Міжнародний стандарт описує кращі світові практики і встановлює вимоги до системи управління інформаційною безпекою (СУІБ). Його основними принципами є: конфіденційність, цілісність і доступність інформації.

Метою СУІБ і стандарту в цілому, є забезпечення захисту інформаційних ресурсів за рахунок ефективного управління ризиками пов'язаними з бізнес-процесами компанії.

Впровадження СУІБ відповідно до цього стандарту або отримання сертифікації - це складний і копіткий процес. Він включає аналіз бізнесу, оцінку ризиків, найм кваліфікованого персоналу і його розвиток, вибір необхідних технологій та рішень, впровадження, моніторинг, аналіз, підтримка і постійне поліпшення.

Однак все це, гарантує вам довіру з боку клієнтів і партнерів, та демонструє високий рівень зрілості вашого бізнесу.
ISO 27001
СУІБ
Найважливіше про СУІБ та ISO 27001
Життєвий цикл СУІБ, або шлях від впровадження до сертифікації
Для створення СУІБ легких шляхів немає, однак є перелік кроків, роблячі які, ви зможете досягти необхідних цілей.

1. Підтримка з боку керівництва.
Це є очевидним, але на практиці цей момент часто не беруть до уваги. Більш того, це одна з основних причин, чому проекти з впровадження ISO 27001 провалюються. Без розуміння значущості впровадження СУІБ згідно стандарту, керівництво не надасть або достатню кількість людських ресурсів, або достатній бюджет для реалізації.

2. Розробка плану впровадження СУІБ, або підготовки до сертифікації.
Отримавши комплексну задачу, дуже важливо скласти детальний план проекту: розподілити ресурси, час, залучити людей на визначені завдання і стежити за дотриманням дедлайнів - інакше ви можете ніколи не закінчити роботу.

3. Визначення обсягу сертифікації.
Якщо у вас велика організація з диверсифікованою діяльністю, ймовірно, має сенс сертифікувати по ISO 27001 тільки частину бізнесу, що значно знизить ризики проекту, а також терміни і вартість.

4. Розробка політики інформаційної безпеки.
Політика інформаційної безпеки компанії - це перший з найважливіших документів в якому керівництво задає цілі та основні принципи управління ІБ. Визначає, яким чином це буде здійснюватися і контролюватися. Поширюється на всіх співробітників компанії.

5. Визначення методології оцінки ризиків.
Визначає правила оцінки ризиків та управління ними. Без цих правил СУІБ не працюватиме. Пам'ятайте про адекватність застосовуваних заходів для зменшення ризиків. При їх розробці рекомендуємо користуватися принципом «мінімальної достатності», бо нерідко вони несуть за собою великі часові або фінансові витрати або можуть бути просто нездійсненні.

6. Керування ризиками згідно із затвердженою методологією.
Послідовне застосування методології управління ризиками - їх регулярна та ретельна оцінка і обробка. Актуальність реєстру ризиків ІБ дає можливість ефективно розподіляти ресурси компанії і запобігати серйозним інцидентам.

7. Планування обробки ризиків.
Формування плану обробки ризиків з тих що перевищують прийнятний для вашої компанії рівень. Фіксування дій, спрямованих на їх зниження, а також відповідальні за них особи і терміни.

8. Положення про застосування.
Ключовий документ, на який дивляться аудитори під час сертифікації. Описує 114 контролів в області ІБ, та їх застосування до діяльності вашої компанії.

9. Вимірювання ефективності засобів управління ІБ.
Оцінка результату дій, та досягнення цілей. Визначення параметрів вимірювання результатів як для одиничних контролів, так і для всієї СУІБ.

10. Впровадження засобів управління ІБ.
Тільки після реалізації всіх попередніх кроків, необхідно приступити до впровадження застосованих контролів з Положення про застосування. Найбільшою складністю в цьому, буде людський опір щодо прийняття нових політик процедур та дій у багатьох процесах вашої організації.

11. Розробка і впровадження програми навчання для співробітників.
Формування позитивного сприйняття змін, їх необхідності і важливості є невід'ємною частиною як корпоративної культури, так і життєвого циклу СУІБ. Описані вище кроки будуть мати сенс, тільки якщо всі співробітники розуміють важливість проекту і діють відповідно до політик ІБ. Навчайте, та підвищуйте обізнаність персоналу щодо інформаційної безпеки.

12. Підтримка процесів СУІБ.
Документуйте та зберігайте логи, як доказ реальної роботи застосованих контролів ІБ. Під час сертифікації, аудиторам потрібно буде надати ці записи. Крім того, це надасть можливість відстежувати ефективність виконання затверджених правил та дій.

13. Моніторинг СУІБ.
Це надасть можливість бачити ретроспективу інцидентів, їх вид, та якість виконання супутніх процедур. Робити оцінку досягнення цілей в області ІБ. Вносити необхідні зміни і корегування.

