Tegenwoordig is de kwestie van informatiebeveiliging (hierna informatiebeveiliging genoemd) van bedrijven een van de meest urgente ter wereld. En dat is niet zo gek, want in veel landen worden de eisen aangescherpt voor organisaties die persoonsgegevens opslaan en verwerken. Momenteel vereist de Russische wetgeving dat een aanzienlijk deel van de documentstroom in papieren vorm blijft bestaan. Tegelijkertijd is de trend richting digitalisering merkbaar: veel bedrijven slaan al een grote hoeveelheid vertrouwelijke informatie op, zowel in digitaal formaat als in de vorm van papieren documenten.
Volgens de resultaten Anti-Malware Analytical Center merkte 86% van de respondenten op dat ze gedurende het jaar minstens één keer incidenten moesten oplossen na cyberaanvallen of als gevolg van gebruikersovertredingen van gevestigde regelgeving. In dit opzicht is het een noodzaak geworden om prioriteit te geven aan informatiebeveiliging in het bedrijfsleven.
Momenteel is de beveiliging van bedrijfsinformatie niet alleen een reeks technische middelen, zoals antivirussen of firewalls, het is al een geïntegreerde aanpak voor het omgaan met bedrijfsmiddelen in het algemeen en informatie in het bijzonder. Bedrijven benaderen deze problemen anders. Vandaag willen we het hebben over de implementatie van de internationale norm ISO 27001 als oplossing voor een dergelijk probleem. Voor bedrijven op de Russische markt vereenvoudigt de aanwezigheid van een dergelijk certificaat de interactie met buitenlandse klanten en partners die op dit gebied hoge eisen stellen. ISO 27001 wordt in het Westen veel gebruikt en omvat eisen op het gebied van informatiebeveiliging, die gedekt moeten worden door de gebruikte technische oplossingen, en ook moeten bijdragen aan de ontwikkeling van bedrijfsprocessen. Deze standaard kan dus uw concurrentievoordeel worden en een aanspreekpunt voor buitenlandse bedrijven.
Deze certificering van het Information Security Management System (hierna ISMS genoemd) verzamelde de beste praktijken voor het ontwerpen van een ISMS en, belangrijker nog, voorzag in de mogelijkheid om controle-instrumenten te kiezen om de werking van het systeem te garanderen, vereisten voor technologische beveiligingsondersteuning en zelfs voor het personeelsmanagementproces in het bedrijf. Het is tenslotte noodzakelijk om te begrijpen dat technische storingen slechts een deel van het probleem zijn. Bij informatiebeveiligingskwesties speelt de menselijke factor een grote rol, en het is veel moeilijker om deze te elimineren of te minimaliseren.
Als uw bedrijf ISO 27001-gecertificeerd wil worden, heeft u wellicht al geprobeerd de gemakkelijke manier te vinden om dit te doen. We moeten je teleurstellen: er zijn hier geen gemakkelijke manieren. Er zijn echter bepaalde stappen die een organisatie kunnen helpen voorbereiden op internationale eisen op het gebied van informatiebeveiliging:
1. Zorg voor steun van het management
Je denkt misschien dat dit vanzelfsprekend is, maar in de praktijk wordt dit punt vaak over het hoofd gezien. Bovendien is dit een van de belangrijkste redenen waarom ISO 27001-implementatieprojecten vaak mislukken. Zonder het belang van het standaardimplementatieproject te begrijpen, zal het management niet voldoende personeel of voldoende budget voor certificering ter beschikking stellen.
2. Ontwikkel een voorbereidingsplan voor certificering
De voorbereiding op de ISO 27001-certificering is een complexe taak die veel verschillende soorten werk met zich meebrengt, de betrokkenheid van een groot aantal mensen vereist en vele maanden (of zelfs jaren) kan duren. Daarom is het erg belangrijk om een gedetailleerd projectplan op te stellen: wijs middelen, tijd en betrokkenheid van mensen toe aan strikt gedefinieerde taken en controleer de naleving van deadlines - anders maak je het werk misschien nooit af.
