Günümüzde şirketlerin bilgi güvenliği konusu (bundan sonra bilgi güvenliği olarak anılacaktır) dünyadaki en acil konulardan biridir. Ve bu şaşırtıcı değil, çünkü birçok ülkede kişisel verileri saklayan ve işleyen kuruluşlara yönelik gereksinimler sıkılaşıyor. Şu anda, Rus mevzuatı belge akışının önemli bir kısmının kağıt biçiminde tutulmasını gerektirmektedir. Aynı zamanda, dijitalleşmeye yönelik eğilim de dikkat çekicidir: Birçok şirket halihazırda büyük miktarda gizli bilgiyi hem dijital formatta hem de kağıt belgeler biçiminde saklamaktadır.
Sonuçlarına göre Kötü Amaçlı Yazılım Önleme Analitik Merkezi'nde yanıt verenlerin %86'sı, yıl içinde en az bir kez siber saldırılardan sonra veya kullanıcıların yerleşik düzenlemeleri ihlal etmesi sonucu ortaya çıkan olayları çözmek zorunda kaldıklarını belirtti. Bu bağlamda işletmelerde bilgi güvenliğinin ön planda tutulması bir zorunluluk haline gelmiştir.
Şu anda, kurumsal bilgi güvenliği yalnızca antivirüsler veya güvenlik duvarları gibi bir dizi teknik araç değildir; genel olarak şirket varlıklarının ve özel olarak bilgilerin yönetilmesine yönelik entegre bir yaklaşımdır. Şirketler bu sorunlara farklı yaklaşıyor. Bugün böyle bir soruna çözüm olarak uluslararası ISO 27001 standardının uygulanmasından bahsetmek istiyoruz. Rusya pazarındaki şirketler için böyle bir sertifikanın varlığı, bu konuda yüksek gereksinimleri olan yabancı müşteriler ve ortaklarla etkileşimi kolaylaştırmaktadır. ISO 27001 Batı'da yaygın olarak kullanılmakta olup, kullanılan teknik çözümlerin kapsaması gereken bilgi güvenliği alanındaki gereksinimleri kapsamakta ve aynı zamanda iş süreçlerinin geliştirilmesine de katkı sağlamaktadır. Böylece bu standart rekabet avantajınız ve yabancı şirketlerle iletişim noktanız haline gelebilir.
Bilgi Güvenliği Yönetim Sisteminin (bundan sonra BGYS olarak anılacaktır) bu sertifikasyonu, bir BGYS tasarlamaya yönelik en iyi uygulamaları topladı ve daha da önemlisi, sistemin işleyişini, teknolojik güvenlik desteği gerekliliklerini ve hatta Şirketteki personel yönetimi süreci için. Sonuçta teknik arızaların sorunun yalnızca bir parçası olduğunu anlamak gerekir. Bilgi güvenliği konularında insan faktörü çok büyük bir rol oynamaktadır ve bunu ortadan kaldırmak veya en aza indirmek çok daha zordur.
Şirketiniz ISO 27001 sertifikası almak istiyorsa, bunu yapmanın kolay yolunu zaten denemiş olabilirsiniz. Sizi hayal kırıklığına uğratmak zorundayız: Burada kolay yol yok. Ancak bir kuruluşun uluslararası bilgi güvenliği gereksinimlerine hazırlanmasına yardımcı olacak belirli adımlar vardır:
1. Yönetimden destek alın
Bunun çok açık olduğunu düşünebilirsiniz ancak pratikte bu nokta sıklıkla gözden kaçırılmaktadır. Üstelik ISO 27001 uygulama projelerinin sıklıkla başarısız olmasının ana nedenlerinden biri de budur. Yönetim, standart uygulama projesinin önemini anlamadan, belgelendirme için ne yeterli insan kaynağı ne de yeterli bütçe sağlayacaktır.
2. Sertifikasyon Hazırlık Planı Geliştirin
ISO 27001 sertifikasına hazırlık, birçok farklı çalışma türünü içeren, çok sayıda insanın katılımını gerektiren ve aylarca (hatta yıllarca) sürebilen karmaşık bir iştir. Bu nedenle, ayrıntılı bir proje planı oluşturmak çok önemlidir: kaynakları, zamanı ve insanların katılımını kesin olarak tanımlanmış görevlere tahsis edin ve son teslim tarihlerine uyumu izleyin - aksi takdirde işi asla bitiremezsiniz.
