Ngày nay, vấn đề bảo mật thông tin (sau đây gọi tắt là bảo mật thông tin) của các công ty là một trong những vấn đề cấp bách nhất trên thế giới. Và điều này không có gì đáng ngạc nhiên, vì ở nhiều quốc gia đang có yêu cầu thắt chặt hơn đối với các tổ chức lưu trữ và xử lý dữ liệu cá nhân. Hiện tại, luật pháp Nga yêu cầu duy trì một tỷ lệ đáng kể lưu lượng tài liệu ở dạng giấy. Đồng thời, xu hướng số hóa rất đáng chú ý: nhiều công ty đã lưu trữ một lượng lớn thông tin bí mật cả ở định dạng kỹ thuật số và dưới dạng tài liệu giấy.
theo như kết quả Trung tâm phân tích chống phần mềm độc hại, 86% số người được hỏi lưu ý rằng trong năm họ ít nhất một lần phải giải quyết các sự cố sau các cuộc tấn công mạng hoặc do người dùng vi phạm các quy định đã thiết lập. Về vấn đề này, việc ưu tiên bảo mật thông tin trong kinh doanh đã trở thành một điều cần thiết.
Hiện tại, bảo mật thông tin của doanh nghiệp không chỉ là một tập hợp các phương tiện kỹ thuật, chẳng hạn như phần mềm chống vi-rút hoặc tường lửa, mà nó còn là một cách tiếp cận tích hợp để xử lý tài sản của công ty nói chung và thông tin nói riêng. Các công ty tiếp cận những vấn đề này một cách khác nhau. Hôm nay chúng tôi muốn nói về việc triển khai tiêu chuẩn quốc tế ISO 27001 như một giải pháp cho vấn đề như vậy. Đối với các công ty trên thị trường Nga, sự hiện diện của chứng chỉ như vậy giúp đơn giản hóa việc tương tác với các khách hàng và đối tác nước ngoài có yêu cầu cao trong vấn đề này. ISO 27001 được sử dụng rộng rãi ở phương Tây và bao gồm các yêu cầu trong lĩnh vực bảo mật thông tin, cần được đáp ứng bằng các giải pháp kỹ thuật được sử dụng, đồng thời góp phần phát triển các quy trình kinh doanh. Vì vậy, tiêu chuẩn này có thể trở thành lợi thế cạnh tranh của bạn và là đầu mối liên hệ với các công ty nước ngoài.
Chứng nhận Hệ thống quản lý bảo mật thông tin này (sau đây gọi là ISMS) đã thu thập các phương pháp thực hành tốt nhất để thiết kế ISMS và quan trọng là cung cấp khả năng lựa chọn các công cụ kiểm soát để đảm bảo hoạt động của hệ thống, các yêu cầu về hỗ trợ bảo mật công nghệ và thậm chí phục vụ cho quá trình quản lý nhân sự trong công ty. Suy cho cùng, cần phải hiểu rằng lỗi kỹ thuật chỉ là một phần của vấn đề. Trong vấn đề bảo mật thông tin, yếu tố con người đóng vai trò rất lớn và việc loại bỏ hoặc giảm thiểu nó sẽ khó khăn hơn nhiều.
Nếu công ty của bạn đang mong muốn được chứng nhận ISO 27001 thì có thể bạn đã cố gắng tìm cách dễ dàng để thực hiện điều đó. Chúng tôi phải làm bạn thất vọng: không có cách nào dễ dàng ở đây. Tuy nhiên, có một số bước nhất định sẽ giúp tổ chức chuẩn bị cho các yêu cầu bảo mật thông tin quốc tế:
1. Nhận được sự hỗ trợ từ quản lý
Bạn có thể nghĩ điều này là hiển nhiên, nhưng trong thực tế điểm này thường bị bỏ qua. Hơn nữa, đây là một trong những nguyên nhân chính khiến các dự án triển khai ISO 27001 thường thất bại. Nếu không hiểu được tầm quan trọng của dự án thực hiện tiêu chuẩn, ban quản lý sẽ không cung cấp đủ nguồn nhân lực hoặc đủ ngân sách cho việc chứng nhận.
2. Xây dựng kế hoạch chuẩn bị chứng nhận
Chuẩn bị cho chứng nhận ISO 27001 là một nhiệm vụ phức tạp, bao gồm nhiều loại công việc khác nhau, đòi hỏi sự tham gia của nhiều người và có thể mất nhiều tháng (thậm chí nhiều năm). Do đó, điều rất quan trọng là lập một kế hoạch dự án chi tiết: phân bổ nguồn lực, thời gian và sự tham gia của mọi người vào các nhiệm vụ được xác định nghiêm ngặt và giám sát việc tuân thủ thời hạn - nếu không bạn có thể không bao giờ hoàn thành công việc.
