අද වන විට, සමාගම්වල තොරතුරු ආරක්ෂාව (මෙතැන් සිට තොරතුරු ආරක්ෂාව ලෙස හැඳින්වේ) පිළිබඳ ගැටළුව ලෝකයේ වඩාත්ම දැවෙන එකකි. මෙය පුදුමයට කරුණක් නොවේ, මන්ද බොහෝ රටවල පුද්ගලික දත්ත ගබඩා කර සකසන සංවිධාන සඳහා අවශ්යතා දැඩි කිරීමක් ඇත. වර්තමානයේ රුසියානු නීති මගින් කඩදාසි ආකාරයෙන් ලේඛන ප්රවාහයේ සැලකිය යුතු කොටසක් පවත්වා ගැනීම අවශ්ය වේ. ඒ අතරම, ඩිජිටල්කරණයට ඇති ප්රවණතාවය සැලකිය යුතු ය: බොහෝ සමාගම් දැනටමත් ඩිජිටල් ආකෘතියෙන් සහ කඩදාසි ලේඛන ආකාරයෙන් රහස්ය තොරතුරු විශාල ප්රමාණයක් ගබඩා කර ඇත.
ප්රතිඵල අනුව Anti-Malware Analytical Center, ප්රතිචාර දැක්වූවන්ගෙන් 86%ක් සඳහන් කළේ, සයිබර් ප්රහාරවලින් පසු හෝ ස්ථාපිත රෙගුලාසි උල්ලංඝනය කිරීම් හේතුවෙන් වසරකට අවම වශයෙන් එක් වරක් සිදුවීම් විසඳීමට ඔවුන්ට සිදු වූ බවයි. මේ සම්බන්ධයෙන්, ව්යාපාරයේ තොරතුරු සුරක්ෂිතතාවයට ප්රමුඛත්වය දීම අත්යාවශ්ය දෙයක් වී ඇත.
දැනට, ආයතනික තොරතුරු ආරක්ෂාව යනු ප්රති-වයිරස හෝ ෆයර්වෝල් වැනි තාක්ෂණික උපක්රම සමූහයක් පමණක් නොවේ, එය සාමාන්යයෙන් සමාගම් වත්කම් හැසිරවීමට සහ විශේෂයෙන් තොරතුරු සඳහා දැනටමත් ඒකාබද්ධ ප්රවේශයකි. සමාගම් මෙම ගැටළු වලට වෙනස් ආකාරයකින් ප්රවේශ වේ. එවැනි ගැටලුවකට විසඳුමක් ලෙස ජාත්යන්තර ප්රමිතියේ ISO 27001 ක්රියාත්මක කිරීම ගැන අද අපි කතා කරමු. රුසියානු වෙළඳපොලේ සමාගම් සඳහා, එවැනි සහතිකයක් තිබීම මෙම කාරණය සම්බන්ධයෙන් ඉහළ අවශ්යතා ඇති විදේශීය ගනුදෙනුකරුවන් සහ හවුල්කරුවන් සමඟ අන්තර්ක්රියා කිරීම සරල කරයි. ISO 27001 බටහිර රටවල බහුලව භාවිතා වන අතර තොරතුරු ආරක්ෂණ ක්ෂේත්රයේ අවශ්යතා ආවරණය කරයි, එය භාවිතා කරන තාක්ෂණික විසඳුම් මගින් ආවරණය කළ යුතු අතර ව්යාපාරික ක්රියාවලීන්ගේ සංවර්ධනයට ද දායක වේ. මේ අනුව, මෙම ප්රමිතිය ඔබේ තරඟකාරී වාසිය සහ විදේශීය සමාගම් සමඟ සම්බන්ධතා ස්ථානයක් බවට පත්විය හැකිය.
තොරතුරු ආරක්ෂණ කළමනාකරණ පද්ධතියේ මෙම සහතිකය (මෙතැන් සිට ISMS ලෙස හැඳින්වේ) ISMS නිර්මාණය කිරීම සඳහා හොඳම භාවිතයන් එකතු කර ඇති අතර, වැදගත් ලෙස, පද්ධතියේ ක්රියාකාරිත්වය සහතික කිරීම සඳහා පාලන මෙවලම් තෝරා ගැනීමේ හැකියාව, තාක්ෂණික ආරක්ෂක සහාය සඳහා වන අවශ්යතා සහ පවා ලබා දී ඇත. සමාගම තුළ පුද්ගල කළමනාකරණ ක්රියාවලිය සඳහා. සියල්ලට පසු, තාක්ෂණික අසමත්වීම් ගැටලුවේ කොටසක් පමණක් බව වටහා ගැනීම අවශ්ය වේ. තොරතුරු ආරක්ෂණ කාරණාවලදී, මානව සාධකය විශාල කාර්යභාරයක් ඉටු කරයි, එය ඉවත් කිරීම හෝ අවම කිරීම වඩා දුෂ්කර ය.
