Dziś kwestia bezpieczeństwa informacji (zwanego dalej bezpieczeństwem informacji) przedsiębiorstw jest jedną z najbardziej palących na świecie. I nie jest to zaskakujące, ponieważ w wielu krajach następuje zaostrzenie wymagań wobec organizacji przechowujących i przetwarzających dane osobowe. Obecnie rosyjskie ustawodawstwo wymaga utrzymywania znacznej części obiegu dokumentów w formie papierowej. Jednocześnie zauważalna jest tendencja do cyfryzacji: wiele firm przechowuje już dużą ilość poufnych informacji zarówno w formacie cyfrowym, jak i w formie dokumentów papierowych.
Zgodnie z wynikami Anti-Malware Analytical Center 86% respondentów stwierdziło, że w ciągu roku przynajmniej raz musiało rozwiązać incydenty po cyberatakach lub w wyniku łamania przez użytkowników ustalonych przepisów. W związku z tym nadanie priorytetu bezpieczeństwu informacji w biznesie stało się koniecznością.
Obecnie bezpieczeństwo informacji korporacyjnych to nie tylko zestaw środków technicznych, takich jak programy antywirusowe czy zapory ogniowe, ale to już zintegrowane podejście do zarządzania zasobami firmy w ogóle, a w szczególności informacjami. Firmy różnie podchodzą do tych problemów. Dziś chcielibyśmy porozmawiać o wdrożeniu międzynarodowej normy ISO 27001 jako rozwiązaniu takiego problemu. Dla firm działających na rynku rosyjskim obecność takiego certyfikatu ułatwia interakcję z zagranicznymi klientami i partnerami, którzy mają w tym zakresie wysokie wymagania. ISO 27001 jest szeroko stosowana na Zachodzie i obejmuje wymagania z zakresu bezpieczeństwa informacji, które powinny być objęte stosowanymi rozwiązaniami technicznymi, a także przyczyniać się do rozwoju procesów biznesowych. Dzięki temu standard ten może stać się Twoją przewagą konkurencyjną i punktem kontaktowym z firmami zagranicznymi.
Ta certyfikacja Systemu Zarządzania Bezpieczeństwem Informacji (zwanego dalej SZBI) zebrała najlepsze praktyki projektowania SZBI i, co ważne, zapewniła możliwość wyboru narzędzi kontroli zapewniających funkcjonowanie systemu, wymagań w zakresie wsparcia bezpieczeństwa technologicznego, a nawet dla procesu zarządzania personelem w firmie. W końcu trzeba zrozumieć, że awarie techniczne to tylko część problemu. W kwestiach bezpieczeństwa informacji ogromną rolę odgrywa czynnik ludzki, który znacznie trudniej jest wyeliminować lub zminimalizować.
Jeśli Twoja firma chce uzyskać certyfikat ISO 27001, być może próbowałeś już znaleźć prosty sposób, aby to zrobić. Musimy Cię rozczarować: tutaj nie ma łatwych dróg. Istnieją jednak pewne kroki, które pomogą przygotować organizację na międzynarodowe wymagania dotyczące bezpieczeństwa informacji:
1. Uzyskaj wsparcie od kierownictwa
Może się to wydawać oczywiste, ale w praktyce często pomija się tę kwestię. Co więcej, jest to jeden z głównych powodów, dla których projekty wdrożeniowe ISO 27001 często kończą się niepowodzeniem. Bez zrozumienia znaczenia projektu wdrożenia standardu kierownictwo nie zapewni wystarczających zasobów ludzkich ani wystarczającego budżetu na certyfikację.
2. Opracuj Plan Przygotowania do Certyfikacji
Przygotowanie do certyfikacji ISO 27001 to złożone zadanie, które obejmuje wiele różnych rodzajów pracy, wymaga zaangażowania dużej liczby osób i może zająć wiele miesięcy (a nawet lat). Dlatego bardzo ważne jest stworzenie szczegółowego planu projektu: przydzielenie zasobów, czasu i zaangażowania ludzi na ściśle określone zadania oraz monitorowanie dotrzymania terminów – w przeciwnym razie pracy możesz nigdy nie ukończyć.
