Содержание:
- Основы стандарта и системы
- Преимущества системы защиты информации
- Шаги на пути к сертификации системы
- Особенности внедрения, разработки и других процессов
- Как стандарты ISO 27001 помогают минимизировать риски кибератак?
- Обязательные элементы системы информационной безопасности
«Мы постоянно слышим все эти разговоры о том, что в будущем власть будет принадлежать не тому, у кого больше ядерных боеголовок, а тому, у кого больше информации». Том Йорк
Никто не станет спорить, что устройство жизни намного усложнилось из-за информационного изобилия. Информация — это ресурс наиболее ценный и наиболее востребованный в нынешних реалиях. И, конечно, не стоит забывать о том, что любой ресурс (будь то нефть, будь то алмазы или важные сведения) всегда является целью. Целью как для жаждущих знаний, так и для «нечистых на руку»… Как Вы уже наверняка поняли, речь в этой статье пойдет о системе защиты информации, стандарте для нее и других особенностях.
Основы стандарта и системы
ISO 27001 — международный стандарт, созданный для сферы информационной безопасности, в котором описаны лучшие мировые практики по защите информации и который описывает требования к системе менеджмента для демонстрации способности организации защищать свои информационные ресурсы.
Стоит отметить, что в Беларуси с 2016 года параллельно действует стандарт в Национальной системе — ИСО 27001 (СТБ ISO/IEC 27001-2016). Он идентичен международному.
Давайте разберемся, для кого нужна система менеджмента информационной безопасности (СМИБ)?
Тут стоит обратиться к здравой логике. Система управления безопасностью информации необходима для тех организаций, которые, собственно, и обладают этой информацией (в виде конфиденциальных данных, правительственных секретов), любыми сведениями, которые могут повлиять как на одного человека (в форме нежелательного «черного» пиара, например), так и в макромасштабе (на человечество и рынки!).
По сферам деятельности это выглядит примерно так:
- IT-сфера;
- медицина;
- торговля;
- банки, страховые и прочие финансовые организации;
- государственные и силовые структуры;
- муниципальные учреждения;
- образование;
- промышленность, связь и транспорт.
Для организации защиты информации выделены ключевые принципы, на которых и базируется этот стандарт:
- Конфиденциальность (т. е. доступ к информации имеет только тот, кто имеет соответствующие полномочия).
- Целостность информации (т. е. обеспечение точности и полноты предоставляемых сведений).
- Доступность информации (доступ тогда, когда это требуется).
Однако это еще не все! Стандарты ISO и ИСО 27001 призваны также обеспечить управление этой самой информацией, копирование ее при необходимости, корректное использование, недопущение утечки и минимизацию риска кибератак вплоть до физической защиты оборудования, которое ее хранит.
Таким образом, мы понимаем, что система менеджмента информационной безопасности по данному стандарту — это ключ к управлению, она заключает в себе уже накопленный опыт в сфере международной информационной безопасности, в котором уже собраны множество практик по минимизации рисков. Так почему бы не воспользоваться этим многолетним колоссальным опытом у нас?!
Преимущества системы защиты информации
Однако построение системы по указанному выше стандарту является достаточно трудоемким и непростым процессом, а потому нужно представлять себе, какие преимущества она может дать организации и какие выгоды можно от нее получить. Итак…
Первое и зачастую наиболее весомое преимущество — престиж. Пройдя сертификацию, Вы покажете, что Вам можно доверить свои ресурсы. Банк, к примеру, может повысить привлекательность в глазах своих партнеров, которые ревностно относятся к вопросам личной безопасности в информационной сфере, а страховая компания привлечь максимум клиентов!
Второе, но не по значимости, преимущество — реальное улучшение ситуации с зашитой информационных ресурсов. Если Вы руководитель компании, в которой есть объективно проблемы в вопросе безопасности конфиденциальных данных (не лукавьте, сейчас Вас никто не осудит…), то внедрение и сертификация системы менеджмента по стандарту ISO27001 абсолютно точно обеспечит Вам защиту от реальных угроз, а в перспективе и внушительную экономию. Риск ущерба от инцидентов с утечкой информации будет минимизирован, а это значит — минимизированы и судебные иски, и страховые выплаты, и прочие издержки.
Третье. Знаете ли Вы, чем занят или какую функцию выполняет на Вашем предприятии тот или иной сотрудник? Ответ для многих очевиден. А как насчет отдела информационной безопасности? Для многих руководителей работа этих ребят остается за гранью понимания. Так вот, третье основное преимущество, которое дает стандарт информационной безопасности, — это понятность и прозрачность действий, а также точное распределение ответственности.
