Šiandien įmonių informacijos saugumo (toliau – informacijos saugumas) problema yra viena aktualiausių pasaulyje. Ir tai nenuostabu, nes daugelyje šalių griežtinami reikalavimai organizacijoms, kurios kaupia ir tvarko asmens duomenis. Šiuo metu Rusijos teisės aktai reikalauja išlaikyti didelę dokumentų srauto dalį popierine forma. Kartu pastebima ir skaitmeninimo tendencija: daugelis įmonių jau dabar saugo didelį kiekį konfidencialios informacijos tiek skaitmeniniu formatu, tiek popierinių dokumentų pavidalu.
Pagal rezultatus Antikenkėjiškų programų analizės centras, 86% respondentų pažymėjo, kad per metus bent kartą teko spręsti incidentus po kibernetinių atakų arba dėl naudotojų nustatytų taisyklių pažeidimų. Šiuo atžvilgiu pirmenybę teikti informacijos saugumui versle tapo būtinybe.
Šiuo metu įmonės informacijos saugumas yra ne tik techninių priemonių, tokių kaip antivirusinės programos ar ugniasienės, rinkinys, tai jau integruotas požiūris į įmonės turto tvarkymą apskritai ir ypač informaciją. Įmonės skirtingai sprendžia šias problemas. Šiandien norėtume pakalbėti apie tarptautinio standarto ISO 27001 įgyvendinimą kaip tokios problemos sprendimą. Rusijos rinkoje esančioms įmonėms tokio sertifikato buvimas supaprastina bendravimą su užsienio klientais ir partneriais, kuriems keliami aukšti reikalavimai šiuo klausimu. ISO 27001 plačiai naudojamas Vakaruose ir apima informacijos saugumo srities reikalavimus, kuriuos turėtų apimti naudojami techniniai sprendimai, taip pat prisidėti prie verslo procesų plėtros. Taigi šis standartas gali tapti Jūsų konkurenciniu pranašumu ir kontaktiniu tašku su užsienio kompanijomis.
Šis Informacijos saugumo valdymo sistemos (toliau – ISVS) sertifikavimas surinko geriausią ISMS projektavimo praktiką ir, kas svarbu, numatė galimybę pasirinkti valdymo įrankius, užtikrinančius sistemos funkcionavimą, reikalavimus technologinės saugos palaikymui ir net. personalo valdymo procesui įmonėje. Juk reikia suprasti, kad techniniai gedimai yra tik dalis problemos. Informacijos saugumo reikaluose žmogiškasis faktorius vaidina didžiulį vaidmenį, kurį pašalinti ar sumažinti yra daug sunkiau.
Jei jūsų įmonė nori gauti ISO 27001 sertifikatą, galbūt jau bandėte rasti lengvą būdą tai padaryti. Turime jus nuvilti: čia nėra lengvų būdų. Tačiau yra tam tikrų veiksmų, kurie padės paruošti organizaciją tarptautiniams informacijos saugumo reikalavimams:
1. Gaukite paramos iš vadovybės
Galbūt manote, kad tai akivaizdu, tačiau praktikoje šis punktas dažnai nepaisomas. Be to, tai yra viena iš pagrindinių priežasčių, kodėl ISO 27001 diegimo projektai dažnai žlunga. Nesuprasdama standartinio įgyvendinimo projekto reikšmės, vadovybė nesuteiks nei pakankamai žmogiškųjų išteklių, nei pakankamai biudžeto sertifikavimui.
2. Sukurkite sertifikavimo rengimo planą
Pasirengimas ISO 27001 sertifikavimui yra sudėtinga užduotis, apimanti daugybę skirtingų darbų, reikalaujanti daugybės žmonių ir gali užtrukti daug mėnesių (ar net metų). Todėl labai svarbu susikurti detalų projekto planą: skirti resursus, laiką ir žmonių įsitraukimą griežtai apibrėžtoms užduotims atlikti bei stebėti terminų laikymąsi – antraip darbų galite niekada nebaigti.
