Ngayon, ang isyu ng seguridad ng impormasyon (mula dito ay tinutukoy bilang seguridad ng impormasyon) ng mga kumpanya ay isa sa mga pinaka-pagpindot sa mundo. At ito ay hindi nakakagulat, dahil sa maraming mga bansa mayroong isang paghihigpit ng mga kinakailangan para sa mga organisasyon na nag-iimbak at nagpoproseso ng personal na data. Sa kasalukuyan, ang batas ng Russia ay nangangailangan ng pagpapanatili ng isang makabuluhang proporsyon ng daloy ng dokumento sa anyo ng papel. Kasabay nito, ang trend patungo sa digitalization ay kapansin-pansin: maraming mga kumpanya ang nag-iimbak ng isang malaking halaga ng kumpidensyal na impormasyon kapwa sa digital na format at sa anyo ng mga dokumentong papel.
Ayon sa mga resulta Anti-Malware Analytical Center, 86% ng mga respondent ang nagsabi na sa loob ng isang taon kailangan nilang lutasin ang mga insidente pagkatapos ng cyber attack o bilang resulta ng mga paglabag ng user sa mga itinatag na regulasyon. Kaugnay nito, ang pagbibigay-priyoridad sa seguridad ng impormasyon sa negosyo ay naging isang pangangailangan.
Sa kasalukuyan, ang seguridad ng impormasyon ng korporasyon ay hindi lamang isang hanay ng mga teknikal na paraan, tulad ng mga antivirus o firewall, ito ay isang pinagsama-samang diskarte sa paghawak ng mga asset ng kumpanya sa pangkalahatan at impormasyon sa partikular. Iba-iba ang pagharap ng mga kumpanya sa mga problemang ito. Ngayon nais naming pag-usapan ang tungkol sa pagpapatupad ng internasyonal na pamantayang ISO 27001 bilang isang solusyon sa naturang problema. Para sa mga kumpanya sa merkado ng Russia, ang pagkakaroon ng naturang sertipiko ay nagpapadali sa pakikipag-ugnayan sa mga dayuhang kliyente at kasosyo na may mataas na mga kinakailangan sa bagay na ito. Ang ISO 27001 ay malawakang ginagamit sa Kanluran at sumasaklaw sa mga kinakailangan sa seguridad ng impormasyon na dapat sakupin ng mga teknikal na solusyon na ginagamit, pati na rin mag-ambag sa pagbuo ng mga proseso ng negosyo. Kaya, ang pamantayang ito ay maaaring maging iyong mapagkumpitensyang kalamangan at isang punto ng pakikipag-ugnayan sa mga dayuhang kumpanya.
Ang sertipikasyong ito ng Information Security Management System (simula dito ay tinutukoy bilang ISMS) ay nagkolekta ng mga pinakamahusay na kasanayan para sa pagdidisenyo ng isang ISMS at, mahalaga, naglaan para sa posibilidad ng pagpili ng mga tool sa pagkontrol upang matiyak ang paggana ng system, mga kinakailangan para sa suporta sa teknolohikal na seguridad at maging para sa proseso ng pamamahala ng tauhan sa kumpanya. Pagkatapos ng lahat, ito ay kinakailangan upang maunawaan na ang mga teknikal na pagkabigo ay bahagi lamang ng problema. Sa usapin ng seguridad ng impormasyon, ang kadahilanan ng tao ay gumaganap ng isang malaking papel, at ito ay mas mahirap na alisin o mabawasan ito.
Kung ang iyong kumpanya ay naghahanap upang maging ISO 27001 certified, pagkatapos ay maaaring sinubukan mo na upang mahanap ang madaling paraan upang gawin ito. Kailangan naming biguin ka: walang madaling paraan dito. Gayunpaman, may ilang mga hakbang na makakatulong sa paghahanda ng isang organisasyon para sa internasyonal na mga kinakailangan sa seguridad ng impormasyon:
1. Kumuha ng suporta mula sa pamamahala
Maaari mong isipin na ito ay halata, ngunit sa pagsasanay ang puntong ito ay madalas na napapansin. Bukod dito, ito ang isa sa mga pangunahing dahilan kung bakit madalas na nabigo ang mga proyekto sa pagpapatupad ng ISO 27001. Nang walang pag-unawa sa kahalagahan ng karaniwang proyekto sa pagpapatupad, ang pamamahala ay hindi magbibigay ng alinman sa sapat na human resources o sapat na badyet para sa sertipikasyon.
2. Bumuo ng Plano sa Paghahanda ng Sertipikasyon
Ang paghahanda para sa sertipikasyon ng ISO 27001 ay isang kumplikadong gawain na kinasasangkutan ng maraming iba't ibang uri ng trabaho, nangangailangan ng pakikilahok ng isang malaking bilang ng mga tao at maaaring tumagal ng maraming buwan (o kahit na taon). Samakatuwid, napakahalaga na lumikha ng isang detalyadong plano ng proyekto: maglaan ng mga mapagkukunan, oras at paglahok ng mga tao sa mahigpit na tinukoy na mga gawain at subaybayan ang pagsunod sa mga deadline - kung hindi, maaaring hindi mo matapos ang trabaho.