14. Проведення внутрішнього аудиту.
Основна мета - виявлення невідповідностей у реальних процесах компанії, перевірка дотримання співробітниками правил і політик, формування плану змін. Це інструмент для зниження ризиків та запобігання можливих проблем.

15. Аналіз з боку керівництва.
Керівництво повинно знати, що відбувається з СУІБ. Отримувати регулярні звіти для оцінки досягнення цільових результатів. Приймати ключові рішення щодо вдосконалення СУІБ і внутрішніх бізнес-процесів.

16. Система безперервного поліпшення.
Безперервне поліпшення - систематичне виправлення і запобігання невідповідностей в системі управління інформаційною безпекою.
    Ефективна СУІБ неможлива без досконалої і регулярної оцінки ризиків
    Найбільш актуальним для забезпечення захисту активів компанії, є адаптивний підхід до кібербезпеки. Адаптивний - означає, що Ви регулярно проводите оцінку ризиків, тим самим підтверджуєте ефективність використовуваних в даний момент заходів безпеки. Оцінюючи ризики ви визначаєте унікальний ризиковий профіль вашої організації - це скорочує час, зусилля і витрати на усунення малоймовірних або несуттєвих загроз, а головне - ви отримуєте можливість управляти ризиками.

    Стандарт ISO 27001, містить окремий розділ, що описує вимоги до процесу управління кібер-ризиками. Давайте розглянемо основні:

    1. Встановлення внутрішнього і зовнішнього контексту організації, сфери і межі в рамках яких необхідно виявити ризики.

    2. Визначення ризиків, які можуть поставити під загрозу вашу кібербезпеку та діяльніть в цілому. Проведення внутрішнього аудиту для виявлення вразливостей і слабких місць у вашій ІТ інфраструктурі, а також загроз, які можуть їх використовувати.

    3. Аналіз ймовірності всіх ризиків і оцінка ступеня впливу кожного з них на бізнес-процеси компанії.

    4. Визначення апетиту, щодо кожного з ризиків (рівень прийнятності ризику).

    5. Встановлення комунікації із зацікавленими сторонами з метою їх інформування про ймовірність і наслідки виявлених ризиків і статусів ризиків.

    6. Пріоритезація ризиків для їх ефективної обробки, прийняття, і максимального зменшення можливості виникнення.

    7. Вибір плану реагування на кожен з ризиків:
    • Обробка - дії щодо зменшення ймовірності і/або впливу ризику, як правило, шляхом реалізації заходів безпеки.
    • Приймання - прийняття активних рішень для утримання ризику (в разі відповідності встановленим критеріям прийняття ризику).
    • Усунення - дії по уникненню ризику, шляхом зупинки або зміни бізнес-процесу або діяльності, що викликають ризик.
    • Передача - поділ ризику з іншою стороною, за допомогою аутсорсингу або страхування.
    8. Створення процедури інформування зацікавлених сторін і персоналу про ризики для організації та дії, які здійснюються для зниження цих ризиків.

    9. Особливу увагу необхідно приділити безперервності процесу управління ризиками. Забезпечення моніторингу та аналізу ризиків, щоб переконатися, що вони як і раніше прийнятні. Перевірка відповідності впроваджених контролів встановленим цілям, внесення змін в разі потреби.

    Ризики постійно змінюються в міру розвитку ландшафту кіберзагроз, а також в результаті змін вашої ІТ інфраструктури та діяльності компанії. Варто зазначити, що процес управління ризиками однаково важливий в будь-якій галузі, як для дрібних і середніх компаній, так і великих підприємств, які мають ІТ-інфраструктуру. Особливу увагу цьому питанню варто приділити організаціям державного сектора, соціальної і фінансової сфери, транспортним і логістичним компаніям, які надають послуги по різних каналах для різних груп користувачів, в тому числі обмін особистими даними приватних осіб.

    Чи потрібно Вам забезпечувати всі 114 контролів?
    1. Давайте визначимо, що таке положення про застосування, або SoA - Statement of Applicability.
    Положення про застосування відображає позицію вашої організації по кожному зі 114 контролів інформаційної безпеки, викладених в додатку до стандарту.
    Положення повинне:
    • Визначати, які засоби контролю обрані організацією для усунення виявлених ризиків;
    • Пояснювати, чому вони були обрані і посилатися на відповідну документацію про їх реалізацію;
    • Вказувати, які з них впроваджені і на скільки;
    • Пояснювати, чому деякі контролі не були чи не можуть бути застосовані.
    Використовуйте цей документ для аналізу та оцінки ефективності обраних контролів та заходів ІБ. Регулярно переглядайте та корегуйте його, застосовуючи більш придатні міри управління щодо існуючих та виникаючих ризиків.

