Danes je vprašanje informacijske varnosti (v nadaljevanju informacijska varnost) podjetij eno najbolj perečih v svetu. In to ni presenetljivo, saj v mnogih državah obstajajo zaostrene zahteve za organizacije, ki hranijo in obdelujejo osebne podatke. Trenutno ruska zakonodaja zahteva ohranjanje pomembnega deleža pretoka dokumentov v papirni obliki. Obenem je opazen trend digitalizacije: mnoga podjetja že hranijo veliko količino zaupnih informacij tako v digitalni obliki kot v obliki papirnih dokumentov.
Glede na rezultate Analitični center za boj proti zlonamerni programski opremi je 86 % anketirancev ugotovilo, da so med letom vsaj enkrat morali reševati incidente po kibernetskih napadih ali zaradi kršitev uveljavljenih predpisov s strani uporabnikov. V zvezi s tem je dajanje prednosti informacijski varnosti v poslovanju postalo nujno.
Trenutno korporativna informacijska varnost ni le skupek tehničnih sredstev, kot so protivirusni programi ali požarni zidovi, je že celostni pristop k ravnanju s sredstvi podjetja na splošno in še posebej z informacijami. Podjetja se teh težav lotevajo različno. Danes bi radi govorili o implementaciji mednarodnega standarda ISO 27001 kot rešitvi takšnega problema. Za podjetja na ruskem trgu prisotnost takega certifikata poenostavlja interakcijo s tujimi strankami in partnerji, ki imajo v tej zadevi visoke zahteve. ISO 27001 je na Zahodu zelo razširjen in pokriva zahteve na področju informacijske varnosti, ki naj bi jih pokrivale uporabljene tehnične rešitve, prispevale pa bi tudi k razvoju poslovnih procesov. Tako lahko ta standard postane vaša konkurenčna prednost in stična točka s tujimi podjetji.
Ta certifikacija sistema upravljanja informacijske varnosti (v nadaljevanju ISMS) je zbrala najboljše prakse za načrtovanje ISMS in, kar je pomembno, omogočila možnost izbire kontrolnih orodij za zagotavljanje delovanja sistema, zahteve za tehnološko varnostno podporo in celo za proces upravljanja s kadri v podjetju. Navsezadnje je treba razumeti, da so tehnične okvare le del problema. V zadevah informacijske varnosti igra človeški dejavnik ogromno vlogo, ki ga je veliko težje odpraviti ali zmanjšati.
Če želi vaše podjetje pridobiti certifikat ISO 27001, ste morda že poskusili najti preprost način za to. Moramo vas razočarati: tukaj ni preprostih poti. Vendar pa obstajajo nekateri koraki, ki bodo pomagali pripraviti organizacijo na mednarodne zahteve glede informacijske varnosti:
1. Pridobite podporo vodstva
Morda mislite, da je to očitno, vendar je v praksi ta točka pogosto spregledana. Poleg tega je to eden glavnih razlogov, zakaj projekti implementacije ISO 27001 pogosto ne uspejo. Brez razumevanja pomena projekta implementacije standarda vodstvo ne bo zagotovilo ne zadostnih človeških virov ne zadostnega proračuna za certificiranje.
2. Razvijte načrt priprave za certificiranje
Priprava na pridobitev certifikata ISO 27001 je kompleksna naloga, ki vključuje veliko različnih vrst dela, zahteva sodelovanje velikega števila ljudi in lahko traja več mesecev (ali celo let). Zato je zelo pomembno, da ustvarite podroben projektni načrt: razporedite sredstva, čas in vključevanje ljudi v strogo določene naloge in spremljajte spoštovanje rokov – drugače se lahko zgodi, da dela nikoli ne dokončate.
3. Določite obseg certificiranja
Če imate veliko organizacijo z razvejanimi dejavnostmi, je morda smiselno certificirati le del poslovanja podjetja po ISO 27001, kar bo bistveno zmanjšalo tveganje vašega projekta, pa tudi njegov čas in stroške.
4. Razviti politiko informacijske varnosti
Eden najpomembnejših dokumentov je Politika informacijske varnosti podjetja. Odražati mora cilje informacijske varnosti vašega podjetja in osnovna načela upravljanja informacijske varnosti, ki jih morajo upoštevati vsi zaposleni. Namen tega dokumenta je ugotoviti, kaj želi vodstvo družbe doseči na področju informacijske varnosti ter kako se bo to izvajalo in nadzorovalo.
5. Določite metodologijo ocenjevanja tveganja
Ena najtežjih nalog je definiranje pravil za ocenjevanje in obvladovanje tveganj. Pomembno je razumeti, katera tveganja lahko podjetje šteje za sprejemljiva in katera zahtevajo takojšnje ukrepanje za njihovo zmanjšanje. Brez teh pravil ISMS ne bo deloval.
Hkrati je treba spomniti na ustreznost sprejetih ukrepov za zmanjšanje tveganj. Vendar se s procesom optimizacije ne smete preveč zanašati, saj zahteva tudi velike časovne ali finančne stroške ali pa je preprosto nemogoč. Priporočamo, da pri razvoju ukrepov za zmanjšanje tveganja uporabite načelo "minimalne zadostnosti".
6. Upravljati tveganja po odobreni metodologiji
Naslednja faza je dosledna uporaba metodologije upravljanja s tveganji, to je njihovo ocenjevanje in obdelava. Ta postopek je treba izvajati redno in zelo previdno. S posodobljenim registrom informacijske varnosti boste lahko učinkovito razporedili vire podjetja in preprečili resne incidente.
