MÅ«sdienÄs uzÅÄmumu informÄcijas droŔības (turpmÄk ā informÄcijas droŔība) jautÄjums ir viens no aktuÄlÄkajiem pasaulÄ. Un tas nav pÄrsteidzoÅ”i, jo daudzÄs valstÄ«s tiek izvirzÄ«tas stingrÄkas prasÄ«bas organizÄcijÄm, kas glabÄ un apstrÄdÄ personas datus. PaÅ”laik Krievijas tiesÄ«bu akti nosaka, ka ievÄrojama daļa dokumentu plÅ«smas ir jÄsaglabÄ papÄ«ra formÄ. TajÄ paÅ”Ä laikÄ ir jÅ«tama tendence uz digitalizÄciju: daudzi uzÅÄmumi jau tagad glabÄ lielu daudzumu konfidenciÄlas informÄcijas gan digitÄlÄ formÄtÄ, gan papÄ«ra dokumentu veidÄ.
SaskaÅÄ ar rezultÄtiem
Å obrÄ«d korporatÄ«vÄs informÄcijas droŔība nav tikai tehnisku lÄ«dzekļu, piemÄram, antivÄ«rusu vai ugunsmÅ«ru, kopums, tÄ jau ir integrÄta pieeja uzÅÄmuma aktÄ«vu apstrÄdei kopumÄ un jo Ä«paÅ”i informÄcijai. UzÅÄmumi Ŕīm problÄmÄm pieiet atŔķirÄ«gi. Å odien mÄs vÄlÄtos runÄt par starptautiskÄ standarta ISO 27001 ievieÅ”anu kÄ Å”Ädas problÄmas risinÄjumu. UzÅÄmumiem Krievijas tirgÅ« Å”Äda sertifikÄta klÄtbÅ«tne vienkÄrÅ”o mijiedarbÄ«bu ar Ärvalstu klientiem un partneriem, kuriem Å”ajÄ jautÄjumÄ ir augstas prasÄ«bas. ISO 27001 tiek plaÅ”i izmantots Rietumos un aptver prasÄ«bas informÄcijas droŔības jomÄ, kas bÅ«tu jÄattiecina ar izmantotajiem tehniskajiem risinÄjumiem, kÄ arÄ« jÄveicina biznesa procesu attÄ«stÄ«ba. TÄdÄjÄdi Å”is standarts var kļūt par jÅ«su konkurences priekÅ”rocÄ«bu un kontaktpunktu ar Ärvalstu uzÅÄmumiem.
Å Ä« InformÄcijas droŔības pÄrvaldÄ«bas sistÄmas (turpmÄk ā ISMS) sertifikÄcija apkopoja ISMS projektÄÅ”anas labÄko praksi un, kas bÅ«tiski, paredzÄja iespÄju izvÄlÄties kontroles rÄ«kus, lai nodroÅ”inÄtu sistÄmas darbÄ«bu, prasÄ«bas tehnoloÄ£iskÄs droŔības atbalstam un pat. personÄla vadÄ«bas procesam uzÅÄmumÄ. Galu galÄ ir jÄsaprot, ka tehniskas kļūmes ir tikai daļa no problÄmas. InformÄcijas droŔības jautÄjumos milzÄ«ga loma ir cilvÄciskajam faktoram, un to novÄrst vai samazinÄt ir daudz grÅ«tÄk.