ඔබේ සමාගම ISO 27001 සහතිකය ලබා ගැනීමට බලාපොරොත්තු වන්නේ නම්, ඔබ දැනටමත් එය කිරීමට පහසු මාර්ගයක් සොයා ගැනීමට උත්සාහ කර ඇත. අපි ඔබව කලකිරීමට පත් කළ යුතුයි: මෙහි පහසු මාර්ග නොමැත. කෙසේ වෙතත්, ජාත්යන්තර තොරතුරු ආරක්ෂණ අවශ්යතා සඳහා සංවිධානයක් සූදානම් කිරීමට උපකාර වන ඇතැම් පියවර තිබේ:
1. කළමනාකාරිත්වයෙන් සහාය ලබා ගන්න
මෙය පැහැදිලි යැයි ඔබ සිතනු ඇත, නමුත් ප්රායෝගිකව මෙම කරුණ බොහෝ විට නොසලකා හරිනු ලැබේ. එපමණක් නොව, ISO 27001 ක්රියාත්මක කිරීමේ ව්යාපෘති බොහෝ විට අසාර්ථක වීමට මෙය ප්රධාන හේතුවකි. සම්මත ක්රියාත්මක කිරීමේ ව්යාපෘතියේ වැදගත්කම අවබෝධ කර නොගෙන කළමනාකරණය විසින් ප්රමාණවත් මානව සම්පත් හෝ සහතික කිරීම සඳහා ප්රමාණවත් අයවැයක් ලබා නොදේ.
2. සහතික කිරීමේ සූදානම් කිරීමේ සැලැස්මක් සකස් කරන්න
ISO 27001 සහතිකය සඳහා සූදානම් වීම විවිධ ආකාරයේ වැඩවලට සම්බන්ධ වන සංකීර්ණ කාර්යයකි, විශාල පිරිසකගේ සහභාගීත්වය අවශ්ය වන අතර මාස ගණනාවක් (හෝ වසර පවා) ගත විය හැකිය. එබැවින්, සවිස්තරාත්මක ව්යාපෘති සැලැස්මක් නිර්මාණය කිරීම ඉතා වැදගත් වේ: දැඩි ලෙස අර්ථ දක්වා ඇති කාර්යයන් සඳහා සම්පත්, කාලය සහ පුද්ගලයින්ගේ සහභාගීත්වය වෙන් කිරීම සහ නියමිත දිනට අනුකූල වීම අධීක්ෂණය කිරීම - එසේ නොමැතිනම් ඔබට කිසි විටෙකත් වැඩ නිම කළ නොහැක.
3. සහතික කිරීමේ පරිමිතිය නිර්වචනය කරන්න
ඔබට විවිධාංගීකරණය වූ ක්රියාකාරකම් සහිත විශාල සංවිධානයක් තිබේ නම්, සමාගමේ ව්යාපාරයේ කොටසක් පමණක් ISO 27001 වෙත සහතික කිරීම අර්ථවත් විය හැකිය, එමඟින් ඔබේ ව්යාපෘතියේ අවදානම මෙන්ම එහි කාලය සහ පිරිවැය සැලකිය යුතු ලෙස අඩු කරනු ඇත.
4. තොරතුරු ආරක්ෂණ ප්රතිපත්තියක් සකස් කිරීම
වඩාත්ම වැදගත් ලේඛනවලින් එකක් වන්නේ සමාගමේ තොරතුරු ආරක්ෂණ ප්රතිපත්තියයි. එය ඔබගේ සමාගමේ තොරතුරු ආරක්ෂණ ඉලක්ක සහ සියලු සේවකයින් විසින් අනුගමනය කළ යුතු තොරතුරු ආරක්ෂණ කළමනාකරණයේ මූලික මූලධර්ම පිළිබිඹු විය යුතුය. මෙම ලේඛනයේ පරමාර්ථය වන්නේ සමාගමේ කළමනාකාරිත්වයට තොරතුරු ආරක්ෂණ ක්ෂේත්රයේ සාක්ෂාත් කර ගැනීමට අවශ්ය දේ මෙන්ම මෙය ක්රියාත්මක කරන්නේ කෙසේද සහ පාලනය කරන්නේ කෙසේද යන්න තීරණය කිරීමයි.
