Бүгүнкү күндө компаниялардын маалыматтык коопсуздугу (мындан ары - маалыматтык коопсуздук) маселеси дүйнөдөгү эң актуалдуу маселелердин бири болуп саналат. Жана бул таң калыштуу эмес, анткени көптөгөн өлкөлөрдө жеке маалыматтарды сактаган жана иштеткен уюмдарга карата талаптар катуулатылып жатат. Азыркы учурда, орус мыйзамдары кагаз түрүндө документ жүгүртүүнүн олуттуу үлүшүн сактоону талап кылат. Ошол эле учурда санариптештирүү тенденциясы байкалууда: көптөгөн компаниялар санарип форматта да, кагаз түрүндө да купуя маалыматтын чоң көлөмүн сакташат.
Жыйынтыгы боюнча Кесепеттүү программаларга каршы аналитикалык борбордун изилдөөсүнө ылайык, респонденттердин 86% жыл ичинде киберчабуулдардан кийин же колдонуучулардын белгиленген эрежелерди бузуусунун натыйжасында болгон инциденттерди жок дегенде бир жолу чечүүгө туура келгенин белгилешти. Ушуга байланыштуу бизнесте маалыматтык коопсуздукка артыкчылык берүү зарылдык болуп калды.
Азыркы учурда корпоративдик маалыматтык коопсуздук – бул антивирустар же брандмауэрлер сыяктуу техникалык каражаттардын жыйындысы гана эмес, ал жалпысынан компаниянын активдерин жана атап айтканда, маалыматты башкаруунун комплекстүү мамилеси болуп саналат. Компаниялар бул көйгөйлөргө башкача мамиле кылат. Бүгүн биз ушундай көйгөйдү чечүү жолу катары ISO 27001 эл аралык стандартын ишке ашыруу жөнүндө сөз кылгыбыз келет. Россия рыногундагы компаниялар үчүн, мындай күбөлүктүн болушу бул маселеде жогорку талаптарга ээ болгон чет өлкөлүк кардарлар жана өнөктөштөр менен өз ара аракеттенүүнү жөнөкөйлөтөт. ISO 27001 Батышта кеңири колдонулат жана маалыматтык коопсуздук чөйрөсүндөгү талаптарды камтыйт, алар колдонулган техникалык чечимдер менен камтылууга тийиш, ошондой эле бизнес процесстерин өнүктүрүүгө салым кошот. Ошентип, бул стандарт сиздин атаандаштык артыкчылыгыңыз жана чет өлкөлүк компаниялар менен байланыш түйүнү болуп калышы мүмкүн.
Маалыматтык коопсуздукту башкаруу системасынын бул сертификациясы (мындан ары - АКБС) АКБСти долбоорлоо боюнча эң мыкты тажрыйбаларды чогулткан жана эң негизгиси, системанын иштешин камсыз кылуу үчүн башкаруу куралдарын тандоо мүмкүнчүлүгүн, технологиялык коопсуздукту колдоо талаптарын жана ал тургай компанияда персоналды башкаруу процесси үчүн. Анткени, техникалык мүчүлүштүктөр маселенин бир бөлүгү гана экенин түшүнүү керек. Маалыматтык коопсуздук маселелеринде адам фактору чоң роль ойнойт жана аны жок кылуу же азайтуу алда канча кыйын.
Эгерде сиздин компанияңыз ISO 27001 сертификатына ээ болууну көздөсө, анда сиз муну жасоонун оңой жолун табууга аракет кылган болушуңуз мүмкүн. Биз сиздин көңүлүңүздү калтырышыбыз керек: бул жерде оңой жолдор жок. Бирок, эл аралык маалымат коопсуздугунун талаптарына уюмду даярдоого жардам бере турган белгилүү бир кадамдар бар:
1. Жетекчиликтен колдоо алыңыз
Сиз бул ачык-айкын деп ойлошу мүмкүн, бирок иш жүзүндө бул жагдай көп учурда көз жаздымда калат. Мындан тышкары, бул ISO 27001 ишке ашыруу долбоорлору көп учурда ишке ашпай калышынын негизги себептеринин бири болуп саналат. Стандарттык ишке ашыруу долбоорунун маанисин түшүнбөстөн, жетекчилик сертификаттоо үчүн жетиштүү адам ресурстарын же жетиштүү бюджетти камсыз кылбайт.
2. Сертификатты даярдоо планын иштеп чыгуу
ISO 27001 сертификациясына даярдануу ар кандай иштердин түрлөрүн камтыган, көп сандагы адамдардын катышуусун талап кылган жана көп айларды (ал тургай жылдарды) талап кылган татаал иш. Ошондуктан, долбоордун деталдуу планын түзүү абдан маанилүү: ресурстарды, убакытты жана адамдарды катуу аныкталган милдеттерге тартуу жана мөөнөттөрдүн сакталышын көзөмөлдөө - антпесе, сиз ишти эч качан бүтүрө албайсыз.
