Что такое аудит ISO 27001 и нужен ли он моей компании?
В нашем мире коммерциализированных данных стандарты кибербезопасности должны быть заоблачными и точными. Большинство компаний, даже если они не связаны непосредственно с технологиями, в конечном итоге столкнутся с необходимостью опереться изнутри.
Более десяти лет назад Международная организация стандартов приняла спецификацию под названием ISO 27001. Так что же это такое? Что аудит по ISO 27001 может рассказать нам о внутренних махинациях организации? И как вы решаете, нужно ли проводить аудит вашей компании?
Что такое система управления информационной безопасностью (СМИБ)?
Система управления информационной безопасностью (СМИБ) – это основная линия защиты организации от утечки данных и других типов киберугроз извне.
Эффективная СМИБ гарантирует, что защищаемая информация останется конфиденциальной и безопасной, верной источнику и доступной для людей, имеющих допуск для работы с ней.
Распространенной ошибкой является предположение, что СМИБ представляет собой не более чем межсетевой экран или другие технические средства защиты. Напротив, полностью интегрированная СМИБ присутствует в культуре компании и в каждом сотруднике, инженере или ином. Это выходит далеко за рамки ИТ-отдела.
В рамки этой системы входит не только официальная политика и процедура, но и способность команды управлять системой и совершенствовать ее. Выполнение и способ фактического применения протокола имеют первостепенное значение.
Это предполагает использование долгосрочного подхода к управлению рисками и их снижению. Руководители компании должны быть хорошо знакомы со всеми рисками, связанными с отраслью, в которой они работают. Вооруженные этим пониманием, они смогут соответственно возводить вокруг себя стены.
Что такое ISO 27001?
В 2005 году Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (IEC) обновили BS 7799, стандарт управления безопасностью, впервые установленный группой BSI 10 лет назад.
Теперь официально известный как ISO / IEC 27001: 2005, ISO 27001 – это международный стандарт соответствия, присуждаемый компаниям, которые являются образцовыми в управлении информационной безопасностью.
По сути, это строгий набор стандартов, против которых может выступать система управления информационной безопасностью компании. Эта структура позволяет аудиторам затем оценить устойчивость системы в целом. Компании могут выбрать аудит, если они хотят убедить своих клиентов и клиентов в том, что их данные находятся в безопасности в их стенах.
В этот набор положений включены: спецификации, касающиеся политики безопасности, классификации активов, экологической безопасности, управления сетью, обслуживания системы и планирования непрерывности бизнеса.
ISO объединил все эти аспекты первоначального устава BSI, переработав их в версию, которую мы узнаем сегодня.
Углубляясь в политику
Что именно оценивается, когда компания проходит аудит ISO 27001?
Цель стандарта – формализовать эффективную и безопасную информационную политику на международном уровне. Это стимулирует активную позицию, направленную на то, чтобы избежать неприятностей до того, как они произойдут.
ISO подчеркивает три важных аспекта безопасности СМИБ:
1. Постоянный анализ и признание риска : сюда входят как текущие риски, так и риски, которые могут возникнуть в будущем.
2. Надежная и безопасная система : это включает систему в том виде, в котором она существует в техническом смысле, а также любые меры безопасности, которые организация использует для защиты от вышеупомянутых рисков. Они будут выглядеть по-разному в зависимости от компании и отрасли.
3. Преданная команда лидеров : это будут люди, которые фактически задействуют средства управления для защиты организации. Система настолько эффективна, насколько эффективны те, кто работает у руля.
Анализ этих трех ключевых факторов помогает аудитору составить более полную картину способности данной компании работать безопасно. Устойчивость предпочтительнее СМИБ, которая полагается только на грубую техническую силу.
Должен присутствовать важный человеческий фактор. Способ, которым люди в компании осуществляют контроль над своими данными и своей СМИБ, является превыше всего. Эти элементы управления – то, что на самом деле обеспечивает безопасность данных.
Что такое приложение А к ISO 27001?
Конкретные примеры «контроля» зависят от отрасли. Приложение A к ISO 27001 предлагает компаниям 114 официально признанных средств контроля над безопасностью их операций.
Эти элементы управления попадают в одну из четырнадцати классификаций:
A.5 – Политика информации и безопасности : институциональные политики и процедуры, которым следует компания.
A.6 – Организация информационной безопасности : распределение ответственности внутри организации в отношении структуры СМИБ и ее реализации. Сюда, как ни странно, также включена политика, регулирующая удаленную работу и использование устройств в компании .
A.7 – Безопасность человеческих ресурсов : касается приема на работу, увольнения и смены ролей сотрудников в организации. Здесь также изложены стандарты отбора и передовой опыт в области образования и обучения.
A.8 – Управление активами : включает обрабатываемые данные. Активы необходимо инвентаризировать, обслуживать и хранить в частном порядке, в некоторых случаях даже между подразделениями. Право собственности на каждый актив должно быть четко установлено; в этом пункте компаниям рекомендуется разработать «Политику допустимого использования» для конкретного направления их деятельности.
