Problematika informačnej bezpečnosti (ďalej len informačná bezpečnosť) firiem je dnes jednou z najpálčivejších vo svete. A to nie je prekvapujúce, pretože v mnohých krajinách sa sprísňujú požiadavky na organizácie, ktoré uchovávajú a spracúvajú osobné údaje. V súčasnosti si ruská legislatíva vyžaduje zachovanie významnej časti toku dokumentov v papierovej forme. Zároveň je badateľný trend k digitalizácii: mnohé spoločnosti už uchovávajú veľké množstvo dôverných informácií v digitálnom formáte aj vo forme papierových dokumentov.
Podľa výsledkov Anti-Malware Analytical Center, 86 % respondentov uviedlo, že v priebehu roka museli aspoň raz riešiť incidenty po kybernetických útokoch alebo v dôsledku používateľského porušovania stanovených predpisov. V tomto smere sa uprednostňovanie informačnej bezpečnosti v podnikaní stalo nevyhnutnosťou.
Firemná informačná bezpečnosť v súčasnosti nie je len súborom technických prostriedkov, ako sú antivírusy alebo firewally, ale je to už integrovaný prístup k nakladaniu s majetkom spoločnosti vo všeobecnosti a s informáciami zvlášť. Firmy k týmto problémom pristupujú rôzne. Dnes by sme chceli hovoriť o implementácii medzinárodnej normy ISO 27001 ako o riešení takéhoto problému. Pre spoločnosti na ruskom trhu prítomnosť takéhoto certifikátu zjednodušuje interakciu so zahraničnými klientmi a partnermi, ktorí majú v tejto veci vysoké požiadavky. ISO 27001 je široko používaná na Západe a pokrýva požiadavky v oblasti informačnej bezpečnosti, ktoré by mali pokrývať používané technické riešenia a tiež prispievať k rozvoju podnikových procesov. Tento štandard sa tak môže stať vašou konkurenčnou výhodou a styčným bodom so zahraničnými spoločnosťami.
Táto certifikácia systému manažérstva informačnej bezpečnosti (ďalej len ISMS) zozbierala najlepšie praktiky pri navrhovaní ISMS a čo je dôležité, poskytla možnosť výberu riadiacich nástrojov na zabezpečenie funkčnosti systému, požiadaviek na technologickú bezpečnostnú podporu a dokonca aj pre proces personálneho manažmentu v spoločnosti. Koniec koncov, je potrebné pochopiť, že technické poruchy sú len časťou problému. V otázkach informačnej bezpečnosti zohráva obrovskú úlohu ľudský faktor a je oveľa ťažšie ho odstrániť alebo minimalizovať.
Ak sa vaša spoločnosť snaží získať certifikáciu ISO 27001, možno ste sa už pokúsili nájsť jednoduchý spôsob, ako to urobiť. Musíme vás sklamať: jednoduché spôsoby tu nie sú. Existujú však určité kroky, ktoré pomôžu pripraviť organizáciu na medzinárodnú informačnú bezpečnosť:
1. Získajte podporu od vedenia
Možno si myslíte, že je to zrejmé, ale v praxi sa tento bod často prehliada. Navyše je to jeden z hlavných dôvodov, prečo projekty implementácie ISO 27001 často zlyhávajú. Bez pochopenia významu štandardného implementačného projektu manažment neposkytne dostatočné ľudské zdroje ani dostatočný rozpočet na certifikáciu.
2. Vypracujte plán prípravy na certifikáciu
Príprava na certifikáciu ISO 27001 je komplexná úloha, ktorá zahŕňa mnoho rôznych typov práce, vyžaduje si zapojenie veľkého počtu ľudí a môže trvať mnoho mesiacov (alebo aj rokov). Preto je veľmi dôležité vytvoriť si podrobný plán projektu: vyčleniť zdroje, čas a zapojenie ľudí do presne definovaných úloh a sledovať dodržiavanie termínov – inak sa môže stať, že prácu nikdy nedokončíte.