3. Apibrėžkite sertifikavimo perimetrą
Jei turite didelę organizaciją su įvairia veikla, gali būti tikslinga sertifikuoti tik dalį įmonės veiklos pagal ISO 27001, o tai žymiai sumažins jūsų projekto riziką, taip pat laiką ir išlaidas.
4. Sukurti informacijos saugumo politiką
Vienas iš svarbiausių dokumentų – įmonės Informacijos saugumo politika. Ji turėtų atspindėti Jūsų įmonės informacijos saugumo tikslus ir pagrindinius informacijos saugumo valdymo principus, kurių privalo laikytis visi darbuotojai. Šio dokumento tikslas – nustatyti, ko įmonės vadovybė nori pasiekti informacijos saugumo srityje, taip pat kaip tai bus įgyvendinama ir kontroliuojama.
5. Apibrėžkite rizikos vertinimo metodiką
Viena iš sunkiausių užduočių – nustatyti rizikos vertinimo ir valdymo taisykles. Svarbu suprasti, kokią riziką įmonė gali laikyti priimtina ir kuriai reikia nedelsiant imtis veiksmų jai sumažinti. Be šių taisyklių ISMS neveiks.
Kartu verta prisiminti priemonių, kurių imtasi rizikai sumažinti, tinkamumą. Tačiau neturėtumėte pernelyg įsitraukti į optimizavimo procesą, nes jie taip pat reikalauja didelių laiko ar finansinių išlaidų arba gali būti tiesiog neįmanomi. Rekomenduojame kuriant rizikos mažinimo priemones vadovautis „minimalaus pakankamumo“ principu.
6. Valdykite riziką pagal patvirtintą metodiką
Kitas etapas – nuoseklus rizikos valdymo metodikos taikymas, tai yra jų įvertinimas ir apdorojimas. Ši procedūra turi būti atliekama reguliariai, labai atsargiai. Nuolat atnaujindami informacijos saugumo rizikos registrą galėsite efektyviai paskirstyti įmonės resursus ir užkirsti kelią rimtiems incidentams.
7. Suplanuokite rizikos gydymą
Rizika, kuri viršija jūsų įmonei priimtiną lygį, turi būti įtraukta į rizikos valdymo planą. Jame turėtų būti fiksuojami veiksmai, kuriais siekiama sumažinti riziką, taip pat už juos atsakingi asmenys ir terminai.
8. Užpildykite pareiškimą dėl taikymo
Tai pagrindinis dokumentas, kurį audito metu išnagrinės sertifikavimo įstaigos specialistai. Jame turėtų būti aprašyta, kokios informacijos saugumo kontrolės priemonės taikomos jūsų įmonės veiklai.
9. Nustatyti, kaip bus matuojamas informacijos saugumo kontrolės efektyvumas.
Bet koks veiksmas turi turėti rezultatą, leidžiantį pasiekti užsibrėžtus tikslus. Todėl svarbu aiškiai apibrėžti, kokiais parametrais bus matuojamas tikslų pasiekimas tiek visai informacijos saugumo valdymo sistemai, tiek kiekvienam pasirinktam valdymo mechanizmui iš Pritaikomumo priedo.
10. Įdiegti informacijos saugumo kontrolę
Ir tik atlikę visus ankstesnius veiksmus turėtumėte pradėti diegti taikomus informacijos saugos valdiklius iš Pritaikomumo priedo. Žinoma, didžiausias iššūkis čia bus įdiegti visiškai naują būdą, kaip atlikti veiksmus daugelyje jūsų organizacijos procesų. Žmonės linkę priešintis naujoms strategijoms ir procedūroms, todėl atkreipkite dėmesį į kitą dalyką.
