Sot, çështja e sigurisë së informacionit (në tekstin e mëtejmë si siguria e informacionit) e kompanive është një nga më të ngutshmet në botë. Dhe kjo nuk është për t'u habitur, sepse në shumë vende ka një shtrëngim të kërkesave për organizatat që ruajnë dhe përpunojnë të dhëna personale. Aktualisht, legjislacioni rus kërkon ruajtjen e një pjese të konsiderueshme të rrjedhës së dokumenteve në formë letre. Në të njëjtën kohë, prirja drejt dixhitalizimit është e dukshme: shumë kompani tashmë ruajnë një sasi të madhe informacioni konfidencial si në format dixhital ashtu edhe në formën e dokumenteve në letër.
Sipas rezultateve Qendra Analitike Anti-Malware, 86% e të anketuarve vunë re se gjatë vitit ata të paktën një herë duhej të zgjidhnin incidentet pas sulmeve kibernetike ose si rezultat i shkeljeve të rregulloreve të vendosura nga përdoruesit. Në këtë drejtim, prioritizimi i sigurisë së informacionit në biznes është bërë një domosdoshmëri.
Aktualisht, siguria e informacionit të korporatës nuk është vetëm një grup mjetesh teknike, të tilla si antiviruset ose muret e zjarrit, ajo tashmë është një qasje e integruar për trajtimin e aseteve të kompanisë në përgjithësi dhe informacionit në veçanti. Kompanitë i trajtojnë këto probleme ndryshe. Sot do të donim të flisnim për zbatimin e standardit ndërkombëtar ISO 27001 si zgjidhje për një problem të tillë. Për kompanitë në tregun rus, prania e një certifikate të tillë thjeshton ndërveprimin me klientët dhe partnerët e huaj që kanë kërkesa të larta në këtë çështje. ISO 27001 përdoret gjerësisht në Perëndim dhe mbulon kërkesat në fushën e sigurisë së informacionit, të cilat duhet të mbulohen nga zgjidhjet teknike të përdorura, si dhe të kontribuojnë në zhvillimin e proceseve të biznesit. Kështu, ky standard mund të bëhet avantazhi juaj konkurrues dhe një pikë kontakti me kompanitë e huaja.
Ky certifikim i Sistemit të Menaxhimit të Sigurisë së Informacionit (në tekstin e mëtejmë ISMS) mblodhi praktikat më të mira për hartimin e një ISMS dhe, më e rëndësishmja, parashikoi mundësinë e zgjedhjes së mjeteve të kontrollit për të siguruar funksionimin e sistemit, kërkesat për mbështetjen teknologjike të sigurisë dhe madje. për procesin e menaxhimit të personelit në kompani. Në fund të fundit, është e nevojshme të kuptohet se dështimet teknike janë vetëm një pjesë e problemit. Në çështjet e sigurisë së informacionit, faktori njerëzor luan një rol të madh dhe është shumë më e vështirë për ta eliminuar ose minimizuar atë.
Nëse kompania juaj kërkon të bëhet e certifikuar ISO 27001, atëherë mund të keni provuar tashmë të gjeni mënyrën e thjeshtë për ta bërë këtë. Duhet t'ju zhgënjejmë: këtu nuk ka mënyra të lehta. Megjithatë, ka disa hapa që do të ndihmojnë në përgatitjen e një organizate për kërkesat ndërkombëtare të sigurisë së informacionit:
1. Merrni mbështetje nga menaxhmenti
Ju mund të mendoni se kjo është e qartë, por në praktikë kjo pikë shpesh neglizhohet. Për më tepër, kjo është një nga arsyet kryesore pse projektet e zbatimit të ISO 27001 shpesh dështojnë. Pa kuptuar rëndësinë e projektit standard të zbatimit, menaxhmenti nuk do të sigurojë as burime të mjaftueshme njerëzore dhe as buxhet të mjaftueshëm për certifikim.
2. Zhvilloni një plan përgatitor certifikimi
Përgatitja për certifikimin ISO 27001 është një detyrë komplekse që përfshin shumë lloje të ndryshme pune, kërkon përfshirjen e një numri të madh njerëzish dhe mund të zgjasë shumë muaj (ose edhe vite). Prandaj, është shumë e rëndësishme të krijoni një plan të detajuar të projektit: shpërndani burimet, kohën dhe përfshirjen e njerëzve në detyra të përcaktuara rreptësisht dhe monitoroni respektimin e afateve - përndryshe nuk mund ta përfundoni kurrë punën.
