Өнөөдөр компаниудын мэдээллийн аюулгүй байдлын (цаашид мэдээллийн аюулгүй байдал гэх) асуудал дэлхийн хэмжээнд тулгамдсан асуудлын нэг болоод байна. Энэ нь гайхах зүйл биш юм, учир нь олон оронд хувийн мэдээллийг хадгалж, боловсруулдаг байгууллагуудад тавигдах шаардлагыг чангатгадаг. Одоогийн байдлаар Оросын хууль тогтоомж нь баримт бичгийн урсгалын ихээхэн хэсгийг цаасан хэлбэрээр хадгалахыг шаарддаг. Үүний зэрэгцээ дижитал хэлбэрт шилжих хандлага ажиглагдаж байна: олон компаниуд аль хэдийн тоон формат болон цаасан баримт хэлбэрээр их хэмжээний нууц мэдээллийг хадгалдаг.
Үр дүнгийн дагуу Судалгаанд хамрагдагсдын 86% нь жилийн хугацаанд дор хаяж нэг удаа кибер довтолгооны дараа эсвэл хэрэглэгчийн тогтоосон журмыг зөрчсөний үр дүнд гарсан зөрчлийг шийдвэрлэх шаардлагатай болсон гэж Anti-Malware Analytical Center мэдэгджээ. Үүнтэй холбогдуулан бизнесийн мэдээллийн аюулгүй байдлыг нэн тэргүүнд тавих зайлшгүй шаардлага болжээ.
Одоогийн байдлаар корпорацийн мэдээллийн аюулгүй байдал нь зөвхөн вирусны эсрэг програм эсвэл галт хана гэх мэт техникийн хэрэгслүүдийн цогц биш бөгөөд энэ нь компанийн өмч хөрөнгө, ялангуяа мэдээлэлтэй харьцах нэгдсэн арга юм. Компаниуд эдгээр асуудалд өөрөөр ханддаг. Өнөөдөр бид ийм асуудлыг шийдвэрлэх арга зам болох ISO 27001 олон улсын стандартыг хэрэгжүүлэх талаар ярилцахыг хүсч байна. Оросын зах зээл дээрх компаниудын хувьд ийм гэрчилгээ байгаа нь энэ асуудалд өндөр шаардлага тавьдаг гадаадын үйлчлүүлэгчид, түншүүдтэй харилцах харилцааг хялбаршуулдаг. ISO 27001 нь барууны орнуудад өргөн хэрэглэгддэг бөгөөд мэдээллийн аюулгүй байдлын чиглэлээр тавигдах шаардлагуудыг хамардаг бөгөөд үүнийг ашигласан техникийн шийдлүүдэд хамруулж, бизнесийн үйл явцыг хөгжүүлэхэд хувь нэмэр оруулдаг. Тиймээс энэхүү стандарт нь таны өрсөлдөх давуу тал, гадаадын компаниудтай харилцах цэг болж чадна.
Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны (цаашид ISMS гэх) энэхүү гэрчилгээ нь ISMS-ийг зохион бүтээх шилдэг туршлагыг цуглуулсан бөгөөд хамгийн чухал нь системийн ажиллагааг хангах хяналтын хэрэгслийг сонгох, технологийн аюулгүй байдлын дэмжлэгт тавигдах шаардлага, тэр байтугай компани дахь боловсон хүчний менежментийн үйл явцын хувьд. Эцсийн эцэст техникийн гэмтэл нь асуудлын зөвхөн нэг хэсэг гэдгийг ойлгох хэрэгтэй. Мэдээллийн аюулгүй байдлын асуудалд хүний хүчин зүйл асар их үүрэг гүйцэтгэдэг бөгөөд үүнийг арилгах эсвэл багасгах нь илүү хэцүү байдаг.
Хэрэв танай компани ISO 27001 сертификаттай болохыг хүсч байгаа бол үүнийг хийх хялбар аргыг аль хэдийн хайж үзсэн байх. Бид таны урмыг хугалах ёстой: энд хялбар арга байхгүй. Гэсэн хэдий ч байгууллагыг олон улсын мэдээллийн аюулгүй байдлын шаардлагад бэлтгэхэд туслах тодорхой алхамууд байдаг.