Ja jÅ«su uzÅÄmums vÄlas iegÅ«t ISO 27001 sertifikÄtu, iespÄjams, jau esat mÄÄ£inÄjis atrast vienkÄrÅ”u veidu, kÄ to izdarÄ«t. Mums nÄkas jÅ«s pievilt: Å”eit nav vienkÄrÅ”u ceļu. TomÄr ir daži soļi, kas palÄ«dzÄs sagatavot organizÄciju starptautiskajÄm informÄcijas droŔības prasÄ«bÄm:
1. SaÅemiet atbalstu no vadÄ«bas
Jums var Ŕķist, ka tas ir acÄ«mredzami, taÄu praksÄ Å”is punkts bieži tiek ignorÄts. TurklÄt tas ir viens no galvenajiem iemesliem, kÄpÄc ISO 27001 ievieÅ”anas projekti bieži neizdodas. Neizprotot standarta ievieÅ”anas projekta nozÄ«mi, vadÄ«ba nenodroÅ”inÄs ne pietiekamus cilvÄkresursus, ne pietiekamu budžetu sertifikÄcijai.
2. IzstrÄdÄt sertifikÄcijas sagatavoÅ”anas plÄnu
GatavoÅ”anÄs ISO 27001 sertifikÄcijai ir sarežģīts uzdevums, kas ietver daudz dažÄdu darbu, prasa liela cilvÄku skaita iesaisti un var ilgt vairÄkus mÄneÅ”us (vai pat gadus). TÄpÄc ļoti svarÄ«gi ir izveidot detalizÄtu projekta plÄnu: atvÄlÄt resursus, laiku un cilvÄku iesaisti strikti definÄtu uzdevumu veikÅ”anai un uzraudzÄ«t termiÅu ievÄroÅ”anu ā pretÄjÄ gadÄ«jumÄ darbus var arÄ« nepabeigt.
3. DefinÄjiet sertifikÄcijas perimetru
Ja jums ir liela organizÄcija ar daudzveidÄ«gÄm aktivitÄtÄm, iespÄjams, ir lietderÄ«gi sertificÄt tikai daļu uzÅÄmuma uzÅÄmÄjdarbÄ«bas atbilstoÅ”i ISO 27001, kas ievÄrojami samazinÄs jÅ«su projekta risku, kÄ arÄ« tÄ laiku un izmaksas.
4. IzstrÄdÄt informÄcijas droŔības politiku
Viens no svarÄ«gÄkajiem dokumentiem ir uzÅÄmuma InformÄcijas droŔības politika. Tam jÄatspoguļo jÅ«su uzÅÄmuma informÄcijas droŔības mÄrÄ·i un informÄcijas droŔības pÄrvaldÄ«bas pamatprincipi, kas jÄievÄro visiem darbiniekiem. Å Ä« dokumenta mÄrÄ·is ir noteikt, ko uzÅÄmuma vadÄ«ba vÄlas panÄkt informÄcijas droŔības jomÄ, kÄ arÄ« kÄ tas tiks Ä«stenots un kontrolÄts.
5. DefinÄt riska novÄrtÄÅ”anas metodoloÄ£iju
Viens no grÅ«tÄkajiem uzdevumiem ir risku novÄrtÄÅ”anas un pÄrvaldÄ«bas noteikumu noteikÅ”ana. Ir svarÄ«gi saprast, kÄdus riskus uzÅÄmums var uzskatÄ«t par pieÅemamiem un kuriem nepiecieÅ”ama tÅ«lÄ«tÄja rÄ«cÄ«ba, lai tos samazinÄtu. Bez Å”iem noteikumiem ISMS nedarbosies.
TajÄ paÅ”Ä laikÄ ir vÄrts atcerÄties veikto pasÄkumu atbilstÄ«bu risku samazinÄÅ”anai. Bet jums nevajadzÄtu pÄrÄk aizrauties ar optimizÄcijas procesu, jo tas arÄ« prasa lielas laika vai finansiÄlas izmaksas vai var bÅ«t vienkÄrÅ”i neiespÄjams. MÄs iesakÄm, izstrÄdÄjot riska samazinÄÅ”anas pasÄkumus, izmantot āminimÄlÄs pietiekamÄ«basā principu.
