Бүгінгі таңда компаниялардың ақпараттық қауіпсіздігін қамтамасыз ету (бұдан әрі – ақпараттық қауіпсіздік) мәселесі әлемдегі ең өзекті мәселелердің бірі болып табылады. Және бұл таңқаларлық емес, өйткені көптеген елдерде жеке деректерді сақтайтын және өңдейтін ұйымдарға қойылатын талаптар күшейтілген. Қазіргі уақытта ресейлік заңнама қағаз түріндегі құжат айналымының маңызды бөлігін сақтауды талап етеді. Сонымен қатар, цифрландыру үрдісі байқалады: көптеген компаниялар қазірдің өзінде сандық форматта да, қағаз құжат түрінде де үлкен көлемдегі құпия ақпаратты сақтайды.
Нәтижелері бойынша Зиянды бағдарламаларға қарсы талдау орталығы респонденттердің 86%-ы жыл ішінде кем дегенде бір рет кибершабуылдардан кейін немесе пайдаланушылардың белгіленген ережелерді бұзуы нәтижесінде болған оқиғаларды шешуге тура келгенін атап өтті. Осыған байланысты бизнесте ақпараттық қауіпсіздікке басымдық беру қажеттілікке айналды.
Қазіргі уақытта корпоративтік ақпараттық қауіпсіздік – бұл антивирустар немесе желіаралық қалқандар сияқты техникалық құралдардың жиынтығы ғана емес, ол қазірдің өзінде жалпы компания активтерімен және атап айтқанда ақпаратпен жұмыс істеудің кешенді тәсілі болып табылады. Компаниялар бұл мәселелерге басқаша қарайды. Бүгін біз осындай мәселенің шешімі ретінде ISO 27001 халықаралық стандартын енгізу туралы айтқымыз келеді. Ресей нарығындағы компаниялар үшін мұндай сертификаттың болуы осы мәселеде жоғары талаптары бар шетелдік клиенттермен және серіктестермен өзара әрекеттесуді жеңілдетеді. ISO 27001 Батыста кеңінен қолданылады және ақпараттық қауіпсіздік саласындағы талаптарды қамтиды, олар қолданылатын техникалық шешімдермен қамтылуы керек, сонымен қатар бизнес-процестердің дамуына ықпал етеді. Осылайша, бұл стандарт сіздің бәсекелестік артықшылығыңызға және шетелдік компаниялармен байланыс нүктесіне айналуы мүмкін.
Ақпараттық қауіпсіздікті басқару жүйесінің бұл сертификаты (бұдан әрі – БАЖ) БААЖ жобалаудың озық тәжірибесін жинақтады және ең бастысы жүйенің жұмыс істеуін қамтамасыз ету үшін басқару құралдарын таңдау мүмкіндігін, технологиялық қауіпсіздікті қолдауға қойылатын талаптарды және тіпті компаниядағы персоналды басқару процесі үшін. Өйткені, техникалық ақаулар мәселенің бір бөлігі ғана екенін түсіну керек. Ақпараттық қауіпсіздік мәселелерінде адам факторы үлкен рөл атқарады және оны жою немесе азайту әлдеқайда қиын.
Егер сіздің компанияңыз ISO 27001 сертификатына ие болғысы келсе, сіз мұны істеудің оңай жолын табуға тырысқан боларсыз. Біз сізді ренжітуіміз керек: мұнда оңай жолдар жоқ. Дегенмен, ұйымды халықаралық ақпараттық қауіпсіздік талаптарына дайындауға көмектесетін белгілі бір қадамдар бар:
1. Басшылықтан қолдау алыңыз
Сіз бұл анық деп ойлайтын шығарсыз, бірақ іс жүзінде бұл мәселе жиі назардан тыс қалады. Сонымен қатар, бұл ISO 27001 енгізу жобаларының жиі сәтсіздікке ұшырауының негізгі себептерінің бірі. Стандартты енгізу жобасының маңыздылығын түсінбестен, басшылық не жеткілікті адам ресурстарын, не сертификаттау үшін жеткілікті бюджетті қамтамасыз етпейді.
2. Сертификаттауға дайындық жоспарын жасаңыз
ISO 27001 сертификаттауға дайындалу - бұл көптеген әртүрлі жұмыс түрлерін қамтитын күрделі тапсырма, көп адамдардың қатысуын талап етеді және көптеген айларды (тіпті жылдарды) алуы мүмкін. Сондықтан жобаның егжей-тегжейлі жоспарын жасау өте маңызды: ресурстарды, уақытты және адамдарды қатаң белгіленген тапсырмаларға бөлу және мерзімдердің сақталуын бақылау - әйтпесе сіз жұмысты ешқашан аяқтай алмайсыз.