1. Удирдлагаас дэмжлэг авах
Та энэ нь ойлгомжтой гэж бодож болох ч бодит байдал дээр энэ цэгийг ихэвчлэн үл тоомсорлодог. Түүнээс гадна энэ нь ISO 27001 хэрэгжүүлэх төслүүд ихэвчлэн бүтэлгүйтдэг гол шалтгаануудын нэг юм. Стандарт хэрэгжилтийн төслийн ач холбогдлыг ойлгохгүй бол удирдлага нь баталгаажуулалтын ажилд хангалттай хүний нөөц эсвэл хангалттай төсөв өгөхгүй.
2. Баталгаажуулалтын бэлтгэлийн төлөвлөгөөг боловсруулах
ISO 27001 гэрчилгээ авахад бэлтгэх нь олон төрлийн ажлыг хамарсан, олон тооны хүмүүсийн оролцоог шаарддаг, олон сар (эсвэл бүр хэдэн жил) шаарддаг нарийн төвөгтэй ажил юм. Тиймээс төслийн нарийвчилсан төлөвлөгөөг гаргах нь маш чухал юм: нөөц, цаг хугацаа, хүмүүсийн оролцоог нарийн тодорхойлсон ажлуудад хуваарилж, эцсийн хугацааг дагаж мөрдөхийг хянах - эс тэгвээс та ажлаа хэзээ ч дуусгаж чадахгүй.
3. Баталгаажуулалтын периметрийг тодорхойлох
Хэрэв та төрөлжсөн үйл ажиллагаа явуулдаг томоохон байгууллагатай бол компанийн бизнесийн зөвхөн нэг хэсгийг ISO 27001 стандартын дагуу баталгаажуулах нь зүйтэй бөгөөд энэ нь таны төслийн эрсдэл, цаг хугацаа, зардлыг мэдэгдэхүйц бууруулах болно.
4. Мэдээллийн аюулгүй байдлын бодлого боловсруулах
Хамгийн чухал баримт бичгийн нэг бол компанийн Мэдээллийн аюулгүй байдлын бодлого юм. Энэ нь танай компанийн мэдээллийн аюулгүй байдлын зорилго, мэдээллийн аюулгүй байдлын удирдлагын үндсэн зарчмуудыг тусгасан байх ёстой бөгөөд үүнийг бүх ажилчид дагаж мөрдөх ёстой. Энэхүү баримт бичгийн зорилго нь компанийн удирдлага мэдээллийн аюулгүй байдлын чиглэлээр юунд хүрэхийг хүсч байгаа, мөн үүнийг хэрхэн хэрэгжүүлэх, хянахыг тодорхойлох явдал юм.
5. Эрсдэлийн үнэлгээний аргачлалыг тодорхойлох
Хамгийн хэцүү ажлуудын нэг бол эрсдэлийн үнэлгээ, менежментийн дүрмийг тодорхойлох явдал юм. Компани ямар эрсдэлийг хүлээн зөвшөөрч болох, аль нь түүнийг бууруулахын тулд яаралтай арга хэмжээ авах шаардлагатайг ойлгох нь чухал юм. Эдгээр дүрэм байхгүй бол ISMS ажиллахгүй.
Үүний зэрэгцээ эрсдэлийг бууруулахын тулд авч буй арга хэмжээ нь хангалттай гэдгийг санах нь зүйтэй. Гэхдээ та оновчлолын ажилд хэт автах ёсгүй, учир нь энэ нь их цаг хугацаа, санхүүгийн зардал шаарддаг эсвэл зүгээр л боломжгүй байж магадгүй юм. Эрсдэлийг бууруулах арга хэмжээг боловсруулахдаа “хамгийн бага” гэсэн зарчмыг баримтлахыг зөвлөж байна.