3. Zdefiniuj zakres certyfikacji
Jeśli masz dużą organizację o zróżnicowanej działalności, sensownym może być certyfikacja tylko części działalności firmy zgodnie z normą ISO 27001, co znacznie zmniejszy ryzyko Twojego projektu, a także jego czas i koszty.
4. Opracuj politykę bezpieczeństwa informacji
Jednym z najważniejszych dokumentów jest Polityka Bezpieczeństwa Informacji firmy. Powinien odzwierciedlać cele bezpieczeństwa informacji Twojej firmy oraz podstawowe zasady zarządzania bezpieczeństwem informacji, których muszą przestrzegać wszyscy pracownicy. Celem tego dokumentu jest określenie, co kierownictwo firmy chce osiągnąć w zakresie bezpieczeństwa informacji, a także w jaki sposób będzie to realizowane i kontrolowane.
5. Zdefiniować metodologię oceny ryzyka
Jednym z najtrudniejszych zadań jest określenie zasad oceny i zarządzania ryzykiem. Ważne jest, aby zrozumieć, które ryzyko firma może uznać za akceptowalne, a które wymaga natychmiastowych działań w celu ich ograniczenia. Bez tych zasad SZBI nie będzie działać.
Jednocześnie warto pamiętać o adekwatności podjętych działań ograniczających ryzyko. Nie należy jednak dać się ponieść procesowi optymalizacji, ponieważ wiąże się on również z dużymi kosztami czasowymi, finansowymi lub może być po prostu niemożliwy. Przy opracowywaniu środków ograniczających ryzyko zalecamy stosowanie zasady „minimalnej wystarczalności”.
6. Zarządzaj ryzykiem zgodnie z zatwierdzoną metodologią
Kolejnym etapem jest konsekwentne stosowanie metodologii zarządzania ryzykami, czyli ich ocena i przetwarzanie. Proces ten należy przeprowadzać regularnie i z dużą ostrożnością. Aktualizując rejestr zagrożeń bezpieczeństwa informacji, będziesz mógł efektywnie alokować zasoby firmy i zapobiegać poważnym incydentom.
7. Zaplanuj leczenie ryzyka
Ryzyka przekraczające poziom akceptowalny dla Twojej firmy muszą zostać uwzględnione w planie postępowania z ryzykiem. Powinien rejestrować działania mające na celu ograniczenie ryzyka, osoby za nie odpowiedzialne oraz terminy.
8. Wypełnij Oświadczenie o zastosowaniu
Jest to kluczowy dokument, który podczas audytu będą badani specjaliści z jednostki certyfikującej. Powinien opisywać, jakie środki kontroli bezpieczeństwa informacji mają zastosowanie do działalności Twojej firmy.
9. Określ, w jaki sposób będzie mierzona skuteczność kontroli bezpieczeństwa informacji.
Każde działanie musi mieć skutek prowadzący do osiągnięcia założonych celów. Dlatego ważne jest jasne określenie, jakimi parametrami mierzone będzie osiągnięcie celów zarówno dla całego systemu zarządzania bezpieczeństwem informacji, jak i dla każdego wybranego mechanizmu kontroli z Załącznika stosowalności.
10. Wdrażaj kontrole bezpieczeństwa informacji
Dopiero po wykonaniu wszystkich poprzednich kroków należy rozpocząć wdrażanie odpowiednich mechanizmów kontroli bezpieczeństwa informacji opisanych w Dodatku dotyczącym zastosowania. Największym wyzwaniem będzie oczywiście wprowadzenie zupełnie nowego sposobu działania w wielu procesach organizacji. Ludzie mają tendencję do przeciwstawiania się nowym zasadom i procedurom, dlatego zwróć uwagę na następny punkt.