3. Сертификаттау периметрін анықтаңыз
Егер сізде әртараптандырылған қызметі бар ірі ұйым болса, компания бизнесінің бір бөлігін ғана ISO 27001 стандартына сәйкес сертификаттау мағынасы бар, бұл сіздің жобаңыздың тәуекелін, сондай-ақ оның уақыты мен құнын айтарлықтай төмендетеді.
4. Ақпараттық қауіпсіздік саясатын әзірлеу
Ең маңызды құжаттардың бірі – компанияның Ақпараттық қауіпсіздік саясаты. Ол сіздің компанияңыздың ақпараттық қауіпсіздік мақсаттарын және барлық қызметкерлер ұстануға тиіс ақпараттық қауіпсіздікті басқарудың негізгі принциптерін көрсетуі керек. Бұл құжаттың мақсаты – компания басшылығының ақпараттық қауіпсіздік саласында неге қол жеткізгісі келетінін, сондай-ақ оның қалай жүзеге асырылатынын және бақыланатынын анықтау.
5. Тәуекелді бағалау әдістемесін анықтаңыз
Ең қиын міндеттердің бірі тәуекелді бағалау және басқару ережелерін анықтау болып табылады. Компанияның қандай тәуекелдерді қолайлы деп санайтынын және қайсысы оларды азайту үшін шұғыл шараларды қажет ететінін түсіну маңызды. Бұл ережелерсіз БААЖ жұмыс істемейді.
Бұл ретте, тәуекелдерді төмендету бойынша қабылданған шаралардың барабарлығын есте ұстаған жөн. Бірақ сіз оңтайландыру процесіне тым көп араласпауыңыз керек, өйткені олар көп уақытты немесе қаржылық шығындарды талап етеді немесе мүмкін емес болуы мүмкін. Тәуекелді азайту шараларын әзірлеу кезінде «ең аз жеткіліктілік» қағидатын пайдалануды ұсынамыз.
6. Бекітілген әдістемеге сәйкес тәуекелдерді басқару
Келесі кезең – тәуекелдерді басқару әдістемесін дәйекті қолдану, яғни оларды бағалау және өңдеу. Бұл процесс өте мұқият жүргізілуі керек. Ақпараттық қауіпсіздік тәуекелдерінің тізілімін жаңартып отыру арқылы сіз компания ресурстарын тиімді бөлуге және күрделі оқиғалардың алдын алуға мүмкіндік аласыз.
7. Тәуекелді емдеуді жоспарлаңыз
Сіздің компанияңыз үшін қолайлы деңгейден асатын тәуекелдер тәуекелдерді емдеу жоспарына қосылуы керек. Ол тәуекелдерді азайтуға бағытталған іс-әрекеттерді, сондай-ақ оларға жауапты тұлғаларды және мерзімдерді тіркеуі керек.
8. Қолдану мүмкіндігі туралы мәлімдемені толтырыңыз
Бұл аудит кезінде сертификаттау органының мамандары зерттейтін негізгі құжат. Ол сіздің компанияңыздың қызметіне қандай ақпараттық қауіпсіздік бақылаулары қолданылатынын сипаттауы керек.
9. Ақпараттық қауіпсіздікті бақылаудың тиімділігі қалай өлшенетінін анықтаңыз.
Кез келген әрекет белгіленген мақсаттарды орындауға әкелетін нәтижеге ие болуы керек. Сондықтан ақпараттық қауіпсіздікті басқарудың бүкіл жүйесі үшін де, Қолдану мүмкіндігі туралы қосымшадан әрбір таңдалған басқару тетігі үшін де мақсаттарға қол жеткізу қандай параметрлермен өлшенетінін нақты анықтау маңызды.
10. Ақпараттық қауіпсіздікті бақылауды жүзеге асыру
Алдыңғы қадамдардың барлығын орындағаннан кейін ғана Қолдану мүмкіндігі қосымшасындағы тиісті ақпараттық қауіпсіздікті басқару элементтерін енгізуді бастау керек. Мұндағы ең үлкен мәселе, әрине, ұйымыңыздың көптеген процестерінде нәрселерді жасаудың мүлдем жаңа әдісін енгізу болады. Адамдар жаңа саясаттар мен процедураларға қарсы тұруға бейім, сондықтан келесі тармаққа назар аударыңыз.
