I dag er spørsmålet om informasjonssikkerhet (heretter kalt informasjonssikkerhet) for selskaper en av de mest presserende i verden. Og dette er ikke overraskende, for i mange land skjer det en skjerping av kravene til organisasjoner som lagrer og behandler personopplysninger. For øyeblikket krever russisk lovgivning å opprettholde en betydelig andel av dokumentflyten i papirform. Samtidig er trenden mot digitalisering merkbar: Mange bedrifter lagrer allerede en stor mengde konfidensiell informasjon både i digitalt format og i form av papirdokumenter.
I følge resultatene Anti-Malware Analytical Center, 86 % av respondentene bemerket at de i løpet av året minst én gang måtte løse hendelser etter cyberangrep eller som et resultat av brukerbrudd på etablerte forskrifter. I denne forbindelse har prioritering av informasjonssikkerhet i næringslivet blitt en nødvendighet.
Foreløpig er bedriftens informasjonssikkerhet ikke bare et sett med tekniske midler, som antivirus eller brannmurer, det er allerede en integrert tilnærming til håndtering av bedriftens eiendeler generelt og informasjon spesielt. Bedrifter tilnærmer seg disse problemene annerledes. I dag vil vi gjerne snakke om implementeringen av den internasjonale standarden ISO 27001 som en løsning på et slikt problem. For selskaper på det russiske markedet forenkler tilstedeværelsen av et slikt sertifikat samhandling med utenlandske kunder og partnere som har høye krav i denne saken. ISO 27001 er mye brukt i Vesten og dekker krav innen informasjonssikkerhet, som bør dekkes av de tekniske løsningene som brukes, og også bidra til utvikling av forretningsprosesser. Dermed kan denne standarden bli ditt konkurransefortrinn og et kontaktpunkt med utenlandske selskaper.
Denne sertifiseringen av styringssystemet for informasjonssikkerhet (heretter referert til som ISMS) samlet beste praksis for utforming av et ISMS og, viktigere, sørget for muligheten til å velge kontrollverktøy for å sikre at systemet fungerer, krav til teknologisk sikkerhetsstøtte og til og med for personalledelsesprosessen i selskapet. Tross alt er det nødvendig å forstå at tekniske feil bare er en del av problemet. I informasjonssikkerhetsspørsmål spiller den menneskelige faktoren en enorm rolle, og det er mye vanskeligere å eliminere eller minimere den.
Hvis bedriften din ønsker å bli ISO 27001-sertifisert, har du kanskje allerede prøvd å finne den enkle måten å gjøre det på. Vi må skuffe deg: det er ingen enkle måter her. Det er imidlertid visse trinn som vil bidra til å forberede en organisasjon for internasjonale krav til informasjonssikkerhet:
1. Få støtte fra ledelsen
Du tror kanskje dette er åpenbart, men i praksis blir dette punktet ofte oversett. Dessuten er dette en av hovedårsakene til at ISO 27001-implementeringsprosjekter ofte mislykkes. Uten å forstå betydningen av standardimplementeringsprosjektet, vil ikke ledelsen skaffe til veie nok menneskelige ressurser eller tilstrekkelig budsjett for sertifisering.
2. Utvikle en forberedelsesplan for sertifisering
Forberedelse til ISO 27001-sertifisering er en kompleks oppgave som involverer mange forskjellige typer arbeid, krever involvering av et stort antall mennesker og kan ta mange måneder (eller til og med år). Derfor er det veldig viktig å lage en detaljert prosjektplan: allokere ressurser, tid og involvering av folk til strengt definerte oppgaver og overvåke overholdelse av tidsfrister - ellers kan du aldri fullføre arbeidet.
3. Definer sertifiseringsomkretsen
Hvis du har en stor organisasjon med diversifiserte aktiviteter, kan det være fornuftig å sertifisere bare deler av selskapets virksomhet til ISO 27001, noe som vil redusere risikoen for prosjektet, samt dets tid og kostnader betydelig.
4. Utvikle en informasjonssikkerhetspolicy
Et av de viktigste dokumentene er selskapets informasjonssikkerhetspolicy. Den skal gjenspeile din bedrifts informasjonssikkerhetsmål og de grunnleggende prinsippene for informasjonssikkerhetsstyring, som må følges av alle ansatte. Formålet med dette dokumentet er å fastslå hva selskapets ledelse ønsker å oppnå innen informasjonssikkerhet, samt hvordan dette skal implementeres og kontrolleres.
5. Definer en risikovurderingsmetodikk
En av de vanskeligste oppgavene er å definere regler for risikovurdering og styring. Det er viktig å forstå hvilke risikoer et selskap kan anse som akseptable og som krever umiddelbare tiltak for å redusere dem. Uten disse reglene vil ikke ISMS fungere.
Samtidig er det verdt å huske på tilstrekkeligheten av tiltakene som er tatt for å redusere risiko. Men du bør ikke la deg rive med for optimaliseringsprosessen, fordi de også medfører store tids- eller økonomiske kostnader eller rett og slett kan være umulige. Vi anbefaler at du bruker prinsippet om "minimum tilstrekkelighet" når du utvikler risikoreduserende tiltak.
6. Håndtere risikoer i henhold til en godkjent metodikk
Det neste trinnet er den konsekvente anvendelsen av risikostyringsmetodikk, det vil si vurdering og behandling av dem. Denne prosessen må utføres regelmessig med stor forsiktighet. Ved å holde informasjonssikkerhetsrisikoregisteret oppdatert vil du effektivt kunne allokere bedriftens ressurser og forhindre alvorlige hendelser.