11. Įgyvendinti darbuotojų mokymo programas
Visi aukščiau aprašyti punktai neteks prasmės, jei jūsų darbuotojai nesupras projekto svarbos ir nesielgs pagal informacijos saugumo politiką. Jei norite, kad jūsų darbuotojai laikytųsi visų naujų taisyklių, pirmiausia turite paaiškinti žmonėms, kodėl jos reikalingos, o tada surengti mokymus apie ISMS, išryškinant visas svarbias politikos kryptis, į kurias darbuotojai turi atsižvelgti savo kasdieniame darbe. Darbuotojų mokymo trūkumas yra dažna ISO 27001 projekto nesėkmės priežastis.
12. Prižiūrėti ISMS procesus
Šiuo metu ISO 27001 tampa jūsų organizacijos kasdienybe. Norėdami patvirtinti informacijos saugumo kontrolės įgyvendinimą pagal standartą, auditoriai turės pateikti įrašus – įrodymus apie faktinį kontrolės priemonių veikimą. Tačiau visų pirma įrašai turėtų padėti stebėti, ar jūsų darbuotojai (ir tiekėjai) atlieka savo užduotis pagal patvirtintas taisykles.
13. Stebėkite savo ISMS
Kas vyksta su jūsų ISMS? Kiek incidentų turite, kokio tipo jie yra? Ar tinkamai laikomasi visų procedūrų? Atsakydami į šiuos klausimus turėtumėte patikrinti, ar įmonė atitinka informacijos saugumo tikslus. Jei ne, turite parengti planą, kaip ištaisyti situaciją.
14. Atlikti vidinį ISMS auditą
Vidaus audito tikslas – nustatyti neatitikimus tarp faktinių procesų įmonėje ir patvirtintų informacijos saugumo strategijų. Dažniausiai tai yra tikrinimas, ar jūsų darbuotojai laikosi taisyklių. Tai labai svarbus momentas, nes jei nekontroliuosite savo personalo darbo, organizacija gali patirti žalą (tyčia ar netyčia). Tačiau čia siekiama ne surasti kaltininkus ir nubausti juos už politikos nesilaikymą, o ištaisyti situaciją ir užkirsti kelią būsimoms problemoms.
15. Organizuoti vadovybės peržiūrą
Vadovybė neturėtų konfigūruoti jūsų užkardos, bet turėtų žinoti, kas vyksta ISMS: pavyzdžiui, ar visi vykdo savo įsipareigojimus ir ar ISMS pasiekia užsibrėžtų rezultatų. Remdamasi tuo, vadovybė turi priimti pagrindinius sprendimus, kad pagerintų ISMS ir vidinius verslo procesus.
16. Įdiegti korekcinių ir prevencinių veiksmų sistemą
Kaip ir bet kuris standartas, ISO 27001 reikalauja „nuolatinio tobulinimo“: sistemingo informacijos saugumo valdymo sistemos neatitikimų taisymo ir prevencijos. Atliekant korekcinius ir prevencinius veiksmus, neatitikimas gali būti ištaisytas ir išvengta pasikartojimo ateityje.
Baigdamas norėčiau pasakyti, kad iš tikrųjų gauti sertifikatą yra daug sunkiau, nei aprašyta įvairiuose šaltiniuose. Tai patvirtina faktas, kad šiandien Rusijoje jų yra tik buvo sertifikuoti dėl atitikties. Kartu tai vienas populiariausių standartų užsienyje, atitinkantis augančius verslo poreikius informacijos saugumo srityje. Tokį diegimo poreikį lemia ne tik grėsmių rūšių augimas ir sudėtingumas, bet ir teisės aktų reikalavimai, taip pat klientai, kuriems reikia išlaikyti visišką savo duomenų konfidencialumą.
Nepaisant to, kad ISMS sertifikavimas nėra lengva užduotis, pats tarptautinio standarto ISO/IEC 27001 reikalavimų atitikimas gali suteikti rimtą konkurencinį pranašumą pasaulinėje rinkoje. Tikimės, kad mūsų straipsnis suteikė pirminį supratimą apie pagrindinius įmonės parengimo sertifikavimui etapus.
Šaltinis: www.habr.com