3. Tukuyin ang perimeter ng sertipikasyon
Kung mayroon kang malaking organisasyon na may sari-saring aktibidad, maaaring makatuwirang i-certify ang bahagi lamang ng negosyo ng kumpanya sa ISO 27001, na makabuluhang bawasan ang panganib ng iyong proyekto, gayundin ang oras at gastos nito.
4. Bumuo ng isang patakaran sa seguridad ng impormasyon
Isa sa pinakamahalagang dokumento ay ang Patakaran sa Seguridad ng Impormasyon ng kumpanya. Dapat itong sumasalamin sa mga layunin sa seguridad ng impormasyon ng iyong kumpanya at ang mga pangunahing prinsipyo ng pamamahala sa seguridad ng impormasyon, na dapat sundin ng lahat ng empleyado. Ang layunin ng dokumentong ito ay upang matukoy kung ano ang gustong makamit ng pamamahala ng kumpanya sa larangan ng seguridad ng impormasyon, gayundin kung paano ito ipapatupad at makokontrol.
5. Tukuyin ang isang pamamaraan ng pagtatasa ng panganib
Isa sa pinakamahirap na gawain ay ang pagtukoy ng mga panuntunan para sa pagtatasa at pamamahala ng panganib. Mahalagang maunawaan kung aling mga panganib ang maaaring isaalang-alang ng isang kumpanya na katanggap-tanggap at nangangailangan ng agarang aksyon upang mabawasan ang mga ito. Kung wala ang mga panuntunang ito, hindi gagana ang ISMS.
Kasabay nito, ito ay nagkakahalaga ng pag-alala sa kasapatan ng mga hakbang na ginawa upang mabawasan ang mga panganib. Ngunit hindi ka dapat masyadong madala sa proseso ng pag-optimize, dahil nangangailangan din sila ng malaking oras o gastos sa pananalapi o maaaring imposible lamang. Inirerekomenda namin na gamitin mo ang prinsipyo ng "minimum na sapat" kapag bumubuo ng mga hakbang sa pagbabawas ng panganib.
6. Pamahalaan ang mga panganib ayon sa isang naaprubahang pamamaraan
Ang susunod na yugto ay ang pare-parehong aplikasyon ng pamamaraan ng pamamahala ng peligro, iyon ay, ang kanilang pagtatasa at pagproseso. Ang prosesong ito ay dapat na isagawa sa isang regular na batayan na may mahusay na pangangalaga. Sa pamamagitan ng pagpapanatiling napapanahon ang rehistro ng panganib sa seguridad ng impormasyon, magagawa mong epektibong maglaan ng mga mapagkukunan ng kumpanya at maiwasan ang mga seryosong insidente.
7. Planuhin ang panganib na paggamot
Ang mga panganib na lumampas sa isang katanggap-tanggap na antas para sa iyong kumpanya ay dapat na kasama sa plano sa paggamot sa panganib. Dapat itong magtala ng mga aksyon na naglalayong bawasan ang mga panganib, gayundin ang mga taong responsable para sa kanila at ang mga deadline.
8. Kumpletuhin ang Statement of Applicability
Ito ay isang mahalagang dokumento na pag-aaralan ng mga espesyalista mula sa certification body sa panahon ng pag-audit. Dapat nitong ilarawan kung aling mga kontrol sa seguridad ng impormasyon ang nalalapat sa mga aktibidad ng iyong kumpanya.
9. Tukuyin kung paano susukatin ang pagiging epektibo ng mga kontrol sa seguridad ng impormasyon.
Ang anumang aksyon ay dapat magkaroon ng resulta na humahantong sa katuparan ng mga itinatag na layunin. Samakatuwid, mahalagang malinaw na tukuyin sa pamamagitan ng kung anong mga parameter ang pagkakamit ng mga layunin ay susukatin kapwa para sa buong sistema ng pamamahala ng seguridad ng impormasyon at para sa bawat napiling mekanismo ng kontrol mula sa Applicability Annex.
10. Magpatupad ng mga kontrol sa seguridad ng impormasyon
At pagkatapos lamang makumpleto ang lahat ng mga nakaraang hakbang ay dapat mong simulan na ipatupad ang naaangkop na mga kontrol sa seguridad ng impormasyon mula sa Applicability Appendix. Ang pinakamalaking hamon dito, siyempre, ay ang pagpapakilala ng isang ganap na bagong paraan ng paggawa ng mga bagay sa marami sa mga proseso ng iyong organisasyon. May posibilidad na labanan ng mga tao ang mga bagong patakaran at pamamaraan, kaya bigyang-pansin ang susunod na punto.
