Что такое аудит ISO 27001 и нужен ли он моей компании?
Безопасность

Что такое аудит ISO 27001 и нужен ли он моей компании?

Этот строгий свод стандартов позволяет аудиторам оценить уровень безопасности компании. Вот все, что вам нужно знать

В нашем мире товарных данных стандарты кибербезопасности должны быть очень высокими и острыми. Большинство компаний, даже если они не связаны с технологиями, рано или поздно столкнутся с необходимостью подстраховаться изнутри

Более десяти лет назад Международная организация стандартов приняла спецификацию под названием ISO 27001. Так что же это такое? Что может рассказать аудит ISO 27001 о внутренних механизмах организации? И как решить, стоит ли проводить аудит вашей компании?

Что такое система управления информационной безопасностью (ISMS)?

Система управления информационной безопасностью (ISMS) – это главная линия защиты организации от утечек данных и других видов киберугроз извне

Эффективная СУИБ гарантирует, что защищаемая информация остается конфиденциальной и безопасной, верной источнику и доступной для людей, имеющих допуск к работе с ней

Распространенной ошибкой является предположение, что ISMS – это не более чем брандмауэр или другие технические средства защиты. Напротив, полностью интегрированная СУИБ в той же мере присутствует в культуре компании и в каждом сотруднике, инженере или ином работнике. Она выходит далеко за рамки ИТ-отдела

Более чем просто официальная политика и процедура, сфера действия этой системы также включает в себя способность команды управлять и совершенствовать систему. Исполнение и то, как протокол применяется на практике, имеют первостепенное значение

Это предполагает долгосрочный подход к управлению рисками и их снижению. Руководители компании должны быть хорошо знакомы с любыми рисками, связанными с отраслью, в которой они работают. Вооруженные этим знанием, они смогут выстроить вокруг себя соответствующие стены

Что такое ISO 27001?

В 2005 году Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (IEC) пересмотрели BS 7799, стандарт управления безопасностью, впервые созданный BSI Group 10 лет назад

Теперь официально известный как ISO/IEC 27001:2005, стандарт ISO 27001 является международным стандартом соответствия, присуждаемым компаниям, которые являются образцовыми в управлении информационной безопасностью

По сути, это строгий набор стандартов, которым может соответствовать система управления информационной безопасностью компании. Эта система позволяет аудиторам оценить стойкость системы в целом. Компании могут выбрать аудит, когда они хотят заверить своих клиентов и заказчиков в том, что их данные находятся в безопасности в стенах компании

В этот сборник включены следующие положения: спецификации, касающиеся политики безопасности, классификации активов, экологической безопасности, управления сетью, обслуживания системы и планирования непрерывности бизнеса

ISO сконденсировал все эти аспекты из оригинального устава BSI, переработав их в версию, которую мы знаем сегодня

Копаемся в политике

Что именно оценивается, когда компания проходит аудит ISO 27001?

Целью стандарта является формализация эффективной и безопасной информационной политики на международном уровне. Он поощряет проактивную позицию, направленную на то, чтобы избежать проблем до того, как они возникнут

ISO подчеркивает три важных аспекта безопасной СУИБ:

1. Постоянный анализ и признание риска : сюда входят как текущие риски, так и риски, которые могут проявиться в будущем

2. Надежная и безопасная система : сюда входит система в том виде, в котором она существует в техническом смысле, а также любые средства контроля безопасности, которые организация использует для защиты от вышеупомянутых рисков. В зависимости от компании и отрасли они будут выглядеть совершенно по-разному

3. Преданная команда лидеров : это те люди, которые на деле применяют средства контроля для защиты организации. Система эффективна лишь настолько, насколько эффективны те, кто стоит у руля

Анализ этих трех ключевых факторов помогает аудитору составить более полную картину способности данной компании работать безопасно. Устойчивость предпочтительнее, чем ISMS, которая полагается только на грубую техническую силу

Похожие: Как уберечь сотрудников от кражи данных компании при увольнении

Здесь должен присутствовать важный человеческий фактор. То, как люди в компании осуществляют контроль над своими данными и своей СУИБ, стоит выше всего остального. Именно эти средства контроля обеспечивают безопасность данных

Что такое Приложение А стандарта ISO 27001?

Конкретные примеры ‘средств контроля’ зависят от отрасли. Приложение А стандарта ISO 27001 предлагает компаниям 114 официально признанных средств контроля безопасности их деятельности

Эти средства контроля относятся к одной из четырнадцати классификаций:

A. 5- Политика в области информации и безопасности : институционализированные политики и процедуры, которым следует компания

A. 6- Организация информационной безопасности : распределение ответственности в организации в отношении структуры СУИБ и ее внедрения. Сюда же, как ни странно, включена политика, регулирующая телеработу и использование устройств внутри компании

A. 7- Безопасность человеческих ресурсов : касается приема на работу, увольнения и смены ролей сотрудников в организации. Здесь также описаны стандарты скрининга и лучшие практики в области образования и обучения

A. 8- Управление активами : включает в себя данные, с которыми ведется работа. Активы должны быть инвентаризированы, поддерживаться и храниться в тайне, в некоторых случаях даже через департамент. Право собственности на каждый актив должно быть четко определено; в этом пункте компаниям рекомендуется разработать ‘Политику приемлемого использования’, специфичную для их сферы деятельности

A. 9- Контроль доступа : кому разрешено работать с вашими данными, и как вы ограничите доступ только уполномоченным сотрудникам? Это может включать условное установление разрешений в техническом смысле или доступ в запертые здания на территории вашей компании

A. 10- Криптография : в первую очередь речь идет о шифровании и других способах защиты данных при передаче. Этими превентивными мерами необходимо активно управлять; ISO не рекомендует организациям рассматривать шифрование как универсальное решение всех глубоких проблем, связанных с безопасностью данных

A. 11- Физическая и экологическая безопасность : оценивается физическая безопасность того места, где находятся конфиденциальные данные, будь то в реальном офисном здании или в небольшой кондиционированной комнате, заполненной серверами

A. 12- Операционная безопасность : каковы ваши внутренние правила безопасности, когда речь идет о работе вашей компании? Документация, объясняющая эти процедуры, должна поддерживаться и часто пересматриваться для удовлетворения новых, возникающих потребностей бизнеса

Управление изменениями, управление мощностями и разделение различных отделов – все это относится к данному разделу

A. 13- Управление сетевой безопасностью : сети, соединяющие каждую систему в вашей компании, должны быть герметичными и тщательно охраняемыми

Такие универсальные решения, как брандмауэры, становятся еще более эффективными, если их дополнить такими вещами, как частые контрольные точки проверки, формализованные политики передачи данных или, например, запрет на использование публичных сетей при работе с данными вашей компании

A. 14- Приобретение, разработка и обслуживание системы : если в вашей компании еще нет СУИБ, этот пункт объясняет, что представляет собой идеальная система. Он поможет вам убедиться, что область применения СУИБ охватывает все аспекты