6. Батлагдсан аргачлалын дагуу эрсдэлийг удирдах
Дараагийн шат бол эрсдэлийн удирдлагын арга зүйг тууштай хэрэглэх, өөрөөр хэлбэл тэдгээрийг үнэлэх, боловсруулах явдал юм. Энэ процессыг маш болгоомжтойгоор тогтмол хийх ёстой. Мэдээллийн аюулгүй байдлын эрсдлийн бүртгэлийг шинэчилсэнээр компанийн нөөцийг үр дүнтэй хуваарилж, ноцтой зөрчлөөс урьдчилан сэргийлэх боломжтой болно.
7. Эрсдэлийн эмчилгээг төлөвлө
Танай компанийн хувьд хүлээн зөвшөөрөгдөх хэмжээнээс давсан эрсдэлийг эрсдэлийн эмчилгээний төлөвлөгөөнд тусгах ёстой. Энэ нь эрсдэлийг бууруулахад чиглэсэн үйл ажиллагаа, түүнчлэн тэдгээрийг хариуцах хүмүүс, эцсийн хугацааг бүртгэх ёстой.
8. Хэрэглэх боломжтой байдлын мэдэгдлийг бөглөнө үү
Энэ нь шалгалтын явцад баталгаажуулалтын байгууллагын мэргэжилтнүүдийн судлах гол баримт бичиг юм. Танай компанийн үйл ажиллагаанд мэдээллийн аюулгүй байдлын ямар хяналт хамаарахыг тайлбарлах ёстой.
9. Мэдээллийн аюулгүй байдлын хяналтын үр нөлөөг хэрхэн хэмжихийг тодорхойлох.
Аливаа үйлдэл нь тогтоосон зорилгоо биелүүлэхэд хүргэдэг үр дүнтэй байх ёстой. Иймд мэдээллийн аюулгүй байдлын удирдлагын бүхэл систем болон Хэрэглээний хавсралтаас сонгосон хяналтын механизм бүрийн хувьд зорилгодоо хүрэх нь ямар үзүүлэлтээр хэмжигдэхийг тодорхой тодорхойлох нь чухал юм.
10. Мэдээллийн аюулгүй байдлын хяналтыг хэрэгжүүлнэ
Өмнөх бүх алхмуудыг гүйцэтгэсний дараа л та Хэрэглэх боломжийн хавсралтаас мэдээллийн аюулгүй байдлын холбогдох хяналтуудыг хэрэгжүүлж эхлэх хэрэгтэй. Энд байгаа хамгийн том сорилт нь мэдээжийн хэрэг танай байгууллагын олон үйл явцад цоо шинэ арга замыг нэвтрүүлэх явдал юм. Хүмүүс шинэ бодлого, журмыг эсэргүүцэх хандлагатай байдаг тул дараагийн зүйлд анхаарлаа хандуулаарай.
11. Ажиллагсдад зориулсан сургалтын хөтөлбөр хэрэгжүүлнэ
Хэрэв танай ажилтнууд төслийн ач холбогдлыг ойлгохгүй, мэдээллийн аюулгүй байдлын бодлогын дагуу ажиллахгүй бол дээр дурдсан бүх зүйл утгагүй болно. Хэрэв та ажилтнуудаа бүх шинэ дүрмийг дагаж мөрдөхийг хүсч байвал эхлээд хүмүүст яагаад шаардлагатай байгааг тайлбарлаж, дараа нь ажилчдын өдөр тутмын ажилдаа анхаарах ёстой бүх чухал бодлогуудыг онцлон ISMS-ийн талаар сургалт явуулах хэрэгтэй. ISO 27001 төслийн бүтэлгүйтлийн нийтлэг шалтгаан нь боловсон хүчний сургалт дутмаг байдаг.
12. ISMS процессыг хадгалах
Энэ үед ISO 27001 нь танай байгууллагын өдөр тутмын хэвшил болж байна. Стандартын дагуу мэдээллийн аюулгүй байдлын хяналтын хэрэгжилтийг баталгаажуулахын тулд аудиторууд хяналтын бодит үйл ажиллагааны нотлох баримт болох бүртгэлийг өгөх шаардлагатай. Гэхдээ хамгийн гол нь бүртгэлүүд нь танай ажилтнууд (болон ханган нийлүүлэгчид) батлагдсан дүрмийн дагуу үүргээ гүйцэтгэж байгаа эсэхийг хянахад тусална.
