Kā ieviest ISO 27001: lietošanas instrukcijas

Mūsdienās uzņēmumu informācijas drošības (turpmāk – informācijas drošība) jautājums ir viens no aktuālākajiem pasaulē. Un tas nav pārsteidzoši, jo daudzās valstīs tiek izvirzītas stingrākas prasības organizācijām, kas glabā un apstrādā personas datus. Pašlaik Krievijas tiesību akti nosaka, ka ievērojama daļa dokumentu plūsmas ir jāsaglabā papīra formā. Tajā pašā laikā ir jūtama tendence uz digitalizāciju: daudzi uzņēmumi jau tagad glabā lielu daudzumu konfidenciālas informācijas gan digitālā formātā, gan papīra dokumentu veidā.

Saskaņā ar rezultātiem aptauja Anti-ļaundabīgo programmu analītiskais centrs, 86% aptaujāto atzīmēja, ka gada laikā vismaz reizi nācies risināt incidentus pēc kiberuzbrukumiem vai lietotāju noteikto noteikumu pārkāpumu rezultātā. Šajā sakarā informācijas drošības prioritātes noteikšana uzņēmējdarbībā ir kļuvusi par nepieciešamību.

Šobrīd korporatīvās informācijas drošība nav tikai tehnisku līdzekļu, piemēram, antivīrusu vai ugunsmūru, kopums, tā jau ir integrēta pieeja uzņēmuma aktīvu apstrādei kopumā un jo īpaši informācijai. Uzņēmumi šīm problēmām pieiet atšķirīgi. Šodien mēs vēlētos runāt par starptautiskā standarta ISO 27001 ieviešanu kā šādas problēmas risinājumu. Uzņēmumiem Krievijas tirgū šāda sertifikāta klātbūtne vienkāršo mijiedarbību ar ārvalstu klientiem un partneriem, kuriem šajā jautājumā ir augstas prasības. ISO 27001 tiek plaši izmantots Rietumos un aptver prasības informācijas drošības jomā, kas būtu jāattiecina ar izmantotajiem tehniskajiem risinājumiem, kā arī jāveicina biznesa procesu attīstība. Tādējādi šis standarts var kļūt par jūsu konkurences priekšrocību un kontaktpunktu ar ārvalstu uzņēmumiem.

Šī Informācijas drošības pārvaldības sistēmas (turpmāk – ISMS) sertifikācija apkopoja ISMS projektēšanas labāko praksi un, kas būtiski, paredzēja iespēju izvēlēties kontroles rīkus, lai nodrošinātu sistēmas darbību, prasības tehnoloģiskās drošības atbalstam un pat. personāla vadības procesam uzņēmumā. Galu galā ir jāsaprot, ka tehniskas kļūmes ir tikai daļa no problēmas. Informācijas drošības jautājumos milzīga loma ir cilvēciskajam faktoram, un to novērst vai samazināt ir daudz grūtāk.

Ja jūsu uzņēmums vēlas iegūt ISO 27001 sertifikātu, iespējams, jau esat mēģinājis atrast vienkāršu veidu, kā to izdarīt. Mums nākas jūs pievilt: šeit nav vienkāršu ceļu. Tomēr ir daži soļi, kas palīdzēs sagatavot organizāciju starptautiskajām informācijas drošības prasībām:

1. Saņemiet atbalstu no vadības

Jums var šķist, ka tas ir acīmredzami, taču praksē šis punkts bieži tiek ignorēts. Turklāt tas ir viens no galvenajiem iemesliem, kāpēc ISO 27001 ieviešanas projekti bieži neizdodas. Neizprotot standarta ieviešanas projekta nozīmi, vadība nenodrošinās ne pietiekamus cilvēkresursus, ne pietiekamu budžetu sertifikācijai.

2. Izstrādāt sertifikācijas sagatavošanas plānu

Gatavošanās ISO 27001 sertifikācijai ir sarežģīts uzdevums, kas ietver daudz dažādu darbu, prasa liela cilvēku skaita iesaisti un var ilgt vairākus mēnešus (vai pat gadus). Tāpēc ļoti svarīgi ir izveidot detalizētu projekta plānu: atvēlēt resursus, laiku un cilvēku iesaisti strikti definētu uzdevumu veikšanai un uzraudzīt termiņu ievērošanu – pretējā gadījumā darbus var arī nepabeigt.

