Bugungi kunda kompaniyalarning axborot xavfsizligi (bundan buyon matnda axborot xavfsizligi deb yuritiladi) masalasi dunyodagi eng dolzarb masalalardan biri hisoblanadi. Va bu ajablanarli emas, chunki ko'plab mamlakatlarda shaxsiy ma'lumotlarni saqlaydigan va qayta ishlaydigan tashkilotlarga qo'yiladigan talablar kuchaytirilgan. Hozirgi vaqtda Rossiya qonunchiligi hujjat aylanishining muhim qismini qog'oz shaklida saqlashni talab qiladi. Shu bilan birga, raqamlashtirish tendentsiyasi sezilarli: ko'plab kompaniyalar allaqachon raqamli formatda ham, qog'oz hujjatlar ko'rinishida ham katta hajmdagi maxfiy ma'lumotlarni saqlamoqda.
Natijalar asosida Zararli dasturlarga qarshi tahliliy markazi, respondentlarning 86 foizi yil davomida hech bo'lmaganda bir marta kiberhujumlardan keyin yoki foydalanuvchilarning belgilangan qoidalarni buzishi natijasida yuzaga kelgan hodisalarni hal qilishga majbur bo'lganligini ta'kidladi. Shu munosabat bilan biznesda axborot xavfsizligiga ustuvor ahamiyat berish zaruratga aylandi.
Hozirgi vaqtda korporativ axborot xavfsizligi nafaqat antiviruslar yoki xavfsizlik devori kabi texnik vositalar to'plamidir, balki u umuman kompaniya aktivlari va xususan ma'lumotlar bilan ishlashning integratsiyalashgan yondashuvidir. Kompaniyalar bu muammolarga turlicha yondashadilar. Bugun biz shunday muammoning yechimi sifatida ISO 27001 xalqaro standartini joriy etish haqida gapirmoqchimiz. Rossiya bozoridagi kompaniyalar uchun bunday sertifikatning mavjudligi bu masalada yuqori talablarga ega bo'lgan xorijiy mijozlar va hamkorlar bilan o'zaro munosabatlarni soddalashtiradi. ISO 27001 G'arbda keng qo'llaniladi va foydalaniladigan texnik echimlar bilan qamrab olinishi kerak bo'lgan axborot xavfsizligi sohasidagi talablarni qamrab oladi, shuningdek, biznes jarayonlarini rivojlantirishga hissa qo'shadi. Shunday qilib, ushbu standart sizning raqobatdosh ustunligingiz va xorijiy kompaniyalar bilan aloqa nuqtasiga aylanishi mumkin.
Axborot xavfsizligini boshqarish tizimining (keyingi o'rinlarda AXBT deb yuritiladi) ushbu sertifikati AXBTni loyihalash bo'yicha eng yaxshi tajribalarni to'pladi va, eng muhimi, tizimning ishlashini ta'minlash uchun nazorat vositalarini tanlash imkoniyatini, texnologik xavfsizlikni qo'llab-quvvatlash talablarini va hatto kompaniyada xodimlarni boshqarish jarayoni uchun. Axir, texnik nosozliklar muammoning faqat bir qismi ekanligini tushunish kerak. Axborot xavfsizligi masalalarida inson omili katta rol o'ynaydi va uni yo'q qilish yoki kamaytirish ancha qiyin.
Agar sizning kompaniyangiz ISO 27001 sertifikatiga ega bo'lmoqchi bo'lsa, siz buni amalga oshirishning oson yo'lini topishga harakat qilgan bo'lishingiz mumkin. Biz sizni xafa qilishimiz kerak: bu erda oson yo'llar yo'q. Biroq, tashkilotni xalqaro axborot xavfsizligi talablariga tayyorlashga yordam beradigan muayyan qadamlar mavjud:
1. Rahbariyatdan yordam oling
Siz buni aniq deb o'ylashingiz mumkin, lekin amalda bu nuqta ko'pincha e'tibordan chetda qoladi. Bundan tashqari, bu ISO 27001 amalga oshirish loyihalari ko'pincha muvaffaqiyatsiz bo'lishining asosiy sabablaridan biridir. Standartni amalga oshirish loyihasining ahamiyatini tushunmasdan, menejment sertifikatlash uchun etarli inson resurslarini yoki etarli byudjetni ta'minlamaydi.
2. Sertifikatlashtirishga tayyorgarlik rejasini ishlab chiqish
ISO 27001 sertifikatiga tayyorgarlik ko'p turli xil ishlarni o'z ichiga olgan murakkab vazifa bo'lib, ko'p sonli odamlarni jalb qilishni talab qiladi va ko'p oylar (hatto yillar) davom etishi mumkin. Shuning uchun loyihaning batafsil rejasini tuzish juda muhim: resurslarni, vaqtni va odamlarni qat'iy belgilangan vazifalarga jalb qilish va belgilangan muddatlarga rioya qilishni nazorat qilish - aks holda siz ishni hech qachon tugatmasligingiz mumkin.
