljandi). En markmiðið hér er ekki að finna sökudólga og aga þá fyrir að fara ekki eftir stefnu, heldur að leiðrétta ástandið og koma í veg fyrir framtíðarvandamál.
15. Skipuleggðu stjórnendurskoðun
Stjórnendur ættu ekki að stilla eldvegginn þinn, en þeir ættu að vita hvað er að gerast í ISMS: til dæmis hvort allir standi við sína ábyrgð og hvort ISMS sé að ná markmiðum sínum. Byggt á þessu verða stjórnendur að taka lykilákvarðanir til að bæta ISMS og innri viðskiptaferla.
16. Koma á kerfi til úrbóta og fyrirbyggjandi aðgerða
Eins og allir staðlar, krefst ISO 27001 „sífelldra umbóta“: kerfisbundinnar leiðréttingar og koma í veg fyrir ósamræmi í upplýsingaöryggisstjórnunarkerfinu. Með úrbóta- og fyrirbyggjandi aðgerðum er hægt að leiðrétta frávikið og koma í veg fyrir að það endurtaki sig í framtíðinni.
Að endingu vil ég segja að í raun er mun erfiðara að fá vottun en lýst er í ýmsum heimildum. Þetta er staðfest af þeirri staðreynd að í Rússlandi í dag eru aðeins hafa verið vottuð til að uppfylla kröfur. Jafnframt er þetta einn vinsælasti staðallinn erlendis sem uppfyllir vaxandi kröfur fyrirtækja á sviði upplýsingaöryggis. Þessi krafa um innleiðingu stafar ekki aðeins af vexti og margbreytileika tegunda ógnanna, heldur einnig af kröfum laga, sem og viðskiptavina sem þurfa að halda fullum trúnaði um gögn sín.
Þrátt fyrir þá staðreynd að ISMS vottun sé ekki auðvelt verkefni, getur sú staðreynd að uppfylla kröfur alþjóðlega staðalsins ISO/IEC 27001 veitt alvarlegt samkeppnisforskot á heimsmarkaði. Við vonum að greinin okkar hafi veitt upphaflegan skilning á helstu stigum við að undirbúa fyrirtæki fyrir vottun.
Heimild: www.habr.com