3. Sertifikasyon çevresini tanımlayın
Çeşitli faaliyetlere sahip büyük bir kuruluşunuz varsa, şirketin işinin yalnızca bir kısmını ISO 27001'e belgelendirmek mantıklı olabilir; bu, projenizin riskinin yanı sıra zaman ve maliyetini de önemli ölçüde azaltacaktır.
4. Bilgi güvenliği politikası geliştirin
En önemli belgelerden biri şirketin Bilgi Güvenliği Politikasıdır. Şirketinizin bilgi güvenliği hedeflerini ve tüm çalışanların uyması gereken bilgi güvenliği yönetiminin temel ilkelerini yansıtmalıdır. Bu belgenin amacı şirket yönetiminin bilgi güvenliği alanında neyi başarmak istediğini, bunun nasıl uygulanacağını ve kontrol edileceğini belirlemektir.
5. Risk değerlendirme metodolojisini tanımlayın
En zor görevlerden biri risk değerlendirmesi ve yönetimine ilişkin kuralların tanımlanmasıdır. Bir şirketin hangi riskleri kabul edilebilir olarak değerlendirebileceğini ve hangilerinin azaltılması için acil eylem gerektirdiğini anlamak önemlidir. Bu kurallar olmadan BGYS çalışmayacaktır.
Aynı zamanda risklerin azaltılmasına yönelik alınan tedbirlerin yeterliliğini de hatırlamakta fayda var. Ancak optimizasyon sürecine çok fazla kapılmamalısınız çünkü bunlar aynı zamanda büyük zaman veya mali maliyetler gerektirir veya tamamen imkansız olabilir. Risk azaltma önlemlerini geliştirirken “minimum yeterlilik” ilkesini kullanmanızı öneririz.
6. Onaylanmış bir metodolojiye göre riskleri yönetin
Bir sonraki aşama, risk yönetimi metodolojisinin tutarlı bir şekilde uygulanması, yani bunların değerlendirilmesi ve işlenmesidir. Bu işlemin büyük bir titizlikle düzenli olarak yapılması gerekmektedir. Bilgi güvenliği risk kaydını güncel tutarak şirket kaynaklarını etkin bir şekilde tahsis edebilecek ve ciddi olayların önüne geçebileceksiniz.
7. Risk tedavisini planlayın
Firmanız için kabul edilebilir seviyeyi aşan risklerin risk tedavi planına dahil edilmesi gerekmektedir. Riskleri azaltmaya yönelik eylemleri, bunlardan sorumlu kişileri ve son teslim tarihlerini kaydetmelidir.
8. Uygulanabilirlik Bildirimini doldurun
Bu, denetim sırasında belgelendirme kuruluşunun uzmanları tarafından incelenecek önemli bir belgedir. Şirketinizin faaliyetlerine hangi bilgi güvenliği kontrollerinin uygulandığını açıklamalıdır.
9. Bilgi güvenliği kontrollerinin etkinliğinin nasıl ölçüleceğini belirleyin.
Herhangi bir eylemin, belirlenen hedeflerin gerçekleştirilmesine yol açan bir sonucu olmalıdır. Bu nedenle, hem bilgi güvenliği yönetim sisteminin tamamı hem de Uygulanabilirlik Eki'nden seçilen her bir kontrol mekanizması için hedeflere ulaşmanın hangi parametrelerle ölçüleceğinin açıkça tanımlanması önemlidir.
10. Bilgi güvenliği kontrollerini uygulayın
Ve ancak önceki tüm adımları tamamladıktan sonra Uygulanabilirlik Eki'nde yer alan geçerli bilgi güvenliği kontrollerini uygulamaya başlamalısınız. Buradaki en büyük zorluk elbette kuruluşunuzun birçok sürecinde işleri yapmanın tamamen yeni bir yolunu sunmak olacaktır. İnsanlar yeni politikalara ve prosedürlere direnme eğilimindedir; bu nedenle bir sonraki noktaya dikkat edin.