    2. Які контролі потрібно реалізувати?
    Головне зрозуміті, що вибір та впровадження контролів залежить від ризиків з якими стикається ваша організація.
    Проведіть геп-аналіз щодо відповідності ISO 27001 та оцінку ризиків. Це полегшить визначення відповідних до них контролів. При їх реалізації використовуйте додаток з описом контролів та супутній стандарт ISO 27002 в якому міститься детальний огляд засобів захисту інформації, та корисні поради по застосуванню.
    Обов'язкова документація
    Стандарт описує досить конкретні вимоги щодо наявності документації, яка має містити:
    • Область застосування системи менеджменту інформаційної безпеки (4.3)
    • Політика інформаційної безпеки і завдання (5.2 та 6.2)
    • Методологія оцінки та обробки ризиків ( 6.1.2)
    • Положення про застосування (6.1.3 d)
    • План обробки ризиків (6.1.3 e і 6.2)
    • Звіт з оцінки ризиків (8.2)
    • Визначення ролей та обов'язків щодо забезпечення безпеки (7.1.2 і 13.2.4)
    • Інвентаризація активів (8.1.1)
    • Прийнятне використання активів (8.1.3)
    • Політика контролю доступу (9.1.1)
    • Операційні процедури для ІТ-управління (12.1.1)
    • Інженерні принципи системи інформаційної безпеки (14.2.5)
    • Політика безпеки постачальника (15.1.1)
    • Процедура управління інцидентами (16.1.5)
    • Процедури безперервності бізнесу (17.1.2)
    • Законодавчі, нормативні та контрактні вимоги (18.1.1)

    додатково, необхідно створити записи:
    • Записи про професійну підготовку, обізнаність, досвід і кваліфікацію (7.2)
    • Результати контролю і вимірювань (9.1)
    • Програма внутрішнього аудиту (9.2)
    • Результати внутрішніх аудитів (9.2)
    • Результати аналізу управління (9.3)
    • Результати коригувальних дій (10.1)
    • Журнал дій користувачів, винятків і подій в системі безпеки (12.4.1 і 12.4.3)
    Всі ці документи використовуються аудитором для аналізу зрілості вашої СУІБ та компанії взагалі.
    Стандарт не обмежує організацію у створенні додаткових документів чи записів, які допоможуть їй впроваджувати необхідні процеси та вдосконалювати ефективність системи управління інформаційною безпекою.
    Що спільного між стандартами ISO 27001 / ISO 22301 / ISO 9001 та GDPR?
    Стандарти ISO мають споріднену структуру і грунтуються на філософії оцінки та обробки ризиків. Процедури і методи, які застосовуються для визначення контексту організації, формування політик, лідерства, планування, оцінки ризиків, безперервності, підтримки або поліпшення в більшості випадків універсальні. Це означає, що впроваджуючи один з цих стандартів ви можете використовувати отриману документацію або обрану методологію для будь-якого іншого, що значно полегшує завдання.

