Как и зачем внедрять ISO 27001 и как это работает на практике
Зачем компаниям нужна сертификация по стандарту ISO 27001? Как подготовиться к внедрению и к прохождению сертификации? Мы расскажем на опыте реальной компании.
Как показывает мировая практика, успех современного бизнеса определяетcя эффективностью бизнес-процессов. Конкуренция на рынке растет, а это значит, что нужно быть готовым постоянно совершенствоваться и «повышать планку», чтобы соответствовать все новым требованиям заинтересованных всех сторон.
Эффективность бизнес-процессов во многом зависит от соответствия современным тенденциям. Одной из ключевых тенденций на сегодняшний момент является решение вопросов по информационной безопасности, в том числе и защиты персональных данных. Сейчас данная область находится под пристальным контролем не только со стороны клиентов и сотрудников компаний. Серьезное беспокойство в бизнес-среде вызвал закон General Data Protection Regulation (GDPR). За несоблюдение правил защиты персональных данных граждан Европейского Союза компании могут поплатиться многомиллионными выплатами.
Особенно актуальными эти вопросы становятся для тех отраслей, где информационная безопасность имеет критически важное значение для имиджа бизнеса. Например, в сфере оказания профессиональных услуг мотивом для изменений является требование клиентов о конфиденциальности их данных. Очень часто для крупных клиентов одним из главных критериев выбора поставщика является надежность. И иногда клиенты могут прибегнуть к проверке, чтобы убедится, что политика и процедура безопасности соответствуют лучшим мировым практикам и действительно работают.
Подготовка к внедрению СМИБ стандарта ISO 27001
Для тех, кто не знаком со стандартом, мы кратко поясним. ISO 27001 — это международный стандарт, устанавливающий требования к системе управления безопасностью в компании. Данный стандарт описывает общие требования к системе менеджмента информационной безопасности, оставляя на выбор компании инструменты и процедуры управления безопасностью. Вот почему в стандарте вы не найдете жестких требований. Именно поэтому стандарт может быть использован любыми компаниями, вне зависимости от размера или формы собственности.
Безусловно, внедрение стандарта – это сложный и далеко не быстрый процесс, требующих определенных инвестиций со стороны руководства. Поэтому руководство компании должно весьма тщательно подойти к вопросу сертификации и оценить целесообразность этого решения.
Перед началом внедрения следует:
1. Обозначить цели сертификации
Для этого можно ответить на несколько вопросов: какую выгоду получит компания от прохождения сертификации, для компании достаточно только формального соответствия или нужно добиться реального повышения уровня защищенности и другие.
2. Определить область сертификации
Для определения области необходимо ответить на вопрос: какие структурные подразделения/направления хотели бы сертифицировать? Необходимо понимать, что более узкая область сертификации позволяет снизить сроки и стоимость сертификации.
3. Рассчитать бюджет сертификации
Бюджет будет завесить от того, кто будет заниматься разработкой документации и сопровождением сертификации. Один из выгодных вариантов – обратиться консультантам по сертификации. У них уже есть достаточный опыт ведения проектов и они лучше знают «подводные камни» сертификации.
4. Оценить реальные сроки разработки документации
Как правило на разработку документации может понадобиться от 2 до 6 месяцев.
5. Установить общий срок проекта
Добавить к сроку разработки документации срок на сертификацию. При работе с международными органами сертификация занимает 2-4 месяца. Это связано со сроками рассмотрения заявки, назначения аудитора, подачи и рассмотрения отчета об сертификационном аудите, выпуском сертификата и прочего.
ISO 27001: практическое применение
Рассмотрим применение стандарта ISO 27001 в компании, оказывающие услуги по аутсорсингу учетных функций.
Незашифрованные USB-флешки
Одним из главных потенциальных рисков в компании было использование незашифрованных USB-флешек. Проблема была в том, что сотрудник при скачивании материалов на внешний носитель мог в последствии его потерять. Решением стало введение лимита на скачивание любой информации и подача заявки в IT-отдел. Полный доступ к абсолютно всей информации имели сотрудники IT-отдела, так как именно специалисты данного отдела имели права администратора во всех системах компании. Иметь доступ ко всем системам – это большой риск, ведь работа специалистов не находится под контролем и велика вероятность утечки данных. В связи с анализируемыми рисками, было принято решение внедрить систему контроля действий персонала для анализа, блокировки и оповещений опасной и непродуктивной деятельности – Data Loss Prevention (DLP). Оповещения настроены таким образом, что приходят на почту операционному директору компании.
Бумажные документы
Работа с бумажными документами тоже носила определённый риск, ведь была вероятность оставить в ненадлежащем месте, потерять или неправильно утилизировать документы. Это задача была решена следующим методом: все бумажные документы в компании были промаркированы по степени конфиденциальности, определен порядок утилизации разных типов документов. В итоге, каждый сотрудник компании знает, как обращаться с тем или иным типом документов. Также проводились внутренние проверки корректности обращения с документами. Назначенный сотрудник в конце рабочего дня проверяет столы других сотрудников на наличие конфиденциальной информации.
Дата-центр
Информация компании хранилась на серверах в стороннем дата-центре. Не были учтены риски, связанные с аварией в этом дата-центре. Решением стало аренда резервного облачного дата-центра с последующем копированием наиболее важной информации. Теперь данные хранятся в территориально удаленных друг от друга местах. Также с дата-центрами было подписано соглашение SLA, которое устанавливает критически важные для компании параметры работы.
Все эти примеры показывают конкретные пути снижения рисков, которые определены в стандарте ISO 27001. В процессе подготовки к сертификации есть следующие важные нюансы:
- Ключевым процессом в управлении информационной безопасностью является регулярная оценка рисков. Если уровень риска дойдет до неприемлемого значения, то необходимо разработать и осуществить меры по его снижению;
- Чтобы понять, каким требованиям стандарта соответствует система, а каким нет, необходимо привести в порядок документацию процессов и процедур;
- Безусловно, важно уделять большое внимание средствам защиты информации, но при этом необходимо помнить, что самым опасным фактором риска является человеческий фактор. Поэтому важно не только обучать сотрудников политике информационной безопасности, но и тестировать их знания;
- Аудит системы менеджмента информационной безопасности будет полезен как для получения сертификата, так и для улучшения бизнес-процессов. Из отчета по аудиту можно взять на заметку много идей для повышения результативности.
ISO 27001 как конкурентное преимущество
1. Увеличение новых продаж
Сертификат дает преимущество при участии в тендерах международных компаний.
2. Снижение риск-убытков
Внедрение системы позволяет предотвратить возможные потери и наладить систему риск-менеджмента.
3. Укрепление деловой позиции
Сертификат ISO 27001 позволяет увеличить привлекательность владельца в глазах клиентов, компании и партеров.
4. Рост эффективности бизнес-процессов
После прохождения сертификационного аудита прилагаются рекомендации по внедрению лучших мировых практик для повышения эффективности бизнес-процессов.
Помните, что деловая репутация компании нарабатывается годами, а теряется в одно мгновение!
Наша компания занимается разработкой документации по стандарту ISO/IEC 27001:2013 и может помочь в получении международного сертификата по данному стандарту. Если Вас интересует получение сертификата оставьте заявку на сайте.