Четвертое. Расширение возможностей участия компании в крупных государственных контрактах. Ни для кого не секрет, что Республика Беларусь все больше перенимает аспекты ведения бизнеса с Запада. Особенно в части стандартизации защиты информации, качества и других сфер. Это и понятно. И именно поэтому при проведении госзакупок на тендерной основе все чаще и чаще выдвигается требование о наличии сертифицированной системы менеджмента информационной безопасности. Наличие сертификата дает держателю конкурентно-конкурсное преимущество.
Пятое. Это, конечно, международное признание. Если Вы все-таки планируете шагнуть далеко вперед и не останавливаться на достигнутом, то сертификация системы даст Вам существенные преимущества в отрасли на мировом рынке. Все-таки международный сертификат по стандарту ISO27001 признается в 34 странах мира!
Конечно, на этих пунктах список тех плюсов, которые может получить организация, пройдя сертификацию, не заканчивается. Для каждого банка, страховой, лизинговой компании или другой финансовой организации эти преимущества могут быть своими, в зависимости от того, какие именно цели преследует предприятие.
Шаги на пути к сертификации системы
Если на данном этапе Вы уже решились на внедрение системы по международному стандарту информационной безопасности, то давайте подумаем, как будем справляться с этим вопросом и с какими трудностями вы можете столкнуться.
- Первым шагом будет определение области применения этого стандарта. Выбрать те бизнес-процессы, которые необходимо стандартизировать, оптимизировать и в целом «довести до ума».
- Далее необходимо определить круг лиц, которые будут заниматься разработкой и внедрением системы по правилам международной информационной безопасности. ВАЖНО! И даже если заниматься разработкой будут эксперты консалтинговой организации, то определить ответственных исполнителей и курирующего руководителя на предприятии все же придется. Потому как детальная качественная разработка системы требует работы разработчика и организации в «тесной связке».
- После того как исполнители будут определены, нужно определиться как обстоят дела с защитой информационных ресурсов на данный момент, обозначить объем и порядок работ. (Важно, чтобы аудит проводил человек не только сведущий, но и объективный! Зачастую выходит так, что если исполнителю-сотруднику организации поручено провести внутренний аудит и результат безрадостный, то руководителю, скорее всего, дойдет уже искаженная информация в надежде избежать наказания, что изрядно усложнит задачу в будущем!)
- Далее начинается самое интересное, долгое, наиболее объемное и не менее сложное! Непосредственно сама разработка системы по правилам стандартизации защиты информации. Не будем вдаваться в подробности (об этом Вам расскажет наш эксперт). Но по большому счету в фокусе внимания будут риски: идентификация, методики оценки, всевозможные методы воздействия и меры по снижению и недопущению их и, конечно же, ответственность каждого на тех или иных участках информационной безопасности.
- После того как система будет разработана, ее, конечно же, надо внедрить. Провести ознакомление с системой, в частности организацией защиты информации, и обучение сотрудников.
- И вот, когда приходит стойкая уверенность в том, что компания работает в соответствии со стандартом, готова и морально, и материально, и документально к прохождению сертификации, можно заявляться в орган по сертификации и дожидаться сертификационного аудита. На этом этапе волноваться не стоит, в конце концов, после проделанной колоссальной работы Вы будете готовы ко всему, что предполагают документы по стандартизации информации в части ее безопасности! И если критических неприемлемых замечаний у аудитора не возникнет, то Вы — гордый держатель долгожданного сертификата!
ОДНАКО…
Особенности внедрения, разработки и других процессов
Насколько трудным и долгим окажется внедрение стандарта сказать заранее сложно. В целом, это зависит от того, как обстоят дела сейчас и на каком уровне развития находится организация в данный момент. Для определения точных цифр и времени, во что станет эта система управления безопасностью информации для предприятия, все-таки необходим аудит. Однако даже если дела идут не очень хорошо, то грамотный специалист в этой области сможет оптимизировать бизнес-процессы и качественно составить систему, просто это займет больше времени. Но надо же с чего-то начинать! В среднем вся работа займет от 6 до 12 месяцев, а то и больше. Кто пообещает Вам сроки более короткие — бегите! Вы потеряете деньги, время и как результат — вам придется все начинать сначала.
Второй вопрос, который может стать реальным камнем преткновения, — насколько руководство и сотрудники компании готовы к преобразованиям. При внедрении системы по правилам стандартизации информации в области ее безопасности, как, впрочем, и внедрении любой системы менеджмента, важно, чтобы руководитель понимал сам и мог донести до персонала важность стоящей задачи и фактически «принудить» всех работать «по-новому», пояснить перспективы, ради которых стоит меняться!