5. අවදානම් තක්සේරු කිරීමේ ක්රමවේදයක් නිර්වචනය කරන්න
වඩාත්ම දුෂ්කර කාර්යයක් වන්නේ අවදානම් තක්සේරු කිරීම සහ කළමනාකරණය සඳහා නීති නිර්වචනය කිරීමයි. සමාගමක් පිළිගත හැකි යැයි සැලකිය හැකි අවදානම් මොනවාද සහ ඒවා අඩු කිරීමට ඉක්මන් ක්රියාමාර්ග අවශ්ය වන්නේ කුමක්ද යන්න තේරුම් ගැනීම වැදගත්ය. මෙම නීති නොමැතිව, ISMS ක්රියා නොකරනු ඇත.
ඒ අතරම, අවදානම් අවම කිරීම සඳහා ගෙන ඇති පියවරවල ප්රමාණවත් බව මතක තබා ගැනීම වටී. නමුත් ඔබ ප්රශස්තිකරණ ක්රියාවලිය සමඟ වැඩිපුර නොසැලී සිටිය යුතුය, මන්ද ඒවාට විශාල කාලයක් හෝ මූල්ය පිරිවැයක් දැරීමට සිදු වන නිසා හෝ සරලව කළ නොහැකි විය හැකිය. අවදානම් අඩු කිරීමේ පියවරයන් සංවර්ධනය කිරීමේදී "අවම ප්රමාණවත්" මූලධර්මය භාවිතා කරන ලෙස අපි නිර්දේශ කරමු.
6. අනුමත ක්රමවේදයකට අනුව අවදානම් කළමනාකරණය කරන්න
මීළඟ අදියර වන්නේ අවදානම් කළමනාකරණ ක්රමවේදයේ ස්ථාවර යෙදුමයි, එනම් ඒවායේ තක්සේරුව සහ සැකසීමයි. මෙම ක්රියාවලිය ඉතා ප්රවේශමෙන් නිතිපතා සිදු කළ යුතුය. තොරතුරු ආරක්ෂණ අවදානම් ලේඛනය යාවත්කාලීනව තබා ගැනීමෙන්, සමාගම් සම්පත් ඵලදායී ලෙස වෙන් කිරීමට සහ බරපතල සිදුවීම් වළක්වා ගැනීමට ඔබට හැකි වනු ඇත.
7. අවදානම් ප්රතිකාර සැලසුම් කරන්න
ඔබේ සමාගම සඳහා පිළිගත හැකි මට්ටම ඉක්මවන අවදානම් අවදානම් ප්රතිකාර සැලැස්මට ඇතුළත් කළ යුතුය. එය අවදානම් අවම කිරීම අරමුණු කරගත් ක්රියාවන් මෙන්ම ඒවාට වගකිව යුතු පුද්ගලයින් සහ නියමිත කාලසීමාවන් වාර්තා කළ යුතුය.
8. අදාළ ප්රකාශය සම්පූර්ණ කරන්න
මෙය විගණනය අතරතුර සහතික කිරීමේ ආයතනයෙන් විශේෂඥයින් විසින් අධ්යයනය කරනු ලබන ප්රධාන ලේඛනයකි. ඔබේ සමාගමේ ක්රියාකාරකම් සඳහා අදාළ වන තොරතුරු ආරක්ෂණ පාලන මොනවාද යන්න එය විස්තර කළ යුතුය.
9. තොරතුරු ආරක්ෂණ පාලනවල සඵලතාවය මනිනු ලබන ආකාරය තීරණය කරන්න.
ඕනෑම ක්රියාවක් ස්ථාපිත ඉලක්ක සපුරාලීමට තුඩු දෙන ප්රතිඵලයක් තිබිය යුතුය. එබැවින්, සමස්ත තොරතුරු ආරක්ෂණ කළමනාකරණ පද්ධතිය සඳහා සහ යෙදවුම් ඇමුණුමෙන් තෝරාගත් එක් එක් පාලන යාන්ත්රණය සඳහා ඉලක්ක සපුරා ගැනීම මනිනු ලබන්නේ කුමන පරාමිතීන් මගින්ද යන්න පැහැදිලිව නිර්වචනය කිරීම වැදගත් වේ.