3. Definējiet sertifikācijas perimetru

Ja jums ir liela organizācija ar daudzveidīgām aktivitātēm, iespējams, ir lietderīgi sertificēt tikai daļu uzņēmuma uzņēmējdarbības atbilstoši ISO 27001, kas ievērojami samazinās jūsu projekta risku, kā arī tā laiku un izmaksas.

4. Izstrādāt informācijas drošības politiku

Viens no svarīgākajiem dokumentiem ir uzņēmuma Informācijas drošības politika. Tam jāatspoguļo jūsu uzņēmuma informācijas drošības mērķi un informācijas drošības pārvaldības pamatprincipi, kas jāievēro visiem darbiniekiem. Šī dokumenta mērķis ir noteikt, ko uzņēmuma vadība vēlas panākt informācijas drošības jomā, kā arī kā tas tiks īstenots un kontrolēts.

5. Definēt riska novērtēšanas metodoloģiju

Viens no grūtākajiem uzdevumiem ir risku novērtēšanas un pārvaldības noteikumu noteikšana. Ir svarīgi saprast, kādus riskus uzņēmums var uzskatīt par pieņemamiem un kuriem nepieciešama tūlītēja rīcība, lai tos samazinātu. Bez šiem noteikumiem ISMS nedarbosies.
Tajā pašā laikā ir vērts atcerēties veikto pasākumu atbilstību risku samazināšanai. Bet jums nevajadzētu pārāk aizrauties ar optimizācijas procesu, jo tas arī prasa lielas laika vai finansiālas izmaksas vai var būt vienkārši neiespējams. Mēs iesakām, izstrādājot riska samazināšanas pasākumus, izmantot “minimālās pietiekamības” principu.

6. Pārvaldīt riskus saskaņā ar apstiprinātu metodiku

Nākamais posms ir risku vadības metodoloģijas konsekventa pielietošana, tas ir, to novērtēšana un apstrāde. Šis process jāveic regulāri ar lielu rūpību. Atjauninot informācijas drošības risku reģistru, varēsiet efektīvi sadalīt uzņēmuma resursus un novērst nopietnus incidentus.

7. Plānojiet riska ārstēšanu

Riski, kas pārsniedz jūsu uzņēmumam pieņemamo līmeni, ir jāiekļauj riska ārstēšanas plānā. Tajā jāreģistrē darbības, kuru mērķis ir samazināt riskus, kā arī par tām atbildīgās personas un termiņi.

8. Aizpildiet paziņojumu par piemērojamību

Šis ir galvenais dokuments, kuru audita laikā izpētīs sertifikācijas institūcijas speciālisti. Tajā jāapraksta, kuras informācijas drošības kontroles attiecas uz jūsu uzņēmuma darbībām.

9. Noteikt, kā tiks mērīta informācijas drošības kontroles efektivitāte.

Jebkurai darbībai ir jābūt rezultātam, kas noved pie izvirzīto mērķu sasniegšanas. Tāpēc ir svarīgi skaidri definēt, pēc kādiem parametriem tiks mērīta mērķu sasniegšana gan visai informācijas drošības pārvaldības sistēmai, gan katram izvēlētajam kontroles mehānismam no Piemērojamības pielikuma.

10. Ieviest informācijas drošības kontroles

Un tikai pēc visu iepriekšējo darbību veikšanas jāsāk ieviest piemērojamās informācijas drošības vadīklas no Piemērojamības pielikuma. Lielākais izaicinājums šeit, protams, būs ieviest pilnīgi jaunu veidu, kā rīkoties daudzos jūsu organizācijas procesos. Cilvēki mēdz pretoties jaunām politikām un procedūrām, tāpēc pievērsiet uzmanību nākamajam punktam.