11. Magpatupad ng mga programa sa pagsasanay para sa mga empleyado
Ang lahat ng mga puntong inilarawan sa itaas ay magiging walang kabuluhan kung ang iyong mga empleyado ay hindi nauunawaan ang kahalagahan ng proyekto at hindi kumilos alinsunod sa mga patakaran sa seguridad ng impormasyon. Kung gusto mong sumunod ang iyong staff sa lahat ng bagong panuntunan, kailangan mo munang ipaliwanag sa mga tao kung bakit kinakailangan ang mga ito, at pagkatapos ay magbigay ng pagsasanay sa ISMS, na itinatampok ang lahat ng mahahalagang patakaran na dapat isaalang-alang ng mga empleyado sa kanilang pang-araw-araw na trabaho. Ang kakulangan sa pagsasanay ng kawani ay isang karaniwang dahilan para sa pagkabigo ng proyekto ng ISO 27001.
12. Panatilihin ang mga proseso ng ISMS
Sa puntong ito, nagiging pang-araw-araw na gawain ang ISO 27001 sa iyong organisasyon. Upang kumpirmahin ang pagpapatupad ng mga kontrol sa seguridad ng impormasyon alinsunod sa pamantayan, ang mga auditor ay kailangang magbigay ng mga talaan - ebidensya ng aktwal na operasyon ng mga kontrol. Ngunit higit sa lahat, ang mga talaan ay dapat makatulong sa iyo na masubaybayan kung ang iyong mga empleyado (at mga supplier) ay gumaganap ng kanilang mga gawain alinsunod sa mga naaprubahang panuntunan.
13. Subaybayan ang iyong ISMS
Ano ang nangyayari sa iyong ISMS? Ilang insidente ang mayroon ka, anong uri sila? Ang lahat ba ng mga pamamaraan ay sinusunod nang maayos? Sa mga tanong na ito, dapat mong suriin kung natutugunan ng kumpanya ang mga layunin nito sa seguridad ng impormasyon. Kung hindi, dapat kang bumuo ng isang plano upang itama ang sitwasyon.
14. Magsagawa ng panloob na pag-audit ng ISMS
Ang layunin ng panloob na pag-audit ay tukuyin ang mga hindi pagkakapare-pareho sa pagitan ng mga aktwal na proseso sa kumpanya at naaprubahang mga patakaran sa seguridad ng impormasyon. Para sa karamihan, sinusuri nito upang makita kung gaano kahusay ang pagsunod ng iyong mga empleyado sa mga panuntunan. Ito ay isang napakahalagang punto, dahil kung hindi mo kontrolin ang gawain ng iyong mga tauhan, ang organisasyon ay maaaring makaranas ng pinsala (sinadya o hindi sinasadya). Ngunit ang layunin dito ay hindi upang mahanap ang mga salarin at disiplinahin sila para sa hindi pagsunod sa mga patakaran, ngunit upang itama ang sitwasyon at maiwasan ang mga problema sa hinaharap.
15. Ayusin ang isang pagsusuri sa pamamahala
Hindi dapat i-configure ng pamamahala ang iyong firewall, ngunit dapat nilang malaman kung ano ang nangyayari sa ISMS: halimbawa, kung natutugunan ng lahat ang kanilang mga responsibilidad at kung nakakamit ng ISMS ang mga target na resulta nito. Batay dito, ang pamamahala ay dapat gumawa ng mga pangunahing desisyon upang mapabuti ang ISMS at mga panloob na proseso ng negosyo.
16. Magpakilala ng isang sistema ng pagwawasto at pag-iwas sa mga aksyon
Tulad ng anumang pamantayan, ang ISO 27001 ay nangangailangan ng "patuloy na pagpapabuti": ang sistematikong pagwawasto at pag-iwas sa mga hindi pagkakapare-pareho sa sistema ng pamamahala ng seguridad ng impormasyon. Sa pamamagitan ng pagwawasto at pag-iwas, ang hindi pagsunod ay maaaring itama at maiwasang maulit sa hinaharap.
Sa konklusyon, nais kong sabihin na sa katunayan, ang pagiging sertipikado ay mas mahirap kaysa sa inilarawan sa iba't ibang mga mapagkukunan. Ito ay kinumpirma ng katotohanan na sa Russia ngayon mayroon lamang ay na-certify para sa pagsunod. Kasabay nito, ito ay isa sa mga pinakasikat na pamantayan sa ibang bansa, na nakakatugon sa lumalaking pangangailangan ng negosyo sa larangan ng seguridad ng impormasyon. Ang demand na ito para sa pagpapatupad ay dahil hindi lamang sa paglaki at pagiging kumplikado ng mga uri ng mga banta, kundi pati na rin sa mga kinakailangan ng batas, pati na rin ang mga kliyente na kailangang mapanatili ang kumpletong pagiging kumpidensyal ng kanilang data.
Sa kabila ng katotohanan na ang sertipikasyon ng ISMS ay hindi isang madaling gawain, ang mismong katotohanan ng pagtugon sa mga kinakailangan ng internasyonal na pamantayang ISO/IEC 27001 ay maaaring magbigay ng isang seryosong competitive na kalamangan sa pandaigdigang merkado. Inaasahan namin na ang aming artikulo ay nagbigay ng paunang pag-unawa sa mga pangunahing yugto sa paghahanda ng isang kumpanya para sa sertipikasyon.
Pinagmulan: www.habr.com