7. Planlegg risikobehandling
Risikoer som overstiger et akseptabelt nivå for din bedrift skal inkluderes i risikobehandlingsplanen. Den bør registrere handlinger som tar sikte på å redusere risikoer, samt personene som er ansvarlige for dem og fristene.
8. Fyll ut Anvendelseserklæringen
Dette er et nøkkeldokument som vil bli studert av spesialister fra sertifiseringsorganet under tilsynet. Den skal beskrive hvilke informasjonssikkerhetskontroller som gjelder for virksomheten din.
9. Bestem hvordan effektiviteten av informasjonssikkerhetskontroller skal måles.
Enhver handling må ha et resultat som fører til oppfyllelse av etablerte mål. Derfor er det viktig å tydelig definere med hvilke parametere måloppnåelsen skal måles både for hele styringssystemet for informasjonssikkerhet og for hver valgt kontrollmekanisme fra Anvendelsesvedlegget.
10. Implementere informasjonssikkerhetskontroller
Og først etter å ha fullført alle de foregående trinnene, bør du begynne å implementere gjeldende informasjonssikkerhetskontroller fra Applikasjonsvedlegget. Den største utfordringen her vil selvfølgelig være å introdusere en helt ny måte å gjøre ting på på tvers av mange av organisasjonens prosesser. Folk har en tendens til å motstå nye retningslinjer og prosedyrer, så vær oppmerksom på neste punkt.
11. Gjennomføre opplæringsprogrammer for ansatte
Alle punktene beskrevet ovenfor vil være meningsløse hvis dine ansatte ikke forstår viktigheten av prosjektet og ikke handler i samsvar med retningslinjer for informasjonssikkerhet. Hvis du vil at de ansatte skal overholde alle de nye reglene, må du først forklare folk hvorfor de er nødvendige, og deretter gi opplæring i ISMS, og fremheve alle viktige retningslinjer som ansatte må ta hensyn til i sitt daglige arbeid. Mangel på opplæring av personalet er en vanlig årsak til at ISO 27001-prosjektet mislykkes.
12. Vedlikeholde ISMS-prosesser
På dette tidspunktet blir ISO 27001 en daglig rutine i organisasjonen din. For å bekrefte implementeringen av informasjonssikkerhetskontroller i samsvar med standarden, vil revisorer måtte gi journaler - bevis på den faktiske driften av kontrollene. Men mest av alt bør registreringer hjelpe deg med å spore om dine ansatte (og leverandører) utfører oppgavene sine i samsvar med godkjente regler.
13. Overvåk ISMS
Hva skjer med ISMS-en din? Hvor mange hendelser har du, hvilken type er de? Følges alle prosedyrer riktig? Med disse spørsmålene bør du sjekke om selskapet oppfyller sine informasjonssikkerhetsmål. Hvis ikke, må du utarbeide en plan for å rette opp situasjonen.
14. Gjennomfør en intern ISMS-revisjon
Formålet med internrevisjonen er å identifisere uoverensstemmelser mellom faktiske prosesser i selskapet og godkjente retningslinjer for informasjonssikkerhet. For det meste er det å sjekke for å se hvor godt de ansatte følger reglene. Dette er et veldig viktig poeng, for hvis du ikke kontrollerer arbeidet til personalet ditt, kan organisasjonen lide skade (tilsiktet eller utilsiktet). Men målet her er ikke å finne bakmennene og disiplinere dem for manglende overholdelse av retningslinjer, men å rette opp situasjonen og forhindre fremtidige problemer.
15. Organiser en ledelsesgjennomgang
Ledelsen bør ikke konfigurere brannmuren din, men de bør vite hva som skjer i ISMS: for eksempel om alle oppfyller sitt ansvar og om ISMS oppnår målresultatene. Basert på dette må ledelsen ta sentrale beslutninger for å forbedre ISMS og interne forretningsprosesser.
16. Innføre et system med korrigerende og forebyggende tiltak
Som enhver standard krever ISO 27001 "kontinuerlig forbedring": systematisk korrigering og forebygging av inkonsekvenser i styringssystemet for informasjonssikkerhet. Gjennom korrigerende og forebyggende handlinger kan avviket korrigeres og forhindres i å gjenta seg i fremtiden.
Avslutningsvis vil jeg si at det faktisk er mye vanskeligere å bli sertifisert enn beskrevet i ulike kilder. Dette bekreftes av det faktum at i Russland i dag er det bare har blitt sertifisert for samsvar. Samtidig er dette en av de mest populære standardene i utlandet, og møter de økende kravene fra virksomheten innen informasjonssikkerhet. Denne etterspørselen etter implementering skyldes ikke bare veksten og kompleksiteten til typene trusler, men også kravene i lovgivningen, så vel som klienter som trenger å opprettholde fullstendig konfidensialitet for dataene deres.
Til tross for at ISMS-sertifisering ikke er en lett oppgave, kan selve det å oppfylle kravene i den internasjonale standarden ISO/IEC 27001 gi et seriøst konkurransefortrinn i det globale markedet. Vi håper at artikkelen vår har gitt en innledende forståelse av de viktigste stadiene i å forberede et selskap for sertifisering.
Kilde: www.habr.com