13. ISMS-ээ хянах
Таны ISMS юу болж байна вэ? Танд хэр олон тохиолдол гардаг вэ, тэд ямар төрлийн вэ? Бүх журмыг зөв дагаж мөрддөг үү? Эдгээр асуултын дагуу та компани мэдээллийн аюулгүй байдлын зорилгодоо хүрч байгаа эсэхийг шалгах хэрэгтэй. Үгүй бол та нөхцөл байдлыг засах төлөвлөгөө боловсруулах хэрэгтэй.
14. ISMS-ийн дотоод аудит хийх
Дотоод аудитын зорилго нь компани дахь бодит үйл явц болон батлагдсан мэдээллийн аюулгүй байдлын бодлогын хоорондын зөрчилдөөнийг илрүүлэх явдал юм. Ихэнх тохиолдолд энэ нь танай ажилтнууд дүрмийг хэр сайн дагаж байгааг шалгаж байна. Энэ бол маш чухал зүйл, учир нь та ажилтнуудынхаа ажилд хяналт тавихгүй бол байгууллага (санаатай болон санамсаргүй) хохирол амсах магадлалтай. Гэхдээ энд гол зорилго нь буруутныг олж, бодлого баримтлаагүйн төлөө сахилгын шийтгэл ногдуулах биш, харин нөхцөл байдлыг засч залруулах, цаашид гарах бэрхшээлээс урьдчилан сэргийлэх явдал юм.
15. Удирдлагын шалгалтыг зохион байгуулах
Удирдлага таны галт ханыг тохируулах ёсгүй, гэхдээ тэд ISMS-д юу болж байгааг мэдэх ёстой: жишээлбэл, хүн бүр үүрэг хариуцлагаа биелүүлж байгаа эсэх, ISMS зорилтот үр дүндээ хүрч байгаа эсэх. Үүний үндсэн дээр удирдлага нь ISMS болон дотоод бизнесийн үйл явцыг сайжруулах гол шийдвэрүүдийг гаргах ёстой.
16. Засах, урьдчилан сэргийлэх арга хэмжээний тогтолцоог нэвтрүүлэх
Аливаа стандартын нэгэн адил ISO 27001 нь "тасралтгүй сайжруулалтыг" шаарддаг: мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны зөрчилдөөнийг системтэйгээр засч залруулах, урьдчилан сэргийлэх. Залруулж, урьдчилан сэргийлэх арга хэмжээ авснаар үл нийцлийг засч залруулж, ирээдүйд дахин гарахаас урьдчилан сэргийлэх боломжтой.
Эцэст нь хэлэхэд, үнэн хэрэгтээ гэрчилгээ авах нь янз бүрийн эх сурвалжид дурдсанаас хамаагүй хэцүү гэдгийг хэлмээр байна. Энэ нь өнөөдөр Орос улсад зөвхөн байдаг гэдгийг баталж байна нийцлийн гэрчилгээ авсан. Үүний зэрэгцээ, энэ нь мэдээллийн аюулгүй байдлын чиглэлээр бизнесийн өсөн нэмэгдэж буй эрэлт хэрэгцээг хангаж буй гадаадад хамгийн түгээмэл стандартуудын нэг юм. Хэрэгжүүлэх энэхүү эрэлт нь аюул заналхийллийн төрлүүдийн өсөлт, нарийн төвөгтэй байдлаас гадна хууль тогтоомжийн шаардлага, мөн мэдээллийнхээ бүрэн нууцлалыг хадгалах шаардлагатай үйлчлүүлэгчидтэй холбоотой юм.
ISMS гэрчилгээжүүлэх нь тийм ч амар ажил биш хэдий ч олон улсын ISO/IEC 27001 стандартын шаардлагыг хангасан нь дэлхийн зах зээлд өрсөлдөхүйц ноцтой давуу талыг бий болгож чадна. Манай нийтлэл компанийг гэрчилгээжүүлэхэд бэлтгэх үндсэн үе шатуудын талаархи анхны ойлголтыг өгсөн гэж найдаж байна.
Эх сурвалж: www.habr.com