На сьогоднішній день питання інформаційної безпеки (далі – ІБ) компаній є однією з найактуальніших у світі. І це не дивно, адже у багатьох країнах відбувається посилення вимог до організацій, які зберігають та обробляють персональні дані. Нині російське законодавство вимагає збереження значної частки документообігу паперовому вигляді. При цьому відчутний тренд на цифровізацію: багато компаній вже зберігають велику кількість конфіденційної інформації як у цифровому форматі, так і у вигляді паперових документів.
За підсумками аналітичного центру Anti-Malware 86% респондентів відзначили, що за рік їм хоч раз довелося врегулювати інциденти після кібератак або внаслідок порушення користувачами встановлених регламентів. У зв'язку з цим пріоритетна увага в бізнесі до інформаційної безпеки стала потребою.
В даний час корпоративна інформаційна безпека – це не тільки комплекс технічних засобів, таких як антивіруси або міжмережевий екран, це вже комплексний підхід до поводження з активами компанії в цілому та з інформацією – зокрема. Компанії по-різному підходять до вирішення цих проблем. Сьогодні ми хотіли б розповісти про впровадження міжнародного стандарту ISO 27001 як вирішення подібної проблеми. Для компаній на російському ринку наявність подібного сертифіката спрощує взаємодію із зарубіжними клієнтами та партнерами, які мають високі вимоги в даному питанні. ISO 27001 широко застосовується на Заході та охоплює вимоги в галузі ІБ, які повинні покриватися технічними рішеннями, що використовуються, а також сприяти вибудовуванню бізнес-процесів. Таким чином, цей стандарт може стати вашою конкурентною перевагою та точкою дотику із зарубіжними компаніями.
Дана сертифікація Системи управління інформаційною безпекою (далі – СУІБ) зібрала в собі найкращі практики проектування СУІБ і, що важливо, передбачила можливість вибору засобів управління для забезпечення функціонування системи, вимог до технологічного забезпечення безпеки і навіть до процесу управління персоналом у компанії. Адже треба розуміти, що технічні збої – це лише частина проблеми. У питаннях ІБ величезну роль грає людський фактор, виключити чи мінімізувати який значно складніше.
Якщо ваша компанія збирається пройти сертифікацію за стандартом ISO 27001, можливо, ви вже намагалися знайти легкий шлях, щоб зробити це. Нам доведеться розчарувати вас: легких шляхів тут немає. Однак є певні кроки, які допоможуть підготувати організацію до міжнародних вимог щодо інформаційної безпеки:
1. Отримайте підтримку з боку посібника
Ви можете вважати це очевидним, але на практиці цей момент часто не беруть до уваги. Більше того, це одна з основних причин, чому найчастіше проекти із впровадження ISO 27001 провалюються. Без розуміння значущості проекту з впровадження стандарту керівництво не надасть або достатньо людських ресурсів, або достатній бюджет для сертифікації.
2. Розробіть план підготовки до сертифікації
Підготовка до сертифікації за ISO 27001 – це комплексне завдання, яке включає різні види робіт, вимагає залучення великої кількості людей і може тривати довгі місяці (або навіть роки). Тому дуже важливо скласти детальний план проекту: розподілити ресурси, час та залучення людей на суворо певні завдання та стежити за дотриманням дедлайнів – інакше ви можете ніколи не закінчити роботу.
3. Визначте периметр сертифікації
Якщо у вас велика організація з диверсифікованою діяльністю, ймовірно, є сенс сертифікувати за ISO 27001 тільки частину бізнесу компанії, що значно знизить ризики вашого проекту, а також його терміни та вартість.
4. Розробте політику інформаційної безпеки
Одним із найважливіших документів є Політика інформаційної безпеки компанії. У ньому слід відобразити цілі вашої компанії в галузі інформаційної безпеки та основні принципи управління ІБ, які повинні дотримуватися всіма співробітниками. Завдання цього документа – визначити, чого керівництво компанії хоче досягти в галузі ІБ, а також яким чином це здійснюватиметься та контролюватиметься.
5. Визначте методологію оцінки ризиків
Одне з найскладніших завдань – визначення правил оцінки ризиків та управління ними. Важливо розуміти, які ризики компанія може вважати за прийнятні для себе, а які вимагають негайних дій для їх зниження. Без цих правил СУІБ не працюватиме.
При цьому варто пам'ятати про адекватність заходів, що вживаються, що вживаються для зменшення ризиків. Але не варто сильно захоплюватися процесом оптимізації, адже вони несуть за собою навіть великі тимчасові чи фінансові витрати або можуть бути просто нездійсненними. Рекомендуємо вам при розробці заходів для зниження ризиків користуватися принципом «мінімальної достатності».
6. Керуйте ризиками відповідно до затвердженої методології
Наступний етап - послідовне застосування методології управління ризиками, тобто їх оцінка та обробка. Цей процес має здійснюватися на регулярній основі з великою ретельністю. Підтримуючи реєстр ризиків ІБ в актуальному стані, ви зможете ефективно розподіляти ресурси компанії та запобігати серйозним інцидентам.
