Astăzi, problema securității informațiilor (denumită în continuare securitatea informațiilor) a companiilor este una dintre cele mai presante din lume. Și acest lucru nu este surprinzător, deoarece în multe țări există o înăsprire a cerințelor pentru organizațiile care stochează și prelucrează date personale. În prezent, legislația rusă impune menținerea unei proporții semnificative a fluxului de documente pe hârtie. În același timp, tendința către digitalizare este remarcabilă: multe companii stochează deja o cantitate mare de informații confidențiale atât în format digital, cât și sub formă de documente pe hârtie.
Conform rezultatelor Centrul de analiză Anti-Malware, 86% dintre respondenți au remarcat că pe parcursul anului au trebuit să rezolve cel puțin o dată incidente după atacuri cibernetice sau ca urmare a încălcării de către utilizatori a reglementărilor stabilite. În acest sens, prioritizarea securității informațiilor în afaceri a devenit o necesitate.
În prezent, securitatea informațiilor corporative nu este doar un set de mijloace tehnice, precum antivirusuri sau firewall-uri, este deja o abordare integrată a gestionării activelor companiei în general și a informațiilor în special. Companiile abordează aceste probleme în mod diferit. Astăzi am dori să vorbim despre implementarea standardului internațional ISO 27001 ca soluție la o astfel de problemă. Pentru companiile de pe piața rusă, prezența unui astfel de certificat simplifică interacțiunea cu clienții și partenerii străini care au cerințe ridicate în această materie. ISO 27001 este utilizat pe scară largă în Occident și acoperă cerințe în domeniul securității informațiilor, care ar trebui acoperite de soluțiile tehnice utilizate și, de asemenea, să contribuie la dezvoltarea proceselor de afaceri. Astfel, acest standard poate deveni avantajul tău competitiv și un punct de contact cu companiile străine.
Această certificare a Sistemului de Management al Securității Informaționale (denumit în continuare ISMS) a colectat cele mai bune practici pentru proiectarea unui ISMS și, cel mai important, a prevăzut posibilitatea alegerii instrumentelor de control care să asigure funcționarea sistemului, cerințele pentru suport de securitate tehnologică și chiar pentru procesul de management al personalului din companie. La urma urmei, este necesar să înțelegem că defecțiunile tehnice sunt doar o parte a problemei. În problemele de securitate a informațiilor, factorul uman joacă un rol uriaș și este mult mai dificil de eliminat sau minimizat.
Dacă compania dumneavoastră dorește să devină certificată ISO 27001, atunci este posibil să fi încercat deja să găsească modalitatea ușoară de a face acest lucru. Trebuie să vă dezamăgim: nu există căi ușoare aici. Cu toate acestea, există anumiți pași care vor ajuta la pregătirea unei organizații pentru cerințele internaționale de securitate a informațiilor:
1. Obțineți sprijin din partea conducerii
Poate credeți că acest lucru este evident, dar în practică acest punct este adesea trecut cu vederea. Mai mult, acesta este unul dintre principalele motive pentru care proiectele de implementare ISO 27001 eșuează adesea. Fără a înțelege semnificația proiectului standard de implementare, managementul nu va oferi nici resurse umane suficiente, nici buget suficient pentru certificare.
2. Elaborați un plan de pregătire pentru certificare
Pregătirea pentru certificarea ISO 27001 este o sarcină complexă care implică multe tipuri diferite de muncă, necesită implicarea unui număr mare de oameni și poate dura multe luni (sau chiar ani). Prin urmare, este foarte important să creați un plan de proiect detaliat: alocați resurse, timp și implicarea oamenilor în sarcini strict definite și monitorizați respectarea termenelor - altfel s-ar putea să nu terminați niciodată munca.
3. Definiți perimetrul de certificare
Dacă aveți o organizație mare, cu activități diversificate, poate avea sens să certificați doar o parte din activitatea companiei conform ISO 27001, ceea ce va reduce semnificativ riscul proiectului dumneavoastră, precum și timpul și costul acestuia.
4. Dezvoltați o politică de securitate a informațiilor
Unul dintre cele mai importante documente este Politica de securitate a informațiilor a companiei. Ar trebui să reflecte obiectivele companiei dumneavoastră de securitate a informațiilor și principiile de bază ale managementului securității informațiilor, care trebuie urmate de toți angajații. Scopul acestui document este de a determina ce dorește să realizeze conducerea companiei în domeniul securității informațiilor, precum și modul în care aceasta va fi implementată și controlată.
5. Definiți o metodologie de evaluare a riscurilor
Una dintre cele mai dificile sarcini este definirea regulilor pentru evaluarea și managementul riscurilor. Este important să înțelegem ce riscuri o companie le poate considera acceptabile și care necesită acțiuni imediate pentru a le reduce. Fără aceste reguli, ISMS nu va funcționa.
În același timp, merită amintit caracterul adecvat al măsurilor luate pentru reducerea riscurilor. Dar nu ar trebui să te lași prea dus de procesul de optimizare, deoarece acestea implică și costuri mari de timp sau financiare sau pot fi pur și simplu imposibile. Vă recomandăm să utilizați principiul „suficienței minime” atunci când dezvoltați măsuri de reducere a riscurilor.
6. Gestionați riscurile conform unei metodologii aprobate
Următoarea etapă este aplicarea consecventă a metodologiei de management al riscului, adică evaluarea și procesarea acestora. Acest proces trebuie efectuat în mod regulat, cu mare grijă. Ținând actualizat registrul de riscuri de securitate a informațiilor, veți putea aloca eficient resursele companiei și veți putea preveni incidentele grave.