11. Wdrażaj programy szkoleniowe dla pracowników
Wszystkie punkty opisane powyżej nie będą miały żadnego znaczenia, jeśli Twoi pracownicy nie zrozumieją wagi projektu i nie będą postępować zgodnie z polityką bezpieczeństwa informacji. Jeśli chcesz, aby Twoi pracownicy przestrzegali wszystkich nowych zasad, musisz najpierw wyjaśnić ludziom, dlaczego są one konieczne, a następnie zapewnić szkolenie w zakresie SZBI, podkreślając wszystkie ważne zasady, które pracownicy muszą uwzględniać w swojej codziennej pracy. Brak przeszkolenia personelu jest częstą przyczyną niepowodzeń projektów ISO 27001.
12. Utrzymuj procesy ISMS
W tym momencie ISO 27001 staje się codziennością w Twojej organizacji. Aby potwierdzić wdrożenie kontroli bezpieczeństwa informacji zgodnie ze standardem, audytorzy będą musieli przedstawić zapisy – dowody faktycznego działania kontroli. Ale przede wszystkim rejestry powinny pomóc Ci w śledzeniu, czy Twoi pracownicy (i dostawcy) wykonują swoje zadania zgodnie z zatwierdzonymi zasadami.
13. Monitoruj swój SZBI
Co się dzieje z Twoim ISMS? Ile masz incydentów, jakiego są rodzaju? Czy wszystkie procedury są przestrzegane prawidłowo? Za pomocą tych pytań należy sprawdzić, czy firma realizuje swoje cele w zakresie bezpieczeństwa informacji. Jeśli nie, musisz opracować plan naprawienia sytuacji.
14. Przeprowadź wewnętrzny audyt ISMS
Celem audytu wewnętrznego jest identyfikacja niezgodności pomiędzy rzeczywistymi procesami w firmie a przyjętą polityką bezpieczeństwa informacji. W przeważającej części sprawdza się, jak dobrze Twoi pracownicy przestrzegają zasad. To bardzo ważny punkt, ponieważ jeśli nie będziesz kontrolować pracy swoich pracowników, organizacja może ponieść szkodę (zamierzoną lub niezamierzoną). Celem nie jest jednak znalezienie winowajców i ukaranie ich za nieprzestrzeganie zasad, ale naprawienie sytuacji i zapobiegnięcie przyszłym problemom.
15. Zorganizuj przegląd zarządzania
Kierownictwo nie powinno konfigurować zapory ogniowej, ale powinno wiedzieć, co dzieje się w SZBI: na przykład, czy wszyscy wywiązują się ze swoich obowiązków i czy SZBI osiąga zakładane wyniki. Na tej podstawie kierownictwo musi podjąć kluczowe decyzje w celu ulepszenia SZBI i wewnętrznych procesów biznesowych.
16. Wprowadź system działań korygujących i zapobiegawczych
Jak każda norma, ISO 27001 wymaga „ciągłego doskonalenia”: systematycznego korygowania i zapobiegania niespójnościom w systemie zarządzania bezpieczeństwem informacji. Poprzez działania korygujące i zapobiegawcze można skorygować niezgodność i zapobiec jej ponownemu pojawieniu się w przyszłości.
Podsumowując, chcę powiedzieć, że tak naprawdę uzyskanie certyfikatu jest znacznie trudniejsze, niż opisują to różne źródła. Potwierdza to fakt, że w dzisiejszej Rosji są tylko zostały certyfikowane pod kątem zgodności. Jednocześnie jest to jeden z najpopularniejszych standardów za granicą, spełniający rosnące wymagania biznesu w zakresie bezpieczeństwa informacji. To zapotrzebowanie na wdrożenia wynika nie tylko ze wzrostu i złożoności rodzajów zagrożeń, ale także z wymagań legislacyjnych, a także klientów, którzy muszą zachować pełną poufność swoich danych.
Pomimo tego, że certyfikacja ISMS nie jest zadaniem łatwym, już samo spełnienie wymagań międzynarodowej normy ISO/IEC 27001 może zapewnić poważną przewagę konkurencyjną na rynku światowym. Mamy nadzieję, że nasz artykuł pozwolił na wstępne zrozumienie kluczowych etapów przygotowania firmy do certyfikacji.
Źródło: www.habr.com