3. Përcaktoni perimetrin e certifikimit
Nëse keni një organizatë të madhe me aktivitete të larmishme, mund të ketë kuptim të certifikoni vetëm një pjesë të biznesit të kompanisë sipas ISO 27001, gjë që do të reduktojë ndjeshëm rrezikun e projektit tuaj, si dhe kohën dhe koston e tij.
4. Zhvilloni një politikë të sigurisë së informacionit
Një nga dokumentet më të rëndësishme është Politika e Sigurisë së Informacionit të kompanisë. Ai duhet të pasqyrojë qëllimet e sigurisë së informacionit të kompanisë suaj dhe parimet bazë të menaxhimit të sigurisë së informacionit, të cilat duhet të ndiqen nga të gjithë punonjësit. Qëllimi i këtij dokumenti është të përcaktojë se çfarë dëshiron të arrijë menaxhmenti i kompanisë në fushën e sigurisë së informacionit, si dhe se si do të zbatohet dhe kontrollohet kjo.
5. Përcaktoni një metodologji të vlerësimit të rrezikut
Një nga detyrat më të vështira është përcaktimi i rregullave për vlerësimin dhe menaxhimin e rrezikut. Është e rëndësishme të kuptohet se cilat rreziqe mund t'i konsiderojë të pranueshme një kompani dhe cilat kërkojnë veprime të menjëhershme për t'i reduktuar ato. Pa këto rregulla, ISMS nuk do të funksionojë.
Në të njëjtën kohë, vlen të kujtohet përshtatshmëria e masave të marra për të zvogëluar rreziqet. Por nuk duhet të tërhiqesh shumë me procesin e optimizimit, sepse ato sjellin gjithashtu kosto të mëdha kohore ose financiare ose thjesht mund të jenë të pamundura. Ne ju rekomandojmë të përdorni parimin e "mjaftueshmërisë minimale" kur zhvilloni masa për reduktimin e rrezikut.
6. Menaxhoni rreziqet sipas një metodologjie të miratuar
Faza tjetër është aplikimi i vazhdueshëm i metodologjisë së menaxhimit të riskut, pra vlerësimi dhe përpunimi i tyre. Ky proces duhet të kryhet rregullisht me shumë kujdes. Duke mbajtur të përditësuar regjistrin e rrezikut të sigurisë së informacionit, do të jeni në gjendje të shpërndani në mënyrë efektive burimet e kompanisë dhe të parandaloni incidente serioze.
7. Planifikoni trajtimin e rrezikut
Rreziqet që tejkalojnë një nivel të pranueshëm për kompaninë tuaj duhet të përfshihen në planin e trajtimit të rrezikut. Ai duhet të regjistrojë veprimet që synojnë reduktimin e rreziqeve, si dhe personat përgjegjës për to dhe afatet.
8. Plotësoni deklaratën e zbatueshmërisë
Ky është një dokument kyç që do të studiohet nga specialistë të organizmit certifikues gjatë auditimit. Ai duhet të përshkruajë se cilat kontrolle të sigurisë së informacionit zbatohen për aktivitetet e kompanisë suaj.
9. Përcaktoni se si do të matet efektiviteti i kontrolleve të sigurisë së informacionit.
Çdo veprim duhet të ketë një rezultat që çon në përmbushjen e qëllimeve të vendosura. Prandaj, është e rëndësishme të përcaktohet qartë se me cilat parametra do të matet arritja e qëllimeve si për të gjithë sistemin e menaxhimit të sigurisë së informacionit ashtu edhe për çdo mekanizëm kontrolli të zgjedhur nga Shtojca e Zbatueshmërisë.
10. Zbatimi i kontrolleve të sigurisë së informacionit
Dhe vetëm pasi të keni përfunduar të gjitha hapat e mëparshëm, duhet të filloni të zbatoni kontrollet e aplikueshme të sigurisë së informacionit nga Shtojca e Zbatueshmërisë. Sfida më e madhe këtu, sigurisht, do të jetë prezantimi i një mënyre krejtësisht të re për të bërë gjërat në shumë prej proceseve të organizatës suaj. Njerëzit priren t'u rezistojnë politikave dhe procedurave të reja, ndaj kushtojini vëmendje pikës tjetër.