7. Planificați tratamentul riscului
Riscurile care depășesc un nivel acceptabil pentru compania dumneavoastră trebuie incluse în planul de tratare a riscurilor. Ar trebui să înregistreze acțiunile care vizează reducerea riscurilor, precum și persoanele responsabile pentru acestea și termenele limită.
8. Completați Declarația de aplicabilitate
Acesta este un document cheie care va fi studiat de specialiștii din organismul de certificare în timpul auditului. Ar trebui să descrie ce controale de securitate a informațiilor se aplică activităților companiei dvs.
9. Determinați cum va fi măsurată eficiența controalelor de securitate a informațiilor.
Orice acțiune trebuie să aibă un rezultat care să conducă la îndeplinirea scopurilor stabilite. Prin urmare, este important să se definească clar prin ce parametri se va măsura atingerea obiectivelor atât pentru întregul sistem de management al securității informațiilor, cât și pentru fiecare mecanism de control selectat din Anexa de Aplicabilitate.
10. Implementați controale de securitate a informațiilor
Și numai după finalizarea tuturor pașilor anteriori ar trebui să începeți să implementați controalele aplicabile de securitate a informațiilor din Anexa de aplicabilitate. Cea mai mare provocare aici, desigur, va fi introducerea unui mod complet nou de a face lucrurile în multe dintre procesele organizației dumneavoastră. Oamenii tind să reziste noilor politici și proceduri, așa că acordați atenție următorului punct.
11. Implementează programe de instruire pentru angajați
Toate punctele descrise mai sus vor fi lipsite de sens dacă angajații dumneavoastră nu înțeleg importanța proiectului și nu acționează în conformitate cu politicile de securitate a informațiilor. Dacă doriți ca personalul dvs. să respecte toate noile reguli, trebuie mai întâi să le explicați oamenilor de ce sunt necesare, iar apoi să oferiți training cu privire la ISMS, evidențiind toate politicile importante de care angajații trebuie să țină cont în munca lor de zi cu zi. Lipsa pregătirii personalului este un motiv comun pentru eșecul proiectului ISO 27001.
12. Mentinerea proceselor ISMS
În acest moment, ISO 27001 devine o rutină zilnică în organizația dumneavoastră. Pentru a confirma implementarea controalelor de securitate a informațiilor în conformitate cu standardul, auditorii vor trebui să furnizeze înregistrări - dovezi ale funcționării efective a controalelor. Dar, mai ales, înregistrările ar trebui să vă ajute să urmăriți dacă angajații (și furnizorii) dvs. își îndeplinesc sarcinile în conformitate cu regulile aprobate.
13. Monitorizați-vă ISMS
Ce se întâmplă cu ISMS-ul tău? Câte incidente aveți, ce tip sunt? Sunt urmate corect toate procedurile? Cu aceste întrebări, ar trebui să verificați dacă compania își îndeplinește obiectivele de securitate a informațiilor. Dacă nu, trebuie să elaborați un plan pentru a corecta situația.
14. Efectuați un audit intern ISMS
Scopul auditului intern este de a identifica neconcordanțe între procesele reale din companie și politicile de securitate a informațiilor aprobate. În cea mai mare parte, se verifică pentru a vedea cât de bine respectă angajații tăi regulile. Acesta este un punct foarte important, deoarece dacă nu controlați munca personalului dvs., organizația poate suferi daune (intenționate sau neintenționate). Dar scopul aici nu este de a găsi vinovații și de a-i disciplina pentru nerespectarea politicilor, ci de a corecta situația și de a preveni problemele viitoare.
15. Organizați o analiză de management
Managementul nu ar trebui să vă configureze firewall-ul, dar ar trebui să știe ce se întâmplă în ISMS: de exemplu, dacă toată lumea își îndeplinește responsabilitățile și dacă ISMS își atinge rezultatele țintă. Pe baza acestui fapt, managementul trebuie să ia decizii cheie pentru a îmbunătăți ISMS și procesele interne de afaceri.
16. Introduceți un sistem de acțiuni corective și preventive
Ca orice standard, ISO 27001 cere „îmbunătățirea continuă”: corectarea sistematică și prevenirea inconsecvențelor în sistemul de management al securității informațiilor. Prin acțiuni corective și preventive, neconformitatea poate fi corectată și prevenită să se repete pe viitor.
În concluzie, aș dori să spun că, de fapt, obținerea certificării este mult mai dificilă decât este descrisă în diverse surse. Acest lucru este confirmat de faptul că în Rusia de astăzi există doar au fost certificate pentru conformitate. În același timp, acesta este unul dintre cele mai populare standarde în străinătate, răspunzând cerințelor tot mai mari ale afacerilor în domeniul securității informațiilor. Această cerere de implementare se datorează nu numai creșterii și complexității tipurilor de amenințări, ci și cerințelor legislației, precum și clienților care trebuie să păstreze confidențialitatea completă a datelor lor.
În ciuda faptului că certificarea ISMS nu este o sarcină ușoară, însuși faptul de a îndeplini cerințele standardului internațional ISO/IEC 27001 poate oferi un avantaj competitiv serios pe piața globală. Sperăm că articolul nostru a oferit o înțelegere inițială a etapelor cheie în pregătirea unei companii pentru certificare.
Sursa: www.habr.com