3. Definieer de certificeringsperimeter
Als u een grote organisatie heeft met gediversifieerde activiteiten, kan het zinvol zijn om slechts een deel van de activiteiten van het bedrijf te certificeren volgens ISO 27001, wat het risico van uw project, evenals de tijd en kosten ervan, aanzienlijk zal verminderen.
4. Ontwikkel een informatiebeveiligingsbeleid
Een van de belangrijkste documenten is het informatiebeveiligingsbeleid van het bedrijf. Het moet de informatiebeveiligingsdoelstellingen van uw bedrijf en de basisprincipes van informatiebeveiligingsbeheer weerspiegelen, die door alle werknemers moeten worden nageleefd. Het doel van dit document is om vast te stellen wat het management van de onderneming wil bereiken op het gebied van informatiebeveiliging, en hoe dit zal worden geïmplementeerd en gecontroleerd.
5. Definieer een risicobeoordelingsmethodologie
Een van de moeilijkste taken is het definiëren van regels voor risicobeoordeling en -beheer. Het is belangrijk om te begrijpen welke risico's een bedrijf acceptabel vindt en welke onmiddellijke actie vereisen om deze te verminderen. Zonder deze regels zal het ISMS niet werken.
Tegelijkertijd is het de moeite waard om te herinneren aan de toereikendheid van de maatregelen die zijn genomen om de risico's te verminderen. Maar u moet zich niet te veel laten meeslepen door het optimalisatieproces, omdat dit ook grote tijds- of financiële kosten met zich meebrengt of simpelweg onmogelijk kan zijn. Wij raden u aan het principe van “minimale toereikendheid” te hanteren bij het ontwikkelen van risicobeperkende maatregelen.
6. Beheer risico’s volgens een goedgekeurde methodiek
De volgende fase is de consistente toepassing van de risicobeheermethodologie, dat wil zeggen de beoordeling en verwerking ervan. Dit proces moet regelmatig en met grote zorgvuldigheid worden uitgevoerd. Door het informatiebeveiligingsrisicoregister up-to-date te houden, kunt u bedrijfsmiddelen effectief toewijzen en ernstige incidenten voorkomen.
7. Plan risicobehandeling
Risico's die een voor uw bedrijf aanvaardbaar niveau overschrijden, moeten worden opgenomen in het risicobehandelingsplan. Het moet acties vastleggen die gericht zijn op het verminderen van risico's, evenals de personen die daarvoor verantwoordelijk zijn en de deadlines.
8. Vul de verklaring van toepassing in
Dit is een sleuteldocument dat tijdens de audit door specialisten van de certificatie-instelling zal worden bestudeerd. Het moet beschrijven welke informatiebeveiligingsmaatregelen van toepassing zijn op de activiteiten van uw bedrijf.
9. Bepaal hoe de effectiviteit van informatiebeveiligingscontroles zal worden gemeten.
Elke actie moet een resultaat hebben dat leidt tot de vervulling van vastgestelde doelen. Daarom is het belangrijk om duidelijk te definiëren aan de hand van welke parameters de verwezenlijking van de doelstellingen zal worden gemeten, zowel voor het gehele managementsysteem voor informatiebeveiliging als voor elk geselecteerd controlemechanisme uit de Toepasselijkheidsbijlage.
10. Implementeer informatiebeveiligingscontroles
En pas nadat u alle voorgaande stappen heeft voltooid, mag u beginnen met het implementeren van de toepasselijke informatiebeveiligingsmaatregelen uit de Toepasselijkheidsbijlage. De grootste uitdaging hier is uiteraard het introduceren van een geheel nieuwe manier om dingen te doen in veel van de processen van uw organisatie. Mensen hebben de neiging zich te verzetten tegen nieuw beleid en nieuwe procedures, dus let op het volgende punt.