3. Сертификаттын периметрин аныктаңыз
Эгерде сизде диверсификацияланган иш-аракеттери бар ири уюм болсо, анда компаниянын бизнесинин бир бөлүгүн гана ISO 27001ге сертификаттоо акылга сыярлык болушу мүмкүн, бул сиздин долбоордун тобокелдигин, ошондой эле анын убактысын жана баасын бир топ азайтат.
4. Маалыматтык коопсуздук саясатын иштеп чыгуу
Эң маанилүү документтердин бири бул компаниянын Маалыматтык коопсуздук саясаты. Ал сиздин компанияңыздын маалымат коопсуздугунун максаттарын жана бардык кызматкерлер карманууга тийиш болгон маалыматтык коопсуздукту башкаруунун негизги принциптерин чагылдырышы керек. Бул документтин максаты компаниянын жетекчилиги маалыматтык коопсуздук чөйрөсүндө эмнеге жетишүүнү каалап жатканын, ошондой эле бул кандайча ишке ашырылып, көзөмөлдөнөрүн аныктоо болуп саналат.
5. Тобокелдиктерди баалоо методологиясын аныктаңыз
Эң татаал милдеттердин бири тобокелдикти баалоо жана башкаруу эрежелерин аныктоо болуп саналат. Компания кайсы тобокелдиктерди алгылыктуу деп эсептей турганын жана аларды азайтуу үчүн токтоосуз чараларды көрүү керектигин түшүнүү маанилүү. Бул эрежелерсиз МБС иштебейт.
Ошол эле учурда тобокелдиктерди азайтуу боюнча көрүлгөн чаралардын адекваттуулугун эстен чыгарбоо керек. Бирок оптималдаштыруу процесси менен алек болбошуңуз керек, анткени алар көп убакытты же каржылык чыгымдарды талап кылат же жөн эле мүмкүн эмес болушу мүмкүн. Тобокелдиктерди азайтуу чараларын иштеп чыгууда “минималдуу жетиштүүлүк” принцибин колдонууну сунуштайбыз.
6. Бекитилген методологияга ылайык тобокелдиктерди башкаруу
Кийинки этап - тобокелдиктерди башкаруу методологиясын ырааттуу колдонуу, башкача айтканда, аларды баалоо жана кайра иштетүү. Бул процесс абдан кылдаттык менен үзгүлтүксүз жүргүзүлүшү керек. Маалыматтык коопсуздук тобокелдигинин реестрин жаңыртуу менен, сиз компаниянын ресурстарын натыйжалуу бөлүштүрө аласыз жана олуттуу инциденттерди алдын ала аласыз.
7. Тобокелдиктерди дарылоону пландаштырыңыз
Сиздин компанияңыз үчүн алгылыктуу деңгээлден ашкан тобокелдиктер тобокелдиктерди дарылоо планына киргизилиши керек. Ал тобокелдиктерди азайтууга багытталган иш-аракеттерди, ошондой эле алар үчүн жооптуу адамдарды жана мөөнөттөрдү жазууга тийиш.
8. Колдонуу жөнүндө билдирүүнү толтуруңуз
Бул аудиттин жүрүшүндө сертификаттоо боюнча органдын адистери тарабынан изилдене турган негизги документ болуп саналат. Бул сиздин компанияңыздын ишмердүүлүгүнө маалыматтык коопсуздукту көзөмөлдөөнүн кайсынысы колдонуларын сүрөттөшү керек.
9. Маалыматтык коопсуздукту көзөмөлдөөнүн натыйжалуулугу кандайча өлчөнө тургандыгын аныктаңыз.
Ар кандай иш-аракет белгиленген максаттарды ишке ашырууга алып баруучу натыйжага ээ болушу керек. Ошондуктан, маалыматтык коопсуздукту башкаруунун бүткүл системасы боюнча да, Колдонуучулук Тиркемеден тандалган ар бир башкаруу механизми үчүн да максаттарга жетүү кандай параметрлер менен өлчөнө тургандыгын так аныктоо маанилүү.
10. Маалыматтык коопсуздукту көзөмөлдөөнү ишке ашыруу
Жана бардык мурунку кадамдарды аткаргандан кийин гана Колдонуу Тиркемесинде маалымат коопсуздугунун тиешелүү башкаруу элементтерин ишке ашыра башташыңыз керек. Бул жерде эң чоң көйгөй, албетте, уюмуңуздун көптөгөн процесстеринде иштерди жасоонун таптакыр жаңы ыкмасын киргизүү болот. Адамдар жаңы саясаттарга жана жол-жоболорго каршы турууга жакын, андыктан кийинки пунктка көңүл буруңуз.