3. Definujte certifikačný obvod
Ak máte veľkú organizáciu s diverzifikovanými aktivitami, môže mať zmysel certifikovať iba časť podnikania spoločnosti podľa ISO 27001, čo výrazne zníži riziko vášho projektu, ako aj jeho čas a náklady.
4. Vypracujte politiku informačnej bezpečnosti
Jedným z najdôležitejších dokumentov je Politika informačnej bezpečnosti spoločnosti. Mal by odrážať ciele informačnej bezpečnosti vašej spoločnosti a základné princípy riadenia informačnej bezpečnosti, ktoré musia dodržiavať všetci zamestnanci. Účelom tohto dokumentu je určiť, čo chce manažment spoločnosti v oblasti informačnej bezpečnosti dosiahnuť, ako aj spôsob implementácie a kontroly.
5. Definujte metodiku hodnotenia rizík
Jednou z najťažších úloh je definovanie pravidiel hodnotenia a riadenia rizík. Je dôležité pochopiť, ktoré riziká môže spoločnosť považovať za prijateľné a ktoré si vyžadujú okamžité opatrenia na ich zníženie. Bez týchto pravidiel nebude ISMS fungovať.
Zároveň je potrebné pripomenúť primeranosť opatrení prijatých na zníženie rizík. Nemali by ste sa však príliš unášať procesom optimalizácie, pretože si vyžadujú aj veľké časové alebo finančné náklady alebo môžu byť jednoducho nemožné. Pri vytváraní opatrení na zníženie rizika odporúčame použiť zásadu „minimálnej dostatočnosti“.
6. Riziká riadiť podľa schválenej metodiky
Ďalšou etapou je dôsledná aplikácia metodiky riadenia rizík, teda ich vyhodnocovanie a spracovanie. Tento proces sa musí vykonávať pravidelne s veľkou starostlivosťou. Ak budete udržiavať register rizík bezpečnosti informácií v aktuálnom stave, budete môcť efektívne alokovať zdroje spoločnosti a predchádzať vážnym incidentom.
7. Naplánujte si liečbu rizika
Riziká, ktoré presahujú prijateľnú úroveň pre vašu spoločnosť, musia byť zahrnuté do plánu riešenia rizík. Má zaznamenávať akcie zamerané na znižovanie rizík, ako aj osoby za ne zodpovedné a termíny.
8. Vyplňte vyhlásenie o použiteľnosti
Ide o kľúčový dokument, ktorý si počas auditu preštudujú špecialisti certifikačného orgánu. Mal by popisovať, ktoré kontroly bezpečnosti informácií sa vzťahujú na aktivity vašej spoločnosti.
9. Určite, ako sa bude merať účinnosť kontrol informačnej bezpečnosti.
Akákoľvek akcia musí mať výsledok vedúci k naplneniu stanovených cieľov. Preto je dôležité jasne definovať, akými parametrami sa bude merať dosahovanie cieľov ako pre celý systém riadenia informačnej bezpečnosti, tak aj pre každý vybraný kontrolný mechanizmus z Prílohy Použiteľnosť.
10. Zaviesť kontroly informačnej bezpečnosti
A až po dokončení všetkých predchádzajúcich krokov by ste mali začať implementovať príslušné kontroly informačnej bezpečnosti z dodatku o použiteľnosti. Najväčšou výzvou tu, samozrejme, bude zavedenie úplne nového spôsobu vykonávania vecí v rámci mnohých procesov vašej organizácie. Ľudia majú tendenciu odolávať novým politikám a postupom, preto venujte pozornosť ďalšiemu bodu.