6. PÄrvaldÄ«t riskus saskaÅÄ ar apstiprinÄtu metodiku
NÄkamais posms ir risku vadÄ«bas metodoloÄ£ijas konsekventa pielietoÅ”ana, tas ir, to novÄrtÄÅ”ana un apstrÄde. Å is process jÄveic regulÄri ar lielu rÅ«pÄ«bu. Atjauninot informÄcijas droŔības risku reÄ£istru, varÄsiet efektÄ«vi sadalÄ«t uzÅÄmuma resursus un novÄrst nopietnus incidentus.
7. PlÄnojiet riska ÄrstÄÅ”anu
Riski, kas pÄrsniedz jÅ«su uzÅÄmumam pieÅemamo lÄ«meni, ir jÄiekļauj riska ÄrstÄÅ”anas plÄnÄ. TajÄ jÄreÄ£istrÄ darbÄ«bas, kuru mÄrÄ·is ir samazinÄt riskus, kÄ arÄ« par tÄm atbildÄ«gÄs personas un termiÅi.
8. Aizpildiet paziÅojumu par piemÄrojamÄ«bu
Å is ir galvenais dokuments, kuru audita laikÄ izpÄtÄ«s sertifikÄcijas institÅ«cijas speciÄlisti. TajÄ jÄapraksta, kuras informÄcijas droŔības kontroles attiecas uz jÅ«su uzÅÄmuma darbÄ«bÄm.
9. Noteikt, kÄ tiks mÄrÄ«ta informÄcijas droŔības kontroles efektivitÄte.
Jebkurai darbÄ«bai ir jÄbÅ«t rezultÄtam, kas noved pie izvirzÄ«to mÄrÄ·u sasniegÅ”anas. TÄpÄc ir svarÄ«gi skaidri definÄt, pÄc kÄdiem parametriem tiks mÄrÄ«ta mÄrÄ·u sasniegÅ”ana gan visai informÄcijas droŔības pÄrvaldÄ«bas sistÄmai, gan katram izvÄlÄtajam kontroles mehÄnismam no PiemÄrojamÄ«bas pielikuma.
10. Ieviest informÄcijas droŔības kontroles
Un tikai pÄc visu iepriekÅ”Äjo darbÄ«bu veikÅ”anas jÄsÄk ieviest piemÄrojamÄs informÄcijas droŔības vadÄ«klas no PiemÄrojamÄ«bas pielikuma. LielÄkais izaicinÄjums Å”eit, protams, bÅ«s ieviest pilnÄ«gi jaunu veidu, kÄ rÄ«koties daudzos jÅ«su organizÄcijas procesos. CilvÄki mÄdz pretoties jaunÄm politikÄm un procedÅ«rÄm, tÄpÄc pievÄrsiet uzmanÄ«bu nÄkamajam punktam.
11. ÄŖstenot darbinieku apmÄcÄ«bu programmas
Visi iepriekÅ” aprakstÄ«tie punkti bÅ«s bezjÄdzÄ«gi, ja jÅ«su darbinieki neizpratÄ«s projekta nozÄ«mi un nerÄ«kosies saskaÅÄ ar informÄcijas droŔības politikÄm. Ja vÄlaties, lai jÅ«su darbinieki ievÄrotu visus jaunos noteikumus, vispirms ir jÄpaskaidro cilvÄkiem, kÄpÄc tie ir nepiecieÅ”ami, un pÄc tam jÄnodroÅ”ina apmÄcÄ«ba par ISMS, izceļot visas svarÄ«gÄs politikas, kas darbiniekiem jÄÅem vÄrÄ savÄ ikdienas darbÄ. PersonÄla apmÄcÄ«bas trÅ«kums ir izplatÄ«ts ISO 27001 projekta neveiksmes iemesls.