11. Īstenot darbinieku apmācību programmas

Visi iepriekš aprakstītie punkti būs bezjēdzīgi, ja jūsu darbinieki neizpratīs projekta nozīmi un nerīkosies saskaņā ar informācijas drošības politikām. Ja vēlaties, lai jūsu darbinieki ievērotu visus jaunos noteikumus, vispirms ir jāpaskaidro cilvēkiem, kāpēc tie ir nepieciešami, un pēc tam jānodrošina apmācība par ISMS, izceļot visas svarīgās politikas, kas darbiniekiem jāņem vērā savā ikdienas darbā. Personāla apmācības trūkums ir izplatīts ISO 27001 projekta neveiksmes iemesls.

12. Uzturēt ISMS procesus

Šajā brīdī ISO 27001 kļūst par ikdienas rutīnu jūsu organizācijā. Lai apstiprinātu informācijas drošības kontroles ieviešanu atbilstoši standartam, auditoriem būs jānodrošina ieraksti – pierādījumi par kontroļu faktisko darbību. Bet galvenokārt ierakstiem vajadzētu palīdzēt jums izsekot, vai jūsu darbinieki (un piegādātāji) veic savus uzdevumus saskaņā ar apstiprinātajiem noteikumiem.

13. Pārraugiet savu ISMS

Kas notiek ar jūsu ISMS? Cik daudz incidentu jums ir, kāda veida tie ir? Vai visas procedūras tiek ievērotas pareizi? Uzdodot šos jautājumus, jums vajadzētu pārbaudīt, vai uzņēmums atbilst informācijas drošības mērķiem. Ja nē, jums ir jāizstrādā plāns situācijas labošanai.

14. Veikt iekšējo ISMS auditu

Iekšējā audita mērķis ir konstatēt neatbilstības starp faktiskajiem procesiem uzņēmumā un apstiprinātajām informācijas drošības politikām. Lielākoties tā ir pārbaude, lai noskaidrotu, cik labi jūsu darbinieki ievēro noteikumus. Tas ir ļoti svarīgs punkts, jo, ja jūs nekontrolējat sava personāla darbu, organizācija var ciest (tīši vai netīši). Bet mērķis šeit nav atrast vainīgos un disciplinēt tos par politikas neievērošanu, bet gan labot situāciju un novērst turpmākās problēmas.

15. Organizēt vadības pārbaudi

Vadībai nevajadzētu konfigurēt jūsu ugunsmūri, bet viņiem ir jāzina, kas notiek ISMS: piemēram, vai visi pilda savus pienākumus un vai ISMS sasniedz savus mērķus. Pamatojoties uz to, vadībai ir jāpieņem galvenie lēmumi, lai uzlabotu ISMS un iekšējos biznesa procesus.

16. Ieviest korektīvo un preventīvo darbību sistēmu

Tāpat kā jebkurš standarts, ISO 27001 prasa "nepārtrauktu uzlabojumu": sistemātisku informācijas drošības pārvaldības sistēmas neatbilstību labošanu un novēršanu. Veicot koriģējošas un preventīvas darbības, neatbilstību var novērst un novērst tās atkārtošanos nākotnē.

Nobeigumā vēlos teikt, ka patiesībā iegūt sertifikātu ir daudz grūtāk, nekā aprakstīts dažādos avotos. To apstiprina fakts, ka Krievijā šodien ir tikai 78 uzņēmumi ir sertificēti par atbilstību. Vienlaikus šis ir viens no populārākajiem standartiem ārvalstīs, kas atbilst biznesa augošajām prasībām informācijas drošības jomā. Šāds pieprasījums pēc ieviešanas ir saistīts ne tikai ar draudu veidu pieaugumu un sarežģītību, bet arī ar likumdošanas prasībām, kā arī klientiem, kuriem ir jāsaglabā pilnīga savu datu konfidencialitāte.

Neskatoties uz to, ka ISMS sertifikācija nav viegls uzdevums, pats starptautiskā standarta ISO/IEC 27001 prasību izpildes fakts var nodrošināt nopietnu konkurences priekšrocību globālajā tirgū. Mēs ceram, ka mūsu raksts ir sniedzis sākotnējo izpratni par uzņēmuma sagatavošanas sertifikācijai galvenajiem posmiem.

Avots: www.habr.com