11. Кызматкерлерди окутуу программаларын ишке ашыруу
Эгерде сиздин кызматкерлер долбоордун маанилүүлүгүн түшүнбөсө жана маалыматтык коопсуздук саясатына ылайык иш кылбаса, жогоруда айтылган пункттардын баары маанисиз болуп калат. Эгерде сиз кызматкерлериңиздин бардык жаңы эрежелерге баш ийүүсүн кааласаңыз, анда сиз адегенде адамдарга алардын эмне үчүн зарыл экенин түшүндүрүп, андан кийин кызматкерлер өздөрүнүн күнүмдүк ишинде эске алышы керек болгон бардык маанилүү саясаттарды көрсөтүү менен МБӨС боюнча тренинг өткөрүшүңүз керек. Кадрларды окутуунун жоктугу ISO 27001 долбоорунун ишке ашпай калышынын жалпы себеби болуп саналат.
12. АКБС процесстерин жүргүзүү
Бул учурда, ISO 27001 сиздин уюмуңузда күнүмдүк тартипке айланат. Стандартка ылайык маалыматтык коопсуздукту контролдоо чараларын ишке ашырууну ырастоо үчүн аудиторлор контролдун иш жүзүндөгү ишинин далили болгон жазууларды бериши керек. Бирок, баарынан да, жазуулар сиздин кызматкерлердин (жана берүүчүлөр) бекитилген эрежелерге ылайык өз милдеттерин аткарып жатканын көзөмөлдөөгө жардам бериши керек.
13. АКБСти көзөмөлдөңүз
Сиздин ISMS менен эмне болуп жатат? Сизде канча окуя бар, алар кандай? Бардык процедуралар туура аткарылабы? Бул суроолор менен, сиз компания маалыматтык коопсуздук максаттарына жетүү же жокпу, текшерүү керек. Болбосо, кырдаалды оңдоо планын иштеп чыгуу керек.
14. МБСтин ички аудитин жүргүзүү
Ички аудиттин максаты компаниядагы иш жүзүндөгү процесстер менен бекитилген маалыматтык коопсуздук саясаттарынын ортосундагы карама-каршылыктарды аныктоо болуп саналат. Көпчүлүк учурда, бул сиздин кызматкерлердин эрежелерди канчалык деңгээлде аткарып жатканын текшерүү. Бул абдан маанилүү жагдай, анткени сиз өзүңүздүн кызматкерлердин ишин көзөмөлдөбөсөңүз, уюм зыянга учурашы мүмкүн (атайылап же атайылап). Бирок бул жерде максат күнөөлүүлөрдү таап, саясатты сактабаганы үчүн аларды тартипке салуу эмес, кырдаалды оңдоо жана келечектеги көйгөйлөрдүн алдын алуу.
15. Жетекчиликтин кароосун уюштуруу
Жетекчилик сиздин брандмауэриңизди конфигурациялабашы керек, бирок алар АКБСте эмне болуп жатканын билиши керек: мисалы, ар бир адам өз милдеттерин аткарып жатабы жана АКБС өзүнүн максаттуу натыйжаларына жетип жатабы. Мунун негизинде жетекчилик МБС жана ички бизнес процесстерин жакшыртуу боюнча негизги чечимдерди кабыл алышы керек.
16. Түзөтүүчү жана алдын алуучу иш-аракеттердин системасын киргизүү
Ар кандай стандарт сыяктуу эле, ISO 27001 "үзгүлтүксүз өркүндөтүүнү" талап кылат: маалыматтык коопсуздукту башкаруу системасындагы карама-каршылыктарды системалуу оңдоо жана алдын алуу. Түзөтүүчү жана алдын алуучу иш-аракеттердин жардамы менен дал келбестикти оңдоого жана келечекте кайталанбоосуна жол бербөөгө болот.
Жыйынтыктап айтканда, чындыгында, сертификат алуу ар кандай булактарда айтылгандан алда канча кыйын экенин айткым келет. Бул Россияда бүгүн гана бар экендиги менен тастыкталат шайкештиги үчүн сертификатталган. Ошол эле учурда бул маалыматтык коопсуздук чөйрөсүндөгү бизнестин өсүп жаткан талаптарын канааттандырган чет өлкөлөрдө эң популярдуу стандарттардын бири. Ишке ашырууга болгон бул суроо-талап коркунучтардын түрлөрүнүн өсүшүнө жана татаалдыгына гана эмес, ошондой эле мыйзамдардын талаптарына, ошондой эле өз маалыматтарынын толук купуялуулугун сактоого муктаж болгон кардарларга байланыштуу.
АКМСти сертификациялоо оңой иш эмес экендигине карабастан, ISO/IEC 27001 эл аралык стандартынын талаптарына жооп берүү фактысынын өзү дүйнөлүк рынокто олуттуу атаандаштык артыкчылыкты камсыздай алат. Биздин макала компанияны сертификациялоого даярдоонун негизги этаптары жөнүндө алгачкы түшүнүктү берди деп үмүттөнөбүз.
Source: www.habr.com