7. Načrtujte obravnavo tveganja
Tveganja, ki presegajo sprejemljivo raven za vaše podjetje, je treba vključiti v načrt obravnave tveganj. V njem naj bodo evidentirana dejanja za zmanjševanje tveganj ter zanje odgovorne osebe in roki.
8. Izpolnite izjavo o uporabnosti
To je ključni dokument, ki ga bodo med presojo preučili strokovnjaki certifikacijskega organa. Opisuje mora, kateri nadzor varnosti informacij velja za dejavnosti vašega podjetja.
9. Določite, kako se bo merila učinkovitost kontrol varnosti informacij.
Vsako dejanje mora imeti rezultat, ki vodi do izpolnitve zastavljenih ciljev. Zato je pomembno jasno opredeliti, s katerimi parametri se bo merilo doseganje ciljev tako za celoten sistem upravljanja informacijske varnosti kot za posamezen izbran nadzorni mehanizem iz Priloge o uporabnosti.
10. Izvajajte nadzor varnosti informacij
In šele po zaključku vseh prejšnjih korakov bi morali začeti izvajati ustrezne kontrole varnosti informacij iz dodatka o uporabnosti. Največji izziv pri tem bo seveda uvedba popolnoma novega načina delovanja v številnih procesih vaše organizacije. Ljudje se ponavadi upirajo novim politikam in postopkom, zato bodite pozorni na naslednjo točko.
11. Izvajati programe usposabljanja zaposlenih
Vse zgoraj opisane točke bodo nesmiselne, če vaši zaposleni ne bodo razumeli pomena projekta in ne bodo delovali v skladu s politikami informacijske varnosti. Če želite, da vaše osebje upošteva vsa nova pravila, morate ljudem najprej razložiti, zakaj so potrebna, nato pa zagotoviti usposabljanje o ISMS, pri čemer poudarite vse pomembne politike, ki jih morajo zaposleni upoštevati pri vsakodnevnem delu. Pomanjkanje usposabljanja osebja je pogost razlog za neuspeh projekta ISO 27001.
12. Vzdrževanje procesov ISMS
Na tej točki ISO 27001 postane dnevna rutina v vaši organizaciji. Za potrditev izvajanja kontrol varovanja informacij v skladu s standardom bodo revizorji morali zagotoviti zapise – dokazila o dejanskem delovanju kontrol. Predvsem pa vam morajo evidence pomagati spremljati, ali vaši zaposleni (in dobavitelji) opravljajo svoje naloge v skladu z odobrenimi pravili.
13. Spremljajte svoj ISMS
Kaj se dogaja z vašim ISMS? Koliko incidentov imate, kakšne vrste so? Ali se pravilno upoštevajo vsi postopki? S temi vprašanji bi morali preveriti, ali podjetje izpolnjuje svoje cilje informacijske varnosti. Če ne, morate razviti načrt, kako popraviti situacijo.
14. Izvedite notranjo presojo ISMS
Namen notranje revizije je ugotoviti neskladja med dejanskimi procesi v podjetju in sprejetimi politikami informacijske varnosti. Večinoma preverja, kako dobro vaši zaposleni upoštevajo pravila. To je zelo pomembna točka, kajti če ne nadzirate dela svojega osebja, lahko organizacija utrpi škodo (namerno ali nenamerno). Toda tukaj ni cilj najti krivce in jih disciplinirati za neupoštevanje politik, temveč popraviti stanje in preprečiti prihodnje težave.
15. Organizirajte vodstveni pregled
Vodstvo ne bi smelo konfigurirati vašega požarnega zidu, vendar bi moralo vedeti, kaj se dogaja v ISMS: na primer, ali vsi izpolnjujejo svoje odgovornosti in ali ISMS dosega ciljne rezultate. Na podlagi tega mora vodstvo sprejemati ključne odločitve za izboljšanje ISMS in notranjih poslovnih procesov.
16. Uvesti sistem korektivnih in preventivnih ukrepov
Kot vsak standard tudi standard ISO 27001 zahteva »stalne izboljšave«: sistematično popravljanje in preprečevanje nedoslednosti v sistemu upravljanja varnosti informacij. S korektivnimi in preventivnimi ukrepi je mogoče neskladnost popraviti in preprečiti, da bi se v prihodnosti ponovila.
Na koncu bi rad povedal, da je v resnici certificiranje veliko težje, kot je opisano v različnih virih. To potrjuje dejstvo, da je v Rusiji danes le so bili certificirani za skladnost. Hkrati je to eden najbolj priljubljenih standardov v tujini, ki izpolnjuje vse večje zahteve gospodarstva na področju informacijske varnosti. To povpraševanje po implementaciji je posledica ne le rasti in kompleksnosti vrst groženj, temveč tudi zahtev zakonodaje, pa tudi strank, ki morajo ohraniti popolno zaupnost svojih podatkov.
Kljub temu, da certificiranje ISMS ni lahka naloga, lahko že samo izpolnjevanje zahtev mednarodnega standarda ISO/IEC 27001 zagotovi resno konkurenčno prednost na svetovnem trgu. Upamo, da je naš članek zagotovil začetno razumevanje ključnih faz pri pripravi podjetja na certificiranje.
Vir: www.habr.com