10. තොරතුරු ආරක්ෂණ පාලන ක්රියාත්මක කිරීම
තවද පෙර පියවර සියල්ල සම්පූර්ණ කිරීමෙන් පසුව පමණක් අදාළ වන උපග්රන්ථයෙන් අදාළ තොරතුරු ආරක්ෂණ පාලන ක්රියාත්මක කිරීම ආරම්භ කළ යුතුය. මෙහි ඇති ලොකුම අභියෝගය වනුයේ, ඔබේ සංවිධානයේ බොහෝ ක්රියාවලීන් හරහා සම්පූර්ණයෙන්ම නව ක්රමයක් හඳුන්වා දීමයි. මිනිසුන් නව ප්රතිපත්ති සහ ක්රියා පටිපාටිවලට විරුද්ධ වීමට නැඹුරු වෙති, එබැවින් ඊළඟ කරුණ කෙරෙහි අවධානය යොමු කරන්න.
11. සේවකයින් සඳහා පුහුණු වැඩසටහන් ක්රියාත්මක කිරීම
ඔබේ සේවකයින් ව්යාපෘතියේ වැදගත්කම තේරුම් නොගෙන තොරතුරු ආරක්ෂණ ප්රතිපත්තිවලට අනුකූලව ක්රියා නොකරන්නේ නම් ඉහත විස්තර කර ඇති සියලුම කරුණු අර්ථ විරහිත වනු ඇත. ඔබේ කාර්ය මණ්ඩලය සියලු නව නීතිවලට අනුකූල වීමට ඔබට අවශ්ය නම්, ඔබ ප්රථමයෙන් ඒවා අවශ්ය වන්නේ මන්දැයි මිනිසුන්ට පැහැදිලි කළ යුතු අතර, සේවකයින් ඔවුන්ගේ දෛනික වැඩ කිරීමේදී සැලකිල්ලට ගත යුතු සියලුම වැදගත් ප්රතිපත්ති ඉස්මතු කරමින් ISMS පිළිබඳ පුහුණුව ලබා දිය යුතුය. කාර්ය මණ්ඩල පුහුණුව නොමැතිකම ISO 27001 ව්යාපෘතිය අසාර්ථක වීමට පොදු හේතුවකි.
12. ISMS ක්රියාවලි පවත්වාගෙන යාම
මෙම අවස්ථාවේදී, ISO 27001 ඔබේ සංවිධානයේ දෛනික චර්යාවක් බවට පත්වේ. ප්රමිතියට අනුකූලව තොරතුරු ආරක්ෂණ පාලනයන් ක්රියාත්මක කිරීම තහවුරු කිරීම සඳහා, විගණකවරුන්ට වාර්තා සැපයීමට අවශ්ය වනු ඇත - පාලනයන්හි සැබෑ ක්රියාකාරිත්වය පිළිබඳ සාක්ෂි. නමුත් සියල්ලටම වඩා, ඔබගේ සේවකයින් (සහ සැපයුම්කරුවන්) අනුමත නීතිවලට අනුකූලව ඔවුන්ගේ කාර්යයන් ඉටු කරන්නේද යන්න සොයා බැලීමට වාර්තා ඔබට උපකාර කළ යුතුය.
13. ඔබගේ ISMS නිරීක්ෂණය කරන්න
ඔබගේ ISMS සමඟ සිදු වන්නේ කුමක්ද? ඔබට සිදුවීම් කීයක් තිබේද, ඒවා කුමන ආකාරයේද? සියලුම ක්රියා පටිපාටි නිසි ලෙස අනුගමනය කරන්නේද? මෙම ප්රශ්න සමඟ, සමාගම එහි තොරතුරු ආරක්ෂණ ඉලක්ක සපුරා ගන්නේ දැයි ඔබ පරීක්ෂා කළ යුතුය. එසේ නොමැති නම්, තත්වය නිවැරදි කිරීම සඳහා ඔබ සැලැස්මක් සකස් කළ යුතුය.