3. Xác định phạm vi chứng nhận
Nếu bạn có một tổ chức lớn với các hoạt động đa dạng, có thể chỉ nên chứng nhận một phần hoạt động kinh doanh của công ty theo ISO 27001, điều này sẽ giảm đáng kể rủi ro cho dự án cũng như thời gian và chi phí của dự án.
4. Xây dựng chính sách bảo mật thông tin
Một trong những tài liệu quan trọng nhất là Chính sách bảo mật thông tin của công ty. Nó phải phản ánh các mục tiêu bảo mật thông tin của công ty bạn và các nguyên tắc cơ bản về quản lý bảo mật thông tin mà tất cả nhân viên phải tuân theo. Mục đích của tài liệu này là xác định những gì ban lãnh đạo công ty muốn đạt được trong lĩnh vực bảo mật thông tin, cũng như cách thức thực hiện và kiểm soát điều này.
5. Xác định phương pháp đánh giá rủi ro
Một trong những nhiệm vụ khó khăn nhất là xác định các quy tắc đánh giá và quản lý rủi ro. Điều quan trọng là phải hiểu những rủi ro nào công ty có thể coi là có thể chấp nhận được và những rủi ro nào cần hành động ngay lập tức để giảm thiểu chúng. Nếu không có những quy tắc này, ISMS sẽ không hoạt động.
Đồng thời, cần ghi nhớ tính đầy đủ của các biện pháp được thực hiện để giảm thiểu rủi ro. Nhưng bạn không nên quá bận tâm với quá trình tối ưu hóa, bởi vì chúng cũng đòi hỏi chi phí tài chính hoặc thời gian lớn hoặc có thể đơn giản là không thể thực hiện được. Chúng tôi khuyên bạn nên sử dụng nguyên tắc “đủ tối thiểu” khi phát triển các biện pháp giảm thiểu rủi ro.
6. Quản lý rủi ro theo phương pháp đã được phê duyệt
Giai đoạn tiếp theo là áp dụng nhất quán phương pháp quản lý rủi ro, tức là đánh giá và xử lý chúng. Quá trình này phải được thực hiện thường xuyên và hết sức cẩn thận. Bằng cách luôn cập nhật sổ đăng ký rủi ro bảo mật thông tin, bạn sẽ có thể phân bổ hiệu quả các nguồn lực của công ty và ngăn ngừa các sự cố nghiêm trọng.
7. Lập kế hoạch xử lý rủi ro
Những rủi ro vượt quá mức chấp nhận được đối với công ty của bạn phải được đưa vào kế hoạch xử lý rủi ro. Nó phải ghi lại các hành động nhằm giảm thiểu rủi ro, cũng như những người chịu trách nhiệm về chúng và thời hạn.
8. Hoàn thành Tuyên bố về khả năng áp dụng
Đây là tài liệu quan trọng sẽ được các chuyên gia của tổ chức chứng nhận nghiên cứu trong quá trình đánh giá. Nó sẽ mô tả những biện pháp kiểm soát bảo mật thông tin nào áp dụng cho các hoạt động của công ty bạn.
9. Xác định cách đo lường hiệu quả của các biện pháp kiểm soát bảo mật thông tin.
Bất kỳ hành động nào cũng phải có kết quả dẫn đến việc hoàn thành các mục tiêu đã đặt ra. Do đó, điều quan trọng là phải xác định rõ ràng những thông số nào sẽ đo lường việc đạt được các mục tiêu cho toàn bộ hệ thống quản lý bảo mật thông tin và cho từng cơ chế kiểm soát được chọn từ Phụ lục về khả năng áp dụng.
10. Thực hiện kiểm soát an ninh thông tin
Và chỉ sau khi hoàn thành tất cả các bước trước đó, bạn mới bắt đầu triển khai các biện pháp kiểm soát bảo mật thông tin hiện hành từ Phụ lục về khả năng áp dụng. Tất nhiên, thách thức lớn nhất ở đây sẽ là việc giới thiệu một cách thực hiện hoàn toàn mới trong nhiều quy trình của tổ chức bạn. Mọi người có xu hướng phản đối các chính sách và thủ tục mới, vì vậy hãy chú ý đến điểm tiếp theo.