3. Sertifikatlash perimetrini aniqlang
Agar sizning faoliyatingiz diversifikatsiyalangan yirik tashkilotingiz bo'lsa, kompaniya biznesining faqat bir qismini ISO 27001 standartiga muvofiq sertifikatlash mantiqan to'g'ri kelishi mumkin, bu sizning loyihangiz xavfini, shuningdek, uning vaqti va narxini sezilarli darajada kamaytiradi.
4. Axborot xavfsizligi siyosatini ishlab chiqish
Eng muhim hujjatlardan biri bu kompaniyaning Axborot xavfsizligi siyosati. U sizning kompaniyangizning axborot xavfsizligi maqsadlarini va barcha xodimlar tomonidan bajarilishi kerak bo'lgan axborot xavfsizligini boshqarishning asosiy tamoyillarini aks ettirishi kerak. Ushbu hujjatning maqsadi kompaniya rahbariyati axborot xavfsizligi sohasida nimaga erishmoqchi ekanligini, shuningdek, bu qanday amalga oshirilishi va nazorat qilinishini aniqlashdan iborat.
5. Xatarlarni baholash metodologiyasini belgilang
Eng qiyin vazifalardan biri bu risklarni baholash va boshqarish qoidalarini belgilashdir. Kompaniya qaysi xavflarni maqbul deb hisoblashini va ularni kamaytirish uchun darhol choralar ko'rishni talab qilishini tushunish muhimdir. Ushbu qoidalarsiz AXBT ishlamaydi.
Shu bilan birga, xavflarni kamaytirish bo'yicha ko'rilayotgan chora-tadbirlarning etarliligini esga olish kerak. Lekin siz optimallashtirish jarayoniga haddan tashqari berilmaslik kerak, chunki ular katta vaqt yoki moliyaviy xarajatlarni talab qiladi yoki shunchaki imkonsiz bo'lishi mumkin. Xavfni kamaytirish choralarini ishlab chiqishda "minimal etarlilik" tamoyilidan foydalanishni tavsiya qilamiz.
6. Risklarni tasdiqlangan metodologiyaga muvofiq boshqarish
Keyingi bosqich - risklarni boshqarish metodologiyasini izchil qo'llash, ya'ni ularni baholash va qayta ishlash. Ushbu jarayon muntazam ravishda juda ehtiyotkorlik bilan amalga oshirilishi kerak. Axborot xavfsizligi xavflari reestrini yangilab turish orqali siz kompaniya resurslarini samarali taqsimlay olasiz va jiddiy hodisalarning oldini olasiz.
7. Xavfni davolashni rejalashtirish
Sizning kompaniyangiz uchun maqbul darajadan oshib ketadigan xavflar xavfni davolash rejasiga kiritilishi kerak. U xavflarni kamaytirishga qaratilgan harakatlarni, shuningdek ular uchun javobgar shaxslarni va muddatlarni qayd etishi kerak.
8. Qo'llash mumkinligi to'g'risidagi bayonotni to'ldiring
Bu audit davomida sertifikatlashtirish organi mutaxassislari tomonidan o'rganiladigan asosiy hujjatdir. U sizning kompaniyangiz faoliyatiga qanday axborot xavfsizligi nazorati qo'llanilishini tavsiflashi kerak.
9. Axborot xavfsizligini nazorat qilish samaradorligi qanday o'lchanishini aniqlang.
Har qanday harakat belgilangan maqsadlarni amalga oshirishga olib keladigan natijaga ega bo'lishi kerak. Shu sababli, barcha axborot xavfsizligini boshqarish tizimi uchun ham, Qo'llanilishi mumkin bo'lgan ilovadan har bir tanlangan boshqaruv mexanizmi uchun maqsadlarga erishish qanday parametrlar bilan o'lchanishini aniq belgilash muhimdir.
10. Axborot xavfsizligini nazorat qilishni amalga oshirish
Va faqat oldingi barcha qadamlarni bajarganingizdan so'ng, Qo'llash imkoniyati ilovasidan tegishli axborot xavfsizligini boshqarish vositalarini amalga oshirishni boshlashingiz kerak. Bu erda eng katta qiyinchilik, albatta, tashkilotingizning ko'plab jarayonlarida ishlarni bajarishning mutlaqo yangi usulini joriy etish bo'ladi. Odamlar yangi siyosat va tartiblarga qarshilik ko'rsatishga moyil, shuning uchun keyingi nuqtaga e'tibor bering.