Третий момент, который может стать проблемой, — сопутствующие траты. Обратите внимание на то, что в стандарте серьезным образом описано требование к лицензионному ПО и, вероятно, нет-нет да и придется докупить какие-нибудь технические средства, которые и будут обеспечивать безопасность в информационной сфере компании. Опять же, не стоит переживать, грамотный консультирующий эксперт при аудите сразу же даст Вам расклад, где и на что Вам придется потратиться в процессе. И у Вас будет возможность узнать «цену вопроса» еще до начала работы.
Также у многих руководителей возникает резонный вопрос о том, стоит ли привлекать консалтинговую организацию или пробовать справляться «своими силами». Несмотря на то, что услуги консалтинговой компании стоят денег, будет ошибочным думать, что решение справиться самим позволит Вашей организации сэкономить. Приведение бизнес-процессов в соответствие требованиям международного стандарта может оказаться достаточно трудоемкой, а для некоторых и неподъемной задачей. Зачастую ответственные сотрудники, которым было поручено разработать и внедрить СМИБ, недостаточно компетентны, без должного образования и опыта (это и понятно, ведь стандарт очень узконаправленный). Нагрузка помимо основной работы сотрудников начинает раздражать, а процесс внедрения изрядно затягиваться. Ну и конечно, не стоит забывать о том, что впоследствии предприятие ждет сертификация. Потратив немало ресурсов, как временных, так и денежных (в том числе оплатив органу за выезд, командировочные расходы, проживание, питание, трансфер аудитора), будете ли Вы уверены в том, что заветный сертификат окажется «в кармане»? Вряд ли!
Кстати, зачастую компании думают, что сертифицированная система управления информационной безопасностью будет обходиться им дороже, чем несертифицированная. Однако чаще расходы после сертификации, напротив, уменьшаются благодаря тому, что организация концентрируется на существенных для нее рисках, а не пытается защититься от всего, что в принципе может кому-либо угрожать.
Важный момент, который может повлиять благоприятно на внедрение и сертификацию по стандарту информационной безопасности — наличие других систем менеджмента. Одна из положительных черт ISO27001 благодаря согласованности с другими стандартами группы ISO: он позволяет вписать управление информационной безопасностью в другие бизнес-процессы предприятия, прописанные, например, в хорошо всем знакомой системе менеджмента качества ISO9001, не ущемляя, а дополняя ее. Так что, если Вы гордый держатель сертификата ISO9001 — проблем возникнуть не должно!
И напоследок…
Примите в качестве дружеского совета… Если Вы уже приняли решение о внедрении СМИБ по международному стандарту информационной безопасности, не стоит медлить. Время играет против Вас. Чем раньше Вы займетесь этим вопросом, тем быстрее в условиях нынешнего нестабильного рынка получите все те преимущества, о которых мы говорили выше.
Как стандарты ISO 27001 помогают минимизировать риски кибератак?
ISO 27001 не просто улучшает контроль над информацией, но и защищает вашу компанию от внешних угроз. Внедрение системы менеджмента информационной безопасности позволяет предугадать возможные уязвимости и снизить риск их использования злоумышленниками. Кибератаки могут привести к серьезным потерям, начиная от утечки данных клиентов и заканчивая репутационными рисками и судебными исками.
Стандарт включает в себя подходы к защите от различных угроз, от фишинговых атак до сложных многоступенчатых атак на инфраструктуру. Создание правильной структуры защиты данных, шифрования и резервного копирования становится основой вашей защиты. Это критично для компаний, которые работают с чувствительными данными, будь то персональные данные клиентов или финансовая информация.
Таким образом, ISO 27001 не просто формальность, а реальный инструмент для защиты компании и её активов в условиях растущих киберугроз.
Обязательные элементы системы информационной безопасности
При внедрении стандарта ISO 27001 важно адаптировать его элементы под нужды компании, включая такие аспекты, как управление доступом и мониторинг данных. Программа производственного контроля также может быть полезной в управлении информационными потоками на предприятии.
Каждая организация должна адаптировать эти элементы под свои нужды, исходя из специфики своей работы. Например, для финансовых компаний критически важна защита платежных данных, в то время как для IT-компаний — защита клиентских и корпоративных систем от хакерских атак. Важно не просто внедрить защитные меры, но и обеспечить их регулярное обновление и контроль, чтобы соответствовать новым вызовам в сфере киберугроз.