11. Çalışanlar için eğitim programları uygulayın
Çalışanlarınızın projenin önemini anlamaması ve bilgi güvenliği politikalarına uygun hareket etmemesi halinde yukarıda anlatılan tüm hususlar anlamsız kalacaktır. Personelinizin tüm yeni kurallara uymasını istiyorsanız, öncelikle insanlara bunların neden gerekli olduğunu açıklamanız, ardından çalışanların günlük çalışmalarında dikkate alması gereken tüm önemli politikaları vurgulayarak BGYS konusunda eğitim vermeniz gerekir. Personel eğitiminin eksikliği, ISO 27001 proje başarısızlığının yaygın bir nedenidir.
12. BGYS süreçlerini sürdürün
Bu noktada ISO 27001 kuruluşunuzda günlük bir rutin haline gelir. Bilgi güvenliği kontrollerinin standarda uygun olarak uygulandığını doğrulamak için denetçilerin, kontrollerin fiili işleyişine ilişkin kayıtları - kanıtları - sunması gerekecektir. Ancak hepsinden önemlisi kayıtlar, çalışanlarınızın (ve tedarikçilerinizin) görevlerini onaylanmış kurallara uygun olarak yerine getirip getirmediğini takip etmenize yardımcı olmalıdır.
13. BGYS'nizi izleyin
BGYS'nizde neler oluyor? Kaç tane olay yaşadınız, bunların türü nedir? Tüm prosedürler gerektiği gibi takip ediliyor mu? Bu sorularla şirketin bilgi güvenliği hedeflerine ulaşıp ulaşmadığını kontrol etmelisiniz. Değilse, durumu düzeltmek için bir plan geliştirmelisiniz.
14. Dahili bir BGYS denetimi gerçekleştirin
İç denetimin amacı, şirketteki fiili süreçler ile onaylanmış bilgi güvenliği politikaları arasındaki tutarsızlıkları tespit etmektir. Çoğunlukla çalışanlarınızın kurallara ne kadar iyi uyduklarının kontrol edilmesidir. Bu çok önemli bir nokta çünkü personelinizin çalışmalarını kontrol etmezseniz organizasyona (kasıtlı veya kasıtsız) zarar gelebilir. Ancak burada amaç, suçluları bulup politikalara uymayanları disiplin altına almak değil, durumu düzeltmek ve ileride yaşanabilecek sorunların önüne geçmektir.
15. Bir yönetim incelemesi düzenleyin
Yönetim güvenlik duvarınızı yapılandırmamalı ancak BGYS'de neler olduğunu bilmelidir: örneğin herkesin sorumluluklarını yerine getirip getirmediği ve BGYS'nin hedef sonuçlarına ulaşıp ulaşmadığı. Buna dayanarak yönetimin BGYS'yi ve dahili iş süreçlerini iyileştirmek için önemli kararlar alması gerekir.
16. Düzeltici ve önleyici faaliyetler sisteminin tanıtılması
Tüm standartlar gibi ISO 27001 de “sürekli iyileştirmeyi” gerektirir: bilgi güvenliği yönetim sistemindeki tutarsızlıkların sistematik olarak düzeltilmesi ve önlenmesi. Düzeltici ve önleyici faaliyetlerle uygunsuzluklar giderilebilir ve gelecekte tekrarlanması önlenebilir.
Sonuç olarak şunu söylemek isterim ki aslında sertifika almak çeşitli kaynaklarda anlatılandan çok daha zor. Bu, bugün Rusya'da yalnızca uygunluk sertifikasına sahiptir. Aynı zamanda bu, bilgi güvenliği alanında iş dünyasının artan taleplerini karşılayan, yurt dışında da en popüler standartlardan biridir. Bu uygulama talebi, yalnızca tehdit türlerinin büyümesi ve karmaşıklığından değil, aynı zamanda mevzuat gerekliliklerinden ve müşterilerin verilerinin tam gizliliğini koruması gerektiğinden de kaynaklanmaktadır.
BGYS belgelendirmesinin kolay bir iş olmamasına rağmen, uluslararası ISO/IEC 27001 standardının gerekliliklerini karşılamak küresel pazarda ciddi bir rekabet avantajı sağlayabilir. Makalemizin bir şirketi sertifikasyona hazırlamanın temel aşamalarına ilişkin bir başlangıç anlayışı sağladığını umuyoruz.
Kaynak: habr.com