[Из песочницы] Как внедрить ISO 27001: инструкция по применению
На сегодняшний день вопрос информационной безопасности (далее — ИБ) компаний является одним из наиболее актуальных в мире. И это неудивительно, ведь во многих странах происходит ужесточение требований к организациям, которые хранят и обрабатывают персональные данные. В настоящее время российское законодательство требует сохранения значительной доли документооборота в бумажном виде. При этом ощутим тренд на цифровизацию: многие компании уже хранят большое количество конфиденциальной информации как в цифровом формате, так и в виде бумажных документов.
По итогам опроса аналитического центра Anti-Malware 86% респондентов отметили, что за год им хотя бы раз пришлось урегулировать инциденты после кибератак или в результате нарушения пользователями установленных регламентов. В связи с этим приоритетное внимание в бизнесе к информационной безопасности стало необходимостью.
В настоящее время корпоративная информационная безопасность — это не только комплекс технических средств, таких как антивирусы или межсетевые экраны, это уже комплексный подход к обращению с активами компании в целом и с информацией — в частности. Компании по-разному подходят к решению данных проблем. Сегодня мы хотели бы рассказать о внедрении международного стандарта ISO 27001 в качестве решения подобной проблемы. Для компаний на российском рынке наличие подобного сертификата упрощает взаимодействие с зарубежными клиентами и партнерами, у которых есть высокие требования в данном вопросе. ISO 27001 широко применяется на Западе и охватывает требования в области ИБ, которые должны покрываться используемыми техническими решениями, а также способствовать выстраиванию бизнес-процессов. Таким образом, данный стандарт может стать вашим конкурентным преимуществом и точкой соприкосновения с зарубежными компаниями.
Данная сертификация Системы управления информационной безопасностью (далее — СУИБ) собрала в себе лучшие практики проектирования СУИБ и, что немаловажно, предусмотрела возможность выбора средств управления для обеспечения функционирования системы, требования к технологическому обеспечению безопасности и даже к процессу управления персоналом в компании. Ведь необходимо понимать, что технические сбои — это только часть проблемы. В вопросах ИБ огромную роль играет человеческий фактор, исключить или минимизировать который значительно сложнее.
Если ваша компания собирается пройти сертификацию по стандарту ISO 27001, то, возможно, вы уже пытались найти легкий путь, чтобы сделать это. Нам придется вас разочаровать: легких путей здесь нет. Однако есть определенные шаги, которые помогут подготовить организацию к международным требованиям по информационной безопасности:
1. Получите поддержку со стороны руководства
Вы можете считать это очевидным, но на практике этот момент часто упускают из виду. Более того, это одна из основных причин, почему зачастую проекты по внедрению ISO 27001 проваливаются. Без понимания значимости проекта по внедрению стандарта руководство не предоставит либо достаточное количество человеческих ресурсов, либо достаточный бюджет для сертификации.
2. Разработайте план подготовки к сертификации
Подготовка к сертификации по ISO 27001 — это комплексная задача, которая включает в себя разные виды работ, требует вовлечения большого количества людей и может длиться долгие месяцы (или даже годы). Поэтому очень важно составить детальный план проекта: распределить ресурсы, время и вовлечение людей на строго определенные задачи и следить за соблюдением дедлайнов — иначе вы можете никогда не закончить работу.
3. Определите периметр сертификации
Если у вас крупная организация с диверсифицированной деятельностью, вероятно, имеет смысл сертифицировать по ISO 27001 только часть бизнеса компании, что значительно снизит риски вашего проекта, а также его сроки и стоимость.
4. Разработайте политику информационной безопасности
Одним из важнейших документов является Политика информационной безопасности компании. В нем следует отразить цели вашей компании в области информационной безопасности и основные принципы управления ИБ, которая должны соблюдаться всеми сотрудниками. Задача этого документа — определить, чего руководство компании хочет достичь в области ИБ, а также каким образом это будет осуществляться и контролироваться.
5. Определите методологию оценки рисков
Одна из самых сложных задач — определение правил оценки рисков и управления ими. Важно понимать, какие риски компания может считать приемлемыми для себя, а какие требуют немедленных действий для их снижения. Без этих правил СУИБ не будет работать.
При этом стоит помнить об адекватности вырабатываемых мер, предпринимаемых для уменьшения рисков. Но не стоит сильно увлекаться процессом оптимизации, ведь они несут за собой в том числе и большие временные или финансовые затраты или могут быть просто невыполнимы. Рекомендуем вам при разработке мер по снижению рисков пользоваться принципом «минимальной достаточности».
6. Управляйте рисками согласно утвержденной методологии
Следующий этап — последовательное применение методологии управления рисками, то есть их оценка и обработка. Этот процесс должен осуществляться на регулярной основе с большой тщательностью. Поддерживая реестр рисков ИБ в актуальном состоянии, вы сможете эффективно распределять ресурсы компании и предотвращать серьезные инциденты.
7. Планируйте обработку рисков
Риски, превышающие приемлемый для вашей компании уровень, должны обязательно попадать в план обработки рисков. В нем должны фиксироваться действия, направленные на снижение рисков, а также ответственные за них лица и сроки.
8. Заполните Положение о применимости
Это ключевой документ, который будет изучаться специалистами из сертифицирующего органа при проведении аудита. В нем должно быть описано, какие механизмы контроля в области информационной безопасности применимы к деятельности вашей компании.
9. Определите, как будет измеряться эффективность средств управления ИБ
Любое действие должно иметь результат, ведущий к выполнению установленных целей. Поэтому важно четко определить, по каким параметрам будет измеряться достижение целей как для всей системы управления ИБ, так и для каждого выбранного механизма контроля из Приложения о применимости.
10. Внедрите средства управления ИБ
И только после реализации всех предыдущих шагов нужно приступить к внедрению применимых средств управления ИБ из Приложения о применимости. Самой большой сложностью здесь, конечно, будет являться внедрение совершенно нового образа действий во многих процессах вашей организации. Люди обычно сопротивляются новым политикам и процедурам, поэтому обратите внимание на следующий пункт.
11. Внедрите программы обучения для сотруднико
Все описанные выше пункты будут бессмысленны, если ваши сотрудники не понимают важности проекта и не действуют в соответствии с политиками ИБ. Если вы хотите, чтобы ваш персонал соблюдал все новые правила, сначала нужно объяснить людям, почему они необходимы, а затем провести обучение по СУИБ, осветив все важные политики, которые должны учитывать сотрудники в своей ежедневной работе. Отсутствие обучения персонала является распространенной причиной провала проекта по ISO 27001.
12. Поддерживайте процессы СУИБ
На этом этапе ISO 27001 становится повседневной рутиной в вашей организации. Чтобы подтвердить внедрение средств управления ИБ в соответствии со стандартом, аудиторам нужно будет предоставить записи — доказательства реальной работы механизмов контроля. Но в первую очередь записи должны помочь вам отслеживать, выполняют ли ваши сотрудники (и поставщики) свои задачи в соответствии с утвержденными правилами.
13. Подвергайте СУИБ мониторингу
Что происходит с вашей СУИБ? Сколько у вас инцидентов, какого они вида? Должным ли образом выполняются все процедуры? С помощью этих вопросов вы должны проверить, достигает ли компания целей в области информационной безопасности. Если нет, вы должны разработать план исправления ситуации.
14. Проводите внутренний аудит СУИБ
Цель внутреннего аудита — выявить несоответствие реальных процессов в компании утвержденным политикам в области ИБ. По большей части это проверка того, насколько ваши сотрудники выполняют правила. Это очень важный пункт, ведь если вы не контролируете работу своего персонала, организации может быть нанесен ущерб (умышленный или неумышленный). Но задача здесь не в том, чтобы найти виновных и наложить на них дисциплинарные взыскания за несоблюдение политик, а в том, чтобы исправить ситуацию и предотвратить будущие проблемы.
15. Организуйте анализ со стороны руководства
Руководство не должно настраивать ваш файрволл, но оно должно знать, что происходит в СУИБ: например, выполняют ли все свои обязанности и достигает ли СУИБ целевых результатов. Основываясь на этом, руководство должно принимать ключевые решения по совершенствованию СУИБ и внутренних бизнес-процессов.
16. Введите систему корректирующих и превентивных действий
Как и любой стандарт ISO 27001 требует «непрерывного улучшения»: систематического исправления и предотвращения несоответствий в системе управления информационной безопасностью. С помощью корректирующих и превентивных действий можно исправить несоответствие и предотвратить его повторное появление в будущем.
В заключение хочется сказать, что на самом деле пройти сертификацию намного сложнее, чем это описано в различных источниках. Подтверждением является тот факт, что в России на сегодняшний день всего 78 компаний прошли сертификацию на соответствие. При этом за рубежом это один из наиболее популярных стандартов, отвечающих растущим запросам бизнеса в области ИБ. Такая востребованность внедрения обусловлена не только ростом и усложнением типов угроз, но и требованиями законодательства, а также клиентов, которым необходимо сохранение полной конфиденциальности их данных.
Несмотря на то, что сертификация СУИБ является непростой задачей, сам факт выполнения требований международного стандарта ISO/IEC 27001 может дать серьезное конкурентное преимущество на глобальном рынке. Надеемся, что наша статья дала первичное понимание ключевых этапов при подготовке компании к сертификации.