A.9 – Контроль доступа : кому разрешено обрабатывать ваши данные и как вы ограничите доступ только уполномоченным сотрудникам? Это может включать в себя условную настройку разрешений в техническом смысле или доступ к заблокированным зданиям на территории кампуса вашей компании.
A.10 – Криптография : в первую очередь занимается шифрованием и другими способами защиты данных при передаче. Этими профилактическими мерами необходимо активно управлять; ISO не рекомендует организациям рассматривать шифрование как универсальное решение всех тонких нюансов, связанных с безопасностью данных.
A.11 – Физическая безопасность и безопасность окружающей среды : оценивает физическую безопасность, где бы ни находились конфиденциальные данные, будь то в реальном офисном здании или в небольшой комнате с кондиционированием воздуха, полной серверов.
A.12 – Безопасность операций : каковы ваши внутренние правила безопасности, когда речь идет о работе вашей компании? Документацию, объясняющую эти процедуры, следует поддерживать и часто пересматривать для удовлетворения новых возникающих потребностей бизнеса.
Под эту категорию подпадают управление изменениями, управление мощностью и разделение различных отделов.
A.13 – Управление сетевой безопасностью : сети, которые соединяют каждую систему в вашей компании, должны быть герметичными и тщательно контролироваться.
Комплексные решения, такие как межсетевые экраны, становятся еще более эффективными, если они дополняются такими вещами, как частые контрольные точки проверки, формализованные политики передачи или, например, путем запрета использования общедоступных сетей при обработке данных вашей компании.
A.14 – Приобретение, разработка и сопровождение системы : если в вашей компании еще нет СУИБ, в этом разделе объясняется, что дает идеальная система. Это помогает вам гарантировать, что область действия СМИБ охватывает все аспекты вашего производственного жизненного цикла.
Внутренняя политика безопасной разработки дает вашим инженерам контекст, необходимый им для создания совместимого продукта, с самого начала их работы.
A.15 – Политика безопасности поставщиков : при ведении дел со сторонними поставщиками за пределами вашей компании, какие меры предосторожности принимаются для предотвращения утечек или утечки данных, которыми с ними поделились?
A.16 – Управление инцидентами информационной безопасности : когда что-то идет не так, ваша компания, вероятно, предоставляет некоторую основу для того, как сообщать о проблеме, решать ее и предотвращать в будущем.
ISO ищет системы ответных действий, которые позволят авторитетным лицам в компании действовать быстро и с большим предубеждением после обнаружения угрозы.
A.17 – Аспекты информационной безопасности при управлении непрерывностью бизнеса : в случае катастрофы или другого маловероятного инцидента, который безвозвратно нарушит вашу деятельность, необходимо разработать план для сохранения благополучия компании и ее данных до тех пор, пока бизнес возобновляется в обычном режиме.
Идея состоит в том, что организации нужен способ сохранить непрерывность безопасности в такие времена.
A.18 – Соответствие : наконец, мы подошли к фактическому договору о соглашениях, который компания должна подписать, чтобы соответствовать требованиям сертификации ISO 27001. Ваши обязанности изложены перед вами. Все, что вам осталось сделать, это поставить подпись на пунктирной линии.
ISO больше не требует, чтобы соответствующие компании применяли только средства контроля, которые соответствуют перечисленным выше категориям. Однако список – отличное место для начала, если вы только начинаете закладывать основы СМИБ своей компании.
Следует ли проводить аудит моей компании?
Это зависит. Если вы – очень маленький стартап, работающий в сфере, которая не является чувствительной или высокорисковой, вы, вероятно, можете подождать, пока ваши планы на будущее не станут более определенными.
Позже, по мере роста вашей команды, вы можете попасть в одну из следующих категорий:
- Возможно, вы работаете с важным клиентом, который просит оценить вашу компанию, чтобы убедиться, что они будут в безопасности с вами.
- Возможно, вы захотите перейти на IPO в будущем.
- Вы уже стали жертвой взлома и должны переосмыслить способ управления и защиты данных своей компании.
Не всегда легко делать прогнозы на будущее. Даже если вы не видите себя ни в одном из вышеперечисленных сценариев, не помешает проявить инициативу и начать внедрять некоторые из рекомендуемых практик ISO в свой режим.
Сила в ваших руках
Подготовить СМИБ к аудиту так же просто, как проявить должную осмотрительность, даже если вы работаете сегодня. Документацию следует всегда поддерживать и хранить в архиве, чтобы получить доказательства, необходимые для подтверждения ваших заявлений о компетентности.
Это как в средней школе: вы делаете домашнее задание и получаете оценку. Клиенты живы и здоровы, и ваш босс очень доволен вами. Это простые привычки, которые нужно выучить и сохранить. Вы поблагодарите себя позже, когда, наконец, позвонит человек с планшетом обмена.