11. Implementeer trainingsprogramma’s voor medewerkers
Alle hierboven beschreven punten zijn zinloos als uw medewerkers het belang van het project niet begrijpen en niet handelen in overeenstemming met het informatiebeveiligingsbeleid. Als u wilt dat uw personeel aan alle nieuwe regels voldoet, moet u mensen eerst uitleggen waarom ze nodig zijn en vervolgens training geven over het ISMS, waarbij u alle belangrijke beleidsmaatregelen benadrukt waar werknemers in hun dagelijkse werk rekening mee moeten houden. Gebrek aan opleiding van het personeel is een veel voorkomende reden voor het mislukken van ISO 27001-projecten.
12. ISMS-processen onderhouden
Op dit punt wordt ISO 27001 een dagelijkse routine in uw organisatie. Om de implementatie van informatiebeveiligingscontroles in overeenstemming met de norm te bevestigen, zullen auditors documenten moeten overleggen - bewijs van de daadwerkelijke werking van de controles. Maar bovenal moeten de gegevens u helpen bij te houden of uw werknemers (en leveranciers) hun taken uitvoeren in overeenstemming met goedgekeurde regels.
13. Bewaak uw ISMS
Wat is er aan de hand met uw ISMS? Hoeveel incidenten heeft u, welk type zijn dat? Worden alle procedures goed gevolgd? Met deze vragen moet u controleren of het bedrijf zijn informatiebeveiligingsdoelstellingen haalt. Als dit niet het geval is, moet u een plan ontwikkelen om de situatie te corrigeren.
14. Voer een interne ISMS-audit uit
Het doel van de interne audit is het identificeren van inconsistenties tussen de feitelijke processen in het bedrijf en het goedgekeurde informatiebeveiligingsbeleid. Voor het grootste deel gaat het om het controleren van hoe goed uw medewerkers de regels naleven. Dit is een heel belangrijk punt, want als je geen controle hebt over het werk van je medewerkers, kan de organisatie (bedoeld of onbedoeld) schade lijden. Maar het doel hier is niet om de daders te vinden en hen te disciplineren voor het niet naleven van het beleid, maar om de situatie te corrigeren en toekomstige problemen te voorkomen.
15. Organiseer een managementreview
Het management moet uw firewall niet configureren, maar zij moeten weten wat er in het ISMS gebeurt: bijvoorbeeld of iedereen zijn verantwoordelijkheden nakomt en of het ISMS zijn beoogde resultaten behaalt. Op basis hiervan moet het management belangrijke beslissingen nemen om het ISMS en de interne bedrijfsprocessen te verbeteren.
16. Introduceer een systeem van corrigerende en preventieve acties
Zoals elke norm vereist ISO 27001 “continue verbetering”: het systematisch corrigeren en voorkomen van inconsistenties in het informatiebeveiligingsbeheersysteem. Door middel van corrigerende en preventieve maatregelen kan de non-conformiteit worden gecorrigeerd en voorkomen dat deze zich in de toekomst opnieuw voordoet.
Concluderend zou ik willen zeggen dat het verkrijgen van een certificering in feite veel moeilijker is dan in verschillende bronnen wordt beschreven. Dit wordt bevestigd door het feit dat er in Rusland tegenwoordig alleen maar zijn zijn gecertificeerd voor naleving. Tegelijkertijd is dit in het buitenland een van de meest populaire standaarden, waarmee wordt voldaan aan de groeiende eisen van het bedrijfsleven op het gebied van informatiebeveiliging. Deze vraag naar implementatie is niet alleen te wijten aan de groei en complexiteit van de soorten bedreigingen, maar ook aan de vereisten van de wetgeving, evenals aan klanten die de volledige vertrouwelijkheid van hun gegevens moeten handhaven.
Ondanks het feit dat ISMS-certificering geen gemakkelijke taak is, kan het feit dat aan de eisen van de internationale norm ISO/IEC 27001 wordt voldaan, een serieus concurrentievoordeel op de wereldmarkt opleveren. We hopen dat ons artikel een eerste inzicht heeft gegeven in de belangrijkste fasen bij het voorbereiden van een bedrijf op certificering.
Bron: www.habr.com