11. Realizovať školiace programy pre zamestnancov
Všetky body popísané vyššie nebudú mať zmysel, ak vaši zamestnanci nerozumejú dôležitosti projektu a nebudú konať v súlade s politikou informačnej bezpečnosti. Ak chcete, aby vaši zamestnanci dodržiavali všetky nové pravidlá, musíte najprv ľuďom vysvetliť, prečo sú potrebné, a potom poskytnúť školenie o ISMS, pričom zdôrazníte všetky dôležité zásady, ktoré musia zamestnanci brať do úvahy pri svojej každodennej práci. Nedostatočné školenie zamestnancov je bežným dôvodom zlyhania projektu podľa normy ISO 27001.
12. Udržiavať procesy ISMS
V tomto bode sa ISO 27001 stáva každodennou rutinou vo vašej organizácii. Na potvrdenie vykonávania kontrol informačnej bezpečnosti v súlade s normou budú musieť audítori poskytnúť záznamy – dôkazy o skutočnom fungovaní kontrol. No predovšetkým by vám záznamy mali pomôcť sledovať, či vaši zamestnanci (a dodávatelia) plnia svoje úlohy v súlade so schválenými pravidlami.
13. Monitorujte svoje ISMS
Čo sa deje s vaším ISMS? Koľko incidentov máte, akého sú typu? Dodržiavajú sa všetky postupy správne? Pomocou týchto otázok by ste si mali overiť, či spoločnosť spĺňa svoje ciele informačnej bezpečnosti. Ak nie, musíte vypracovať plán na nápravu situácie.
14. Vykonať interný audit ISMS
Účelom interného auditu je identifikovať nezrovnalosti medzi skutočnými procesmi v spoločnosti a schválenými politikami informačnej bezpečnosti. Väčšinou ide o kontrolu, ako dobre vaši zamestnanci dodržiavajú pravidlá. Toto je veľmi dôležitý bod, pretože ak nebudete kontrolovať prácu svojich zamestnancov, organizácia môže utrpieť škodu (úmyselnú alebo neúmyselnú). Cieľom tu však nie je nájsť vinníkov a potrestať ich za nedodržiavanie politík, ale napraviť situáciu a predchádzať budúcim problémom.
15. Zorganizujte kontrolu manažmentu
Manažment by nemal konfigurovať váš firewall, ale mal by vedieť, čo sa deje v ISMS: napríklad, či si všetci plnia svoje povinnosti a či ISMS dosahuje svoje cieľové výsledky. Na základe toho musí manažment urobiť kľúčové rozhodnutia na zlepšenie ISMS a interných obchodných procesov.
16. Zaviesť systém nápravných a preventívnych opatrení
Ako každá norma, aj ISO 27001 vyžaduje „neustále zlepšovanie“: systematickú nápravu a prevenciu nezrovnalostí v systéme riadenia informačnej bezpečnosti. Prostredníctvom nápravných a preventívnych opatrení možno nezhodu napraviť a zabrániť jej opätovnému výskytu v budúcnosti.
Na záver by som chcel povedať, že v skutočnosti je získanie certifikácie oveľa ťažšie, ako je opísané v rôznych zdrojoch. Potvrdzuje to skutočnosť, že v Rusku dnes existujú len boli certifikované pre zhodu. Zároveň ide o jeden z najpopulárnejších štandardov v zahraničí, spĺňajúci rastúce nároky biznisu v oblasti informačnej bezpečnosti. Táto požiadavka na implementáciu je spôsobená nielen rastom a komplexnosťou typov hrozieb, ale aj požiadavkami legislatívy, ako aj klientov, ktorí potrebujú zachovať úplnú dôvernosť svojich údajov.
Napriek tomu, že certifikácia ISMS nie je ľahká úloha, už samotná skutočnosť splnenia požiadaviek medzinárodnej normy ISO/IEC 27001 môže poskytnúť vážnu konkurenčnú výhodu na globálnom trhu. Dúfame, že náš článok poskytol počiatočné pochopenie kľúčových fáz prípravy spoločnosti na certifikáciu.
Zdroj: hab.com