7. Плануйте обробку ризиків
Ризики, що перевищують прийнятний для вашої компанії рівень, повинні обов'язково потрапляти до плану обробки ризиків. У ньому мають фіксуватися дії, спрямовані на зниження ризиків, а також відповідальні за них особи та строки.
8. Заповніть Положення про застосування
Це ключовий документ, який вивчатиметься фахівцями із сертифікуючого органу під час проведення аудиту. У ньому має бути описано, які механізми контролю у сфері інформаційної безпеки застосовні до діяльності вашої компанії.
9. Визначте, як вимірюватиметься ефективність засобів управління ІБ
Будь-яка дія повинна мати результат, що веде до виконання встановлених цілей. Тому важливо чітко визначити, за якими параметрами вимірюватиметься досягнення цілей як для всієї системи управління ІБ, так і для кожного обраного механізму контролю з Додатку про застосування.
10. Впровадьте засоби управління ІБ
І тільки після реалізації всіх попередніх кроків необхідно приступити до застосування застосовних засобів управління ІБ з Додатку про застосування. Найбільшою складністю тут, звичайно, буде впровадження абсолютно нового способу дій у багатьох процесах вашої організації. Люди зазвичай опираються новим політикам та процедурам, тому зверніть увагу на наступний пункт.
11. Впровадьте програми навчання для співробітників
Всі описані вище пункти будуть безглузді, якщо ваші співробітники не розуміють важливості проекту та не діють відповідно до політик ІБ. Якщо ви хочете, щоб ваш персонал дотримувався нових правил, спочатку потрібно пояснити людям, чому вони необхідні, а потім провести навчання з СУІБ, висвітливши всі важливі політики, які повинні враховувати співробітники у своїй щоденній роботі. Відсутність навчання персоналу є поширеною причиною провалу проекту ISO 27001.
12. Підтримуйте процеси СУІБ
На цьому етапі ISO 27001 стає повсякденною рутиною у вашій організації. Щоб підтвердити використання засобів управління ІБ відповідно до стандарту, аудиторам потрібно буде надати записи – докази реальної роботи механізмів контролю. Але перш за все записи повинні допомогти вам відстежувати, чи виконують ваші співробітники (і постачальники) свої завдання відповідно до затверджених правил.
13. Піддавайте СУІБ моніторингу
Що відбувається з вашою СУІБ? Скільки у вас інцидентів, якого вони виду? Чи належним чином виконуються всі процедури? За допомогою цих питань ви повинні перевірити, чи досягає компанія цілей у сфері інформаційної безпеки. Якщо ні, ви маєте розробити план виправлення ситуації.
14. Проводьте внутрішній аудит СУІБ
Мета внутрішнього аудиту – виявити невідповідність реальних процесів у компанії затвердженим політикам у сфері ІБ. Переважно це перевірка того, наскільки ваші співробітники виконують правила. Це дуже важливий пункт, адже якщо ви не контролюєте роботу свого персоналу, організації може бути завдана шкода (навмисна або ненавмисна). Але завдання тут не в тому, щоб знайти винних і накласти на них дисциплінарні стягнення за недотримання політик, а в тому, щоб виправити ситуацію та запобігти майбутнім проблемам.
15. Організуйте аналіз з боку керівництва
Посібник не повинен налаштовувати ваш файрволл, але він повинен знати, що відбувається в СУІБ: наприклад, чи виконують всі свої обов'язки і чи досягає СУІБ цільових результатів. Грунтуючись на цьому, керівництво має ухвалювати ключові рішення щодо вдосконалення СУІБ та внутрішніх бізнес-процесів.
16. Введіть систему коригувальних та превентивних дій
Як і будь-який стандарт ISO 27001 вимагає «безперервного покращення»: систематичного виправлення та запобігання невідповідності в системі управління інформаційною безпекою. За допомогою коригувальних та превентивних дій можна виправити невідповідність та запобігти її повторній появі в майбутньому.
Насамкінець хочеться сказати, що насправді пройти сертифікацію набагато складніше, ніж це описано в різних джерелах. Підтвердженням є той факт, що в Росії на сьогоднішній день пройшли сертифікацію на відповідність. При цьому за кордоном це один з найбільш популярних стандартів, що відповідають запитам бізнесу, що зростають, в області ІБ. Така затребуваність впровадження обумовлена як зростанням і ускладненням типів загроз, а й вимогами законодавства, і навіть клієнтів, яким необхідне збереження повної конфіденційності їх даних.
Незважаючи на те, що сертифікація СУІБ є непростим завданням, сам факт виконання вимог міжнародного стандарту ISO/IEC 27001 може дати серйозну конкурентну перевагу на глобальному ринку. Сподіваємося, що наша стаття дала первинне розуміння ключових етапів підготовки компанії до сертифікації.
Джерело: habr.com