14. අභ්යන්තර ISMS විගණනයක් පවත්වන්න
අභ්යන්තර විගණනයේ අරමුණ වන්නේ සමාගමේ සත්ය ක්රියාවලීන් සහ අනුමත තොරතුරු ආරක්ෂණ ප්රතිපත්ති අතර නොගැලපීම් හඳුනා ගැනීමයි. බොහෝ දුරට, එය ඔබගේ සේවකයින් කෙතරම් හොඳින් නීති රීති අනුගමනය කරන්නේද යන්න පරීක්ෂා කරයි. මෙය ඉතා වැදගත් කරුණකි, මන්ද ඔබ ඔබේ කාර්ය මණ්ඩලයේ වැඩ පාලනය නොකරන්නේ නම්, සංවිධානයට හානි සිදුවිය හැකිය (හිතාමතා හෝ නොදැනුවත්වම). නමුත් මෙහි අරමුණ වැරදිකරුවන් සොයා ප්රතිපත්තිවලට අනුකූල නොවීම සඳහා ඔවුන්ව විනයගත කිරීම නොව, තත්වය නිවැරදි කර අනාගත ගැටළු වළක්වා ගැනීමයි.
15. කළමනාකරණ සමාලෝචනයක් සංවිධානය කරන්න
කළමනාකාරිත්වය ඔබගේ ෆයර්වෝලය වින්යාස නොකළ යුතුය, නමුත් ඔවුන් ISMS හි සිදුවන්නේ කුමක්ද යන්න දැන සිටිය යුතුය: නිදසුනක් වශයෙන්, සෑම කෙනෙකුම ඔවුන්ගේ වගකීම් ඉටු කරන්නේද යන්න සහ ISMS එහි ඉලක්ක ප්රතිඵල අත්කර ගන්නේද යන්න. මෙය මත පදනම්ව, ISMS සහ අභ්යන්තර ව්යාපාර ක්රියාවලීන් වැඩිදියුණු කිරීම සඳහා කළමනාකරණය ප්රධාන තීරණ ගත යුතුය.
16. නිවැරදි කිරීමේ සහ වැළැක්වීමේ ක්රියාමාර්ග පද්ධතියක් හඳුන්වා දීම
ඕනෑම ප්රමිතියක් මෙන්, ISO 27001 සඳහා “අඛණ්ඩ වැඩිදියුණු කිරීම්” අවශ්ය වේ: තොරතුරු ආරක්ෂණ කළමනාකරණ පද්ධතියේ ක්රමානුකූලව නිවැරදි කිරීම සහ නොගැලපීම් වැළැක්වීම. නිවැරදි කිරීමේ සහ වැළැක්වීමේ ක්රියාමාර්ග තුළින්, නොගැලපීම නිවැරදි කර අනාගතයේදී නැවත ඇතිවීම වැළැක්විය හැකිය.
අවසාන වශයෙන්, ඇත්ත වශයෙන්ම, විවිධ මූලාශ්රවල විස්තර කර ඇති ප්රමාණයට වඩා සහතිකයක් ලබා ගැනීම වඩා දුෂ්කර බව මම පැවසීමට කැමැත්තෙමි. අද රුසියාවේ පමණක් ඇති බව මෙය සනාථ කරයි අනුකූල වීම සඳහා සහතික කර ඇත. ඒ අතරම, මෙය විදේශයන්හි වඩාත්ම ජනප්රිය ප්රමිතීන්ගෙන් එකකි, තොරතුරු ආරක්ෂණ ක්ෂේත්රයේ ව්යාපාරවල වර්ධනය වන ඉල්ලුම සපුරාලීම. ක්රියාත්මක කිරීම සඳහා මෙම ඉල්ලුම තර්ජන වර්ගවල වර්ධනය හා සංකීර්ණත්වය පමණක් නොව, නීති සම්පාදනයේ අවශ්යතා මෙන්ම, ඔවුන්ගේ දත්තවල සම්පූර්ණ රහස්යභාවය පවත්වා ගැනීමට අවශ්ය වන සේවාදායකයින් ද වේ.
ISMS සහතික කිරීම පහසු කාර්යයක් නොවන බව තිබියදීත්, ජාත්යන්තර ප්රමිතියේ ISO/IEC 27001 හි අවශ්යතා සපුරාලීමේ කාරණය ගෝලීය වෙළඳපොලේ බරපතල තරඟකාරී වාසියක් ලබා දිය හැකිය. අපගේ ලිපිය සහතික කිරීම සඳහා සමාගමක් සූදානම් කිරීමේ ප්රධාන අදියර පිළිබඳ මූලික අවබෝධයක් ලබා දී ඇති බව අපි බලාපොරොත්තු වෙනවා.
මූලාශ්රය: www.habr.com