    Відносно регламенту GDPR, то він має набагато ширший обсяг і фундаментальне розуміння безпеки і конфіденційності даних, проте не зачіпає технологічні аспекти управління безпекою. Основні подібності в цих документах стосуються правил щодо захисту даних, серед яких:
    • Забезпечення конфіденційності, доступності та цілісності даних
    • Оцінка ризиків
    • Управління ланцюгом поставок
    • Повідомлення про порушення
    • Впровадження принципу "захист за дизайном і за замовчуванням"
    • Документування основних бізнес-процесів, включаючи управління безпекою даних і інших інформаційних активів
      Переваги від СУІБ, яка відповідає ISO 27001
      1. Зниження витрат та мінімізація збитків
      Як показує статистика IBM (Джерело ibm.com), середня вартість витоку даних за 2019 рік зросла на 14% і склала 3,86 мільйона доларів. Стандарт ISO 27001 допомагає створювати ефективні процеси захисту, що дозволяє запобігати інцидентам пов'язаним з порушенням безпеки, уникати величезних штрафів, судових справ та фінансових втрат.
      Найголовніше те, що інвестиції в СУІБ згідно ISO 27001 значно менші ніж очікувана середня вартість втрати даних у будь-якій організації.
      2. Підвищення конкурентноспроможності та нові можливості
      Безумовно, отримання сертифікації дає вагомі переваги перед конкурентами, адже все більше компаній при виборі підрядника або партнера хочуть бачити тих, хто турбується про безпеку даних. Ви можете демонструвати високий рівень відповідальності, стійкості і безпеки у своїй маркетинговій компанії залучаючи нових клієнтів і зміцнюючи відносини з існуючими.
      3. Процесний підхід та фокусування на досягненні цілей
      Впровадження ISO 27001, втім як і інших супутніх стандартів, неможливе без визначення й розуміння основних бізнес-процесів компанії. Так само, як і ефективна СУІБ, неможлива без налагоджених процесів: оцінки ризиків, реагування на інциденти, тощо.
      Приділивши цьому достатньо уваги, ви отримаєте бездоганний механізм з чіткими процедурами, ролями, відповідальністю та продуктивністю, який дозволить без відволікань досягати встановлених бізнесом цілей.
      4. Відповідність нормативним вимогам та законодавчим актам
      Впровадження компанією даного стандарту забезпечує відповідність переважній більшості вимог що пред'являються в області інформаційної безпеки.
      5. Зрілість та репутація
      Наявність СУІБ відповідної до ISO 27001 демонструє існуючим та потенційним клієнтам, а також партнерам, що ви впровадили кращі практики в галузі захисту інформації.
      Це означає, що ви піклуєтеся не тільки про свою стабільність, ефективність та репутацію, але і про благополуччя ваших клієнтів і бІзнес-партнерів.
      ЩО МИ ПРОПОНУЄМО
      • онлайн чи офлайн консультування з будь-яких питань стосовно найкращих практих впровадження СУІБ та відповідності вимогам стандарту ISO 27001
      • це швидко і зручно, достатньо лише обрати спосіб зв'язку з нашим спеціалістом
      • ви можете обрати погодинну консультацію за фіксованою ціною
      • або співпрацювати у форматі місячної, квартальної чи річної підписки від 10 годин щоб отримати ексклюзивний прайс
      *90.00 / година
      без ПДВ
      Почати діалог
      • ви можете обрати будь-яку з 3-х проектних послуг
      • швидка оцінка - аналіз будь-якого одного зі 114 контролів або артефактів СУІБ (стратегія, політика, процедура, процес, карта ризиків, план обробки ризиків, тренінг, тощо)
      • геп-аналіз - аналіз недоліків у існуючої СУІБ (може бути обмежений підрозділом, бізнес юнітом, чи офісом)
      • аудит - дає можливість поглянути на все зі сторони і отримати експертну оцінку щодо відповідності СУІБ стандарту ISO 27001
      • кожен зі звітів містиме:
        повний перелік невідповідностей по рівням критичності; рекомендації щодо поліпшень; дорожню карту впроваждення змін
      Зверніться до менеджера, щоб отримати комерційну пропозицію
      Почати діалог
      • проект побудови системи управління інформаційною безпекою під ключ з дотриманням вимог стандарту ISO 27001
      • проект включає:
        - геп-аналіз або аудит, для розуміння поточного стану, та для оцінки артефактів СУІБ, якщо якісь вже були впроваджені;
      • - розробка плану проекту та дорожньої карти впровадження чи поліпшень;
      • - розробка документації: стратегій, політик, процесів, процедур, карти ризиків, плану обробки ризиків, тренінгів, програм обізнаності;
      • - допомога у виборі систем та рішень згідно найкращім практикам;
      • - тестування процесів, процедур, проведення симуляцій збоїв, оцінка результатів;
      • - контроль та звітність на всіх етапах проекту;
      • - навчання персоналу
      Зверніться до менеджера, щоб отримати комерційну пропозицію
      Почати діалог
      • ви можете обрати місячну, квартальну чи річну пидписку на підтримку належного стану системи управління інформаційною безпекою та її відповідності вимогам стандарту ISO 27001
      • може містити:
        - пакет годин консультацій необхідного спеціаліста, розрахований згідно з вашими потребами;
      • - пакет швидка оцінка / геп-аналіз / аудит, з обраною вами періодичністю;
      • - пакет супровід, допомога та контроль у вашому самостійному проекті з впровадження змін чи поліпшень;
      • - пакет поліпшення, в якому ми поліпшуємо артефакти СУІБ, якщо ваша компанія того потребує;
      • - усі необхідні звіти та проектну документацію
      Зверніться до менеджера, щоб отримати комерційну пропозицію
      Почати діалог
      Не знайшли те що шукали?
      Ми завжди готові допомогти з вирішенням Вашої проблеми або відповісти на термінові питання.
      Для цього Вам необхідно лише обрати зручний засіб зв'язку з нашими фахівцями.
      ПОРАДА ЕКСПЕРТА
      Цей сайт використовує файли cookie для аналізу нашого трафіку, персоналізації контенту та реклами, а також надання доступу до функцій соціальних мереж.

      Інформація про ваше використання цього сайту доступна нашим партнерами з соціальних мереж, рекламним партнерами і партнерами з аналітики.
      Вони можуть поєднувати цю інформацію з іншими даними про вас, які вони зібрали під час вашого користування їх послугами.

      Дізнайтесь більше про умови використання файлів cookie ознайомившись з Політикою конфіденційності.
      Добре
      Made on
      Tilda