11. Қызметкерлерді оқыту бағдарламаларын іске асыру
Егер сіздің қызметкерлеріңіз жобаның маңыздылығын түсінбесе және ақпараттық қауіпсіздік саясатына сәйкес әрекет етпесе, жоғарыда сипатталған барлық тармақтар мағынасыз болады. Егер сіз қызметкерлеріңіздің барлық жаңа ережелерді сақтауын қаласаңыз, алдымен адамдарға олардың не үшін қажет екенін түсіндіріп, содан кейін қызметкерлер күнделікті жұмысында ескеруі тиіс барлық маңызды саясаттарды атап көрсете отырып, БААЖ бойынша оқытуды өткізуіңіз керек. Персоналды оқытудың болмауы ISO 27001 жобасының сәтсіздігінің жалпы себебі болып табылады.
12. БААЖ процестерін жүргізу
Осы кезде ISO 27001 ұйымыңызда күнделікті жұмыс тәртібіне айналады. Стандартқа сәйкес ақпараттық қауіпсіздікті бақылаудың жүзеге асырылуын растау үшін аудиторлар бақылаудың нақты жұмысының дәлелдемелерін – жазбаларды ұсынуы қажет. Бірақ, ең бастысы, жазбалар сіздің қызметкерлеріңіздің (және жеткізушілердің) бекітілген ережелерге сәйкес өз міндеттерін орындап жатқанын бақылауға көмектесуі керек.
13. БААЖ-ды бақылаңыз
Сіздің БААЖ не болып жатыр? Сізде қанша оқиға бар, олар қандай? Барлық процедуралар дұрыс орындалды ма? Осы сұрақтар арқылы компанияның ақпараттық қауіпсіздік мақсаттарына сәйкес келетінін тексеру керек. Олай болмаса, жағдайды түзету жоспарын жасау керек.
14. АҚБЖ ішкі аудитін жүргізу
Ішкі аудиттің мақсаты – компаниядағы нақты процестер мен бекітілген ақпараттық қауіпсіздік саясаты арасындағы сәйкессіздіктерді анықтау. Көбінесе бұл сіздің қызметкерлеріңіз ережелерді қаншалықты орындайтынын тексереді. Бұл өте маңызды сәт, өйткені сіз өзіңіздің қызметкерлеріңіздің жұмысын бақыламасаңыз, ұйым зиян келтіруі мүмкін (қасақана немесе байқаусызда). Бірақ мұндағы мақсат – кінәлілерді тауып, оларды саясатты сақтамағаны үшін тәртіпке салу емес, жағдайды түзетіп, болашақта туындайтын мәселелердің алдын алу.
15. Басшылықтың шолуын ұйымдастырыңыз
Басшылық желіаралық қалқанды конфигурацияламауы керек, бірақ олар БААЖ-да не болып жатқанын білуі керек: мысалы, әркім өз міндеттерін орындап жатыр ма және БААЖ мақсатты нәтижелеріне қол жеткізе ме, жоқ па. Осының негізінде басшылық АҚБЖ және ішкі бизнес-процестерді жақсарту бойынша негізгі шешімдерді қабылдауы керек.
16. Түзету және алдын алу шараларының жүйесін енгізу
Кез келген стандарт сияқты, ISO 27001 «үздіксіз жетілдіруді» талап етеді: ақпараттық қауіпсіздікті басқару жүйесіндегі сәйкессіздіктерді жүйелі түрде түзету және алдын алу. Түзету және алдын алу әрекеттері арқылы сәйкессіздікті түзетуге және болашақта қайталануын болдырмауға болады.
Қорытындылай келе, шын мәнінде сертификат алу әртүрлі дереккөздерде сипатталғанға қарағанда әлдеқайда қиын екенін айтқым келеді. Бұл Ресейде бүгінгі күні бар екендігімен расталады сәйкестікке сертификатталған. Сонымен қатар, бұл ақпараттық қауіпсіздік саласындағы бизнестің өсіп келе жатқан талаптарын қанағаттандыратын шетелдегі ең танымал стандарттардың бірі. Іске асырудың бұл сұранысы қауіп түрлерінің өсуі мен күрделілігіне ғана емес, сонымен қатар заңнаманың талаптарына, сондай-ақ өз деректерінің толық құпиялылығын сақтауды қажет ететін клиенттерге де байланысты.
БААЖ сертификаттау оңай мәселе емес екеніне қарамастан, ISO/IEC 27001 халықаралық стандартының талаптарын орындау фактісінің өзі әлемдік нарықта елеулі бәсекелестік артықшылықты қамтамасыз ете алады. Біздің мақала компанияны сертификаттауға дайындаудың негізгі кезеңдері туралы бастапқы түсінік берді деп үміттенеміз.
Ақпарат көзі: www.habr.com