11. Xodimlarni o'qitish dasturlarini amalga oshirish
Agar sizning xodimlaringiz loyihaning muhimligini tushunmasa va axborot xavfsizligi siyosatiga muvofiq harakat qilmasa, yuqorida tavsiflangan barcha fikrlar ma'nosiz bo'ladi. Agar siz xodimlaringiz barcha yangi qoidalarga rioya qilishlarini istasangiz, avvalo odamlarga ular nima uchun zarurligini tushuntirib berishingiz kerak, so‘ngra xodimlar kundalik ishlarida e’tiborga olishlari kerak bo‘lgan barcha muhim siyosatlarni ta’kidlab, AXBT bo‘yicha treninglar o‘tkazishingiz kerak. Xodimlarni o'qitishning etishmasligi ISO 27001 loyihasi muvaffaqiyatsizligining keng tarqalgan sababidir.
12. AXBT jarayonlarini saqlash
Ayni paytda ISO 27001 tashkilotingizdagi kundalik tartibga aylanadi. Axborot xavfsizligini nazorat qilishning standartga muvofiq amalga oshirilishini tasdiqlash uchun auditorlar nazorat vositalarining haqiqiy ishlashini tasdiqlovchi hujjatlarni taqdim etishlari kerak. Lekin, eng muhimi, yozuvlar sizning xodimlaringiz (va yetkazib beruvchilaringiz) tasdiqlangan qoidalarga muvofiq o'z vazifalarini bajarayotganligini kuzatishingizga yordam beradi.
13. AXBT tizimini kuzatib boring
Sizning AXBT bilan nima sodir bo'lmoqda? Sizda qancha voqealar bor, ular qanday? Barcha protseduralar to'g'ri bajarilganmi? Ushbu savollar bilan siz kompaniyaning axborot xavfsizligi maqsadlariga erishayotganligini tekshirishingiz kerak. Agar yo'q bo'lsa, vaziyatni tuzatish rejasini ishlab chiqishingiz kerak.
14. AXBT ichki auditini o'tkazish
Ichki auditning maqsadi kompaniyadagi haqiqiy jarayonlar va tasdiqlangan axborot xavfsizligi siyosati o'rtasidagi nomuvofiqlikni aniqlashdir. Ko'pincha bu sizning xodimlaringiz qoidalarga qanchalik rioya qilishlarini tekshiradi. Bu juda muhim nuqta, chunki siz xodimlaringizning ishini nazorat qilmasangiz, tashkilot zarar ko'rishi mumkin (qasddan yoki qasddan). Ammo bu erda maqsad aybdorlarni topish va ularni siyosatga rioya qilmaslik uchun jazolash emas, balki vaziyatni to'g'rilash va kelajakdagi muammolarni oldini olishdir.
15. Boshqaruv tekshiruvini tashkil qilish
Rahbariyat xavfsizlik devoringizni sozlamasligi kerak, lekin ular AXBTda nima sodir bo'layotganini bilishlari kerak: masalan, har bir kishi o'z majburiyatlarini bajaryaptimi yoki AXBT o'zining maqsadli natijalariga erishyaptimi yoki yo'qmi. Shunga asoslanib, rahbariyat AXBT va ichki biznes jarayonlarini takomillashtirish bo'yicha asosiy qarorlarni qabul qilishi kerak.
16. Tuzatish va profilaktik harakatlar tizimini joriy qilish
Har qanday standart singari, ISO 27001 ham “doimiy takomillashtirishni” talab qiladi: axborot xavfsizligini boshqarish tizimidagi nomuvofiqliklarni tizimli tuzatish va oldini olish. Tuzatish va profilaktika choralari orqali nomuvofiqlikni tuzatish va kelajakda takrorlanishining oldini olish mumkin.
Xulosa qilib shuni aytmoqchimanki, aslida sertifikat olish turli manbalarda tasvirlanganidan ko'ra ancha qiyin. Buni bugungi kunda Rossiyada faqat borligi tasdiqlaydi muvofiqligi sertifikatlangan. Shu bilan birga, bu xorijdagi eng ommabop standartlardan biri bo‘lib, axborot xavfsizligi sohasidagi biznesning o‘sib borayotgan talablariga javob beradi. Amalga oshirishga bo'lgan talab nafaqat tahdidlar turlarining o'sishi va murakkabligi, balki qonun hujjatlari talablari, shuningdek, o'z ma'lumotlarining to'liq maxfiyligini ta'minlashi kerak bo'lgan mijozlar bilan ham bog'liq.
AXBT sertifikatlash oson ish emasligiga qaramay, ISO/IEC 27001 xalqaro standarti talablariga javob berishning o‘zi jahon bozorida jiddiy raqobat ustunligini ta’minlashi mumkin. Umid qilamizki, bizning maqolamiz kompaniyani sertifikatlashtirishga tayyorlashning asosiy bosqichlari haqida dastlabki tushunchani berdi.
Manba: www.habr.com