11. Zbatimi i programeve të trajnimit për punonjësit
Të gjitha pikat e përshkruara më sipër do të jenë të pakuptimta nëse punonjësit tuaj nuk e kuptojnë rëndësinë e projektit dhe nuk veprojnë në përputhje me politikat e sigurisë së informacionit. Nëse dëshironi që stafi juaj të jetë në përputhje me të gjitha rregullat e reja, fillimisht duhet t'u shpjegoni njerëzve pse ato janë të nevojshme dhe më pas të ofroni trajnime mbi ISMS, duke theksuar të gjitha politikat e rëndësishme që punonjësit duhet të kenë parasysh në punën e tyre të përditshme. Mungesa e trajnimit të stafit është një arsye e zakonshme për dështimin e projektit ISO 27001.
12. Ruajtja e proceseve ISMS
Në këtë pikë, ISO 27001 bëhet një rutinë e përditshme në organizatën tuaj. Për të konfirmuar zbatimin e kontrolleve të sigurisë së informacionit në përputhje me standardin, auditorët do të duhet të ofrojnë regjistrime - dëshmi të funksionimit aktual të kontrolleve. Por mbi të gjitha, të dhënat duhet t'ju ndihmojnë të gjurmoni nëse punonjësit tuaj (dhe furnitorët) po kryejnë detyrat e tyre në përputhje me rregullat e miratuara.
13. Monitoroni ISMS-në tuaj
Çfarë po ndodh me ISMS-në tuaj? Sa incidente keni, çfarë lloji janë ato? A ndiqen siç duhet të gjitha procedurat? Me këto pyetje, duhet të kontrolloni nëse kompania po përmbush qëllimet e saj të sigurisë së informacionit. Nëse jo, duhet të zhvilloni një plan për të korrigjuar situatën.
14. Kryeni një auditim të brendshëm ISMS
Qëllimi i auditimit të brendshëm është të identifikojë mospërputhjet midis proceseve aktuale në kompani dhe politikave të miratuara të sigurisë së informacionit. Në pjesën më të madhe, po kontrollohet për të parë se sa mirë punonjësit tuaj po ndjekin rregullat. Kjo është një pikë shumë e rëndësishme, sepse nëse nuk kontrolloni punën e stafit tuaj, organizata mund të pësojë dëme (të qëllimshme ose të paqëllimshme). Por qëllimi këtu nuk është gjetja e fajtorëve dhe disiplinimi i tyre për mosrespektim të politikave, por korrigjimi i situatës dhe parandalimi i problemeve në të ardhmen.
15. Organizoni një rishikim të menaxhmentit
Menaxhmenti nuk duhet të konfigurojë murin tuaj të zjarrit, por ata duhet të dinë se çfarë po ndodh në ISMS: për shembull, nëse të gjithë po përmbushin përgjegjësitë e tyre dhe nëse ISMS po i arrin rezultatet e synuara. Bazuar në këtë, menaxhmenti duhet të marrë vendime kyçe për të përmirësuar ISMS dhe proceset e brendshme të biznesit.
16. Futja e një sistemi veprimesh korrigjuese dhe parandaluese
Si çdo standard, ISO 27001 kërkon "përmirësim të vazhdueshëm": korrigjimin sistematik dhe parandalimin e mospërputhjeve në sistemin e menaxhimit të sigurisë së informacionit. Nëpërmjet veprimeve korrigjuese dhe parandaluese, moskonformiteti mund të korrigjohet dhe të parandalohet që të përsëritet në të ardhmen.
Si përfundim, dua të them se në fakt, certifikimi është shumë më i vështirë sesa përshkruhet në burime të ndryshme. Kjo konfirmohet nga fakti se në Rusi sot ka vetëm janë certifikuar për pajtueshmëri. Në të njëjtën kohë, ky është një nga standardet më të njohura jashtë vendit, duke përmbushur kërkesat në rritje të biznesit në fushën e sigurisë së informacionit. Kjo kërkesë për zbatim i detyrohet jo vetëm rritjes dhe kompleksitetit të llojeve të kërcënimeve, por edhe kërkesave të legjislacionit, si dhe klientëve që duhet të ruajnë konfidencialitetin e plotë të të dhënave të tyre.
Pavarësisht se certifikimi ISMS nuk është një detyrë e lehtë, vetë fakti i përmbushjes së kërkesave të standardit ndërkombëtar ISO/IEC 27001 mund të sigurojë një avantazh serioz konkurrues në tregun global. Shpresojmë që artikulli ynë të ketë dhënë një kuptim fillestar të fazave kryesore në përgatitjen e një kompanie për certifikim.
Burimi: www.habr.com