12. UzturÄt ISMS procesus
Å ajÄ brÄ«dÄ« ISO 27001 kļūst par ikdienas rutÄ«nu jÅ«su organizÄcijÄ. Lai apstiprinÄtu informÄcijas droŔības kontroles ievieÅ”anu atbilstoÅ”i standartam, auditoriem bÅ«s jÄnodroÅ”ina ieraksti ā pierÄdÄ«jumi par kontroļu faktisko darbÄ«bu. Bet galvenokÄrt ierakstiem vajadzÄtu palÄ«dzÄt jums izsekot, vai jÅ«su darbinieki (un piegÄdÄtÄji) veic savus uzdevumus saskaÅÄ ar apstiprinÄtajiem noteikumiem.
13. PÄrraugiet savu ISMS
Kas notiek ar jÅ«su ISMS? Cik daudz incidentu jums ir, kÄda veida tie ir? Vai visas procedÅ«ras tiek ievÄrotas pareizi? Uzdodot Å”os jautÄjumus, jums vajadzÄtu pÄrbaudÄ«t, vai uzÅÄmums atbilst informÄcijas droŔības mÄrÄ·iem. Ja nÄ, jums ir jÄizstrÄdÄ plÄns situÄcijas laboÅ”anai.
14. Veikt iekÅ”Äjo ISMS auditu
IekÅ”ÄjÄ audita mÄrÄ·is ir konstatÄt neatbilstÄ«bas starp faktiskajiem procesiem uzÅÄmumÄ un apstiprinÄtajÄm informÄcijas droŔības politikÄm. LielÄkoties tÄ ir pÄrbaude, lai noskaidrotu, cik labi jÅ«su darbinieki ievÄro noteikumus. Tas ir ļoti svarÄ«gs punkts, jo, ja jÅ«s nekontrolÄjat sava personÄla darbu, organizÄcija var ciest (tÄ«Å”i vai netÄ«Å”i). Bet mÄrÄ·is Å”eit nav atrast vainÄ«gos un disciplinÄt tos par politikas neievÄroÅ”anu, bet gan labot situÄciju un novÄrst turpmÄkÄs problÄmas.
15. OrganizÄt vadÄ«bas pÄrbaudi
VadÄ«bai nevajadzÄtu konfigurÄt jÅ«su ugunsmÅ«ri, bet viÅiem ir jÄzina, kas notiek ISMS: piemÄram, vai visi pilda savus pienÄkumus un vai ISMS sasniedz savus mÄrÄ·us. Pamatojoties uz to, vadÄ«bai ir jÄpieÅem galvenie lÄmumi, lai uzlabotu ISMS un iekÅ”Äjos biznesa procesus.
16. Ieviest korektÄ«vo un preventÄ«vo darbÄ«bu sistÄmu
TÄpat kÄ jebkurÅ” standarts, ISO 27001 prasa "nepÄrtrauktu uzlabojumu": sistemÄtisku informÄcijas droŔības pÄrvaldÄ«bas sistÄmas neatbilstÄ«bu laboÅ”anu un novÄrÅ”anu. Veicot koriÄ£ÄjoÅ”as un preventÄ«vas darbÄ«bas, neatbilstÄ«bu var novÄrst un novÄrst tÄs atkÄrtoÅ”anos nÄkotnÄ.
NobeigumÄ vÄlos teikt, ka patiesÄ«bÄ iegÅ«t sertifikÄtu ir daudz grÅ«tÄk, nekÄ aprakstÄ«ts dažÄdos avotos. To apstiprina fakts, ka KrievijÄ Å”odien ir tikai
Neskatoties uz to, ka ISMS sertifikÄcija nav viegls uzdevums, pats starptautiskÄ standarta ISO/IEC 27001 prasÄ«bu izpildes fakts var nodroÅ”inÄt nopietnu konkurences priekÅ”rocÄ«bu globÄlajÄ tirgÅ«. MÄs ceram, ka mÅ«su raksts ir sniedzis sÄkotnÄjo izpratni par uzÅÄmuma sagatavoÅ”anas sertifikÄcijai galvenajiem posmiem.
Avots: www.habr.com