11. Triển khai chương trình đào tạo cho nhân viên
Tất cả những điểm được mô tả ở trên sẽ vô nghĩa nếu nhân viên của bạn không hiểu tầm quan trọng của dự án và không hành động tuân thủ các chính sách bảo mật thông tin. Nếu bạn muốn nhân viên của mình tuân thủ tất cả các quy tắc mới, trước tiên bạn cần giải thích cho mọi người lý do tại sao chúng cần thiết, sau đó đào tạo về ISMS, nêu bật tất cả các chính sách quan trọng mà nhân viên phải tính đến trong công việc hàng ngày của họ. Thiếu đào tạo nhân viên là lý do phổ biến khiến dự án ISO 27001 thất bại.
12. Duy trì các quy trình ISMS
Tại thời điểm này, ISO 27001 trở thành thói quen hàng ngày trong tổ chức của bạn. Để xác nhận việc thực hiện các biện pháp kiểm soát an toàn thông tin theo đúng tiêu chuẩn, kiểm toán viên sẽ cần cung cấp hồ sơ - bằng chứng về hoạt động thực tế của các biện pháp kiểm soát. Nhưng trên hết, hồ sơ sẽ giúp bạn theo dõi xem nhân viên của bạn (và nhà cung cấp) có thực hiện nhiệm vụ của họ theo các quy tắc đã được phê duyệt hay không.
13. Giám sát ISMS của bạn
Chuyện gì đang xảy ra với ISMS của bạn? Bạn có bao nhiêu sự cố, chúng thuộc loại nào? Tất cả các thủ tục có được thực hiện đúng cách không? Với những câu hỏi này, bạn nên kiểm tra xem công ty có đáp ứng được các mục tiêu bảo mật thông tin hay không. Nếu không, bạn phải xây dựng một kế hoạch để khắc phục tình hình.
14. Tiến hành kiểm toán ISMS nội bộ
Mục đích của kiểm toán nội bộ là xác định sự không nhất quán giữa các quy trình thực tế trong công ty và các chính sách bảo mật thông tin đã được phê duyệt. Phần lớn, đó là kiểm tra xem nhân viên của bạn tuân thủ các quy tắc tốt như thế nào. Đây là điểm rất quan trọng, vì nếu không kiểm soát được công việc của nhân viên thì tổ chức có thể bị thiệt hại (cố ý hoặc vô ý). Nhưng mục tiêu ở đây không phải là tìm ra thủ phạm và kỷ luật họ vì không tuân thủ chính sách mà là khắc phục tình hình và ngăn ngừa các vấn đề trong tương lai.
15. Tổ chức xem xét của lãnh đạo
Ban quản lý không nên định cấu hình tường lửa của bạn nhưng họ nên biết điều gì đang xảy ra trong ISMS: ví dụ: liệu mọi người có đáp ứng trách nhiệm của mình hay không và liệu ISMS có đạt được kết quả mục tiêu hay không. Dựa trên điều này, ban quản lý phải đưa ra các quyết định quan trọng để cải thiện ISMS và các quy trình kinh doanh nội bộ.
16. Đưa ra hệ thống hành động khắc phục và phòng ngừa
Giống như bất kỳ tiêu chuẩn nào, ISO 27001 yêu cầu “cải tiến liên tục”: khắc phục một cách có hệ thống và ngăn ngừa sự thiếu nhất quán trong hệ thống quản lý bảo mật thông tin. Thông qua các hành động khắc phục và phòng ngừa, sự không phù hợp có thể được sửa chữa và ngăn chặn tái diễn trong tương lai.
Tóm lại, tôi muốn nói rằng trên thực tế, việc được chứng nhận khó hơn nhiều so với mô tả ở nhiều nguồn khác nhau. Điều này được khẳng định bởi thực tế là ở Nga ngày nay chỉ có đã được chứng nhận tuân thủ. Đồng thời, đây là một trong những tiêu chuẩn phổ biến nhất ở nước ngoài, đáp ứng nhu cầu ngày càng cao của doanh nghiệp trong lĩnh vực an toàn thông tin. Nhu cầu triển khai này không chỉ do sự phát triển và phức tạp của các loại mối đe dọa mà còn do các yêu cầu của pháp luật cũng như các khách hàng cần duy trì tính bảo mật hoàn toàn cho dữ liệu của họ.
Mặc dù thực tế rằng chứng nhận ISMS không phải là một nhiệm vụ dễ dàng nhưng việc đáp ứng các yêu cầu của tiêu chuẩn quốc tế ISO/IEC 27001 có thể mang lại lợi thế cạnh tranh nghiêm trọng trên thị trường toàn cầu. Chúng tôi hy vọng rằng bài viết của chúng tôi đã cung cấp những hiểu biết ban đầu về các giai đoạn quan trọng trong quá trình chuẩn bị cho một công ty được chứng nhận.
Nguồn: www.habr.com