Як запровадити ISO 27001 за 9 кроків
Найскладніша частина багатьох проектів – знати, з чого почати, і це не виняток, коли мова йде про впровадження ISO 27001.
Стандарт, який описує найкращі практики для СУІБ (системи управління інформаційною безпекою), пояснює вимоги, яким ви повинні відповідати, але не показує, як їх впровадити.
Це питання, з яким зараз стикається багато організацій, враховуючи випуск нової версії ISO 27001 минулого року. Минуло майже десять років з моменту останнього оновлення стандарту, і незалежно від того, чи ви починаєте з нуля, чи плануєте перейти на нову версію, у вас повинен бути план.
У цьому блозі ми пояснюємо, що саме вам потрібно зробити для впровадження ISO 27001.
1. Створіть команду з впровадження ISO 27001
Проект впровадження повинен починатися з призначення керівника проекту, який працюватиме з іншими співробітниками над створенням мандату проекту. Це, по суті, набір відповідей на такі питання:
- Чого ми сподіваємося досягти?
- Скільки часу це займе?
- Скільки це буде коштувати?
- Чи є підтримка з боку керівництва?
2. Розробіть план впровадження ISO 27001
Наступним кроком є використання вашого проектного мандату для створення більш детального опису ваших цілей, плану та реєстру ризиків інформаційної безпеки.
Сюди входить визначення політик високого рівня для СУІБ, які встановлюють:
- Ролі та обов’язки;
- правила її постійного вдосконалення; і
- Як підвищити обізнаність про проект за допомогою внутрішніх і зовнішніх комунікацій.
3. Ініціювання впровадження СУІБ
Тепер настав час прийняти методологію впровадження СУІБ. Стандарт визнає, що “процесний підхід” до постійного вдосконалення є найбільш ефективною моделлю управління інформаційною безпекою.
Однак він не визначає конкретну методологію, а натомість дозволяє організаціям використовувати будь-який метод, який вони обирають, або продовжувати використовувати модель, яку вони вже впровадили.
Частиною цього процесу є розробка решти структури вашого документообігу. Ми рекомендуємо використовувати чотирирівневу стратегію:
- Політики на верхньому рівні, що визначають позицію організації щодо конкретних питань, таких як прийнятне використання та управління паролями.
- Процедури для впровадження вимог політик.
- Робочі інструкції, що описують, як працівники повинні дотримуватися цих політик.
- Записи, що відстежують процедури та робочі інструкції.
4. Структура управління
На цьому етапі вам необхідно отримати більш широке розуміння структури СУІБ. Процес для цього описаний в пунктах 4 і 5 стандарту ISO 27001.
Найважливішою частиною цього процесу є визначення сфери застосування вашої СУІБ – тобто, які частини вашої організації ви будете захищати. Створення відповідної сфери застосування є важливою частиною проекту впровадження СУІБ.
Якщо сфера застосування буде занадто малою, то ви залишите інформацію вразливою, що поставить під загрозу безпеку вашої організації, але якщо вона буде занадто великою, то ваша СУІБ стане занадто складною для управління.
5. Базові засоби контролю безпеки
Базовий рівень безпеки організації – це мінімальний рівень діяльності, необхідний для безпечного ведення бізнесу.
Ви повинні визначити свій базовий рівень безпеки, використовуючи інформацію, зібрану під час оцінювання ризиків за стандартом ISO 27001.
6. Управління ризиками
Управління ризиками є ключовою частиною будь-якої СУІБ. Зрештою, немає сенсу виявляти загрози інформаційній безпеці та визначати їх пріоритетність, якщо ви не можете ефективно протидіяти їм.
На цьому етапі мова йде не про управління самими ризиками, а про визначення того, як ви будете підходити до цього завдання. Існує кілька способів зробити це, але більшість методів передбачають розгляд ризиків для конкретних активів або ризиків, представлених у конкретних сценаріях.
Як би ви не виконували завдання, процес оцінки ризиків має вирішальне значення. Після виявлення, оцінки та присвоєння значень вашим загрозам, ви дізнаєтеся, які ризики становлять найбільшу проблему.
Ви повинні прийняти їх і вирішити, чи варто це робити:
- Усунути ризик, застосувавши засоби контролю інформаційної безпеки, викладені в стандарті ISO 27001;
- Припинити ризик, повністю його уникнувши;
- Розподілити ризик (за допомогою страхового полісу або угоди з іншими сторонами); або
- Прийняти ризик (якщо він не становить значної загрози).
Будь-які ризики, до яких ви ставитеся, повинні бути задокументовані в Заяві про застосовність (ЗЗ). У ньому слід пояснити, які засоби контролю, передбачені Стандартом, ви обрали, а які – ні, і чому ви зробили такий вибір.
7. Впроваджуйте план управління ризиками
Тепер настав час впроваджувати ваш план обробки ризиків. Щоб забезпечити ефективність цих засобів контролю, вам потрібно буде перевірити, чи здатен персонал працювати або взаємодіяти з ними, а також чи знає він про свої обов’язки з інформаційної безпеки.
Вам також потрібно буде розробити процес визначення, перегляду та підтримки компетенцій, необхідних для досягнення цілей вашої СУІБ.
Це передбачає проведення аналізу потреб та визначення бажаного рівня компетентності.
8. Вимірювання, моніторинг та аналіз
Ви не зможете визначити, чи працює ваша СУІБ, якщо не проведете її перегляд. Ми рекомендуємо робити це щонайменше раз на рік, щоб ви могли відстежувати розвиток ризиків та виявляти нові загрози.
Основна мета процесу перевірки – перевірити, чи дійсно ваша СУІБ запобігає інцидентам безпеки, але цей процес має більше нюансів, ніж просто перевірка.
Ви повинні порівняти результати з цілями, які ви виклали в проектному завданні, тобто з тим, чого ви сподівалися досягти. Це можна виміряти кількісно та якісно.
Кількісні оцінки корисні для вимірювання речей, пов’язаних з фінансовими витратами або часом, тоді як якісні оцінки краще підходять для цілей, які важко визначити, як, наприклад, задоволеність ваших співробітників новими процесами.
9. Сертифікація
Після впровадження СУІБ організаціям слід розглянути можливість проходження сертифікації в акредитованому органі з сертифікації. TIC Ukraine може вам в цьому допомогти.
Це доведе зацікавленим сторонам, що СУІБ є ефективною і що організація розуміє важливість інформаційної безпеки.
Процес сертифікації включає в себе перевірку документації системи управління організації, щоб перевірити, чи були впроваджені відповідні засоби контролю. Орган з сертифікації також проведе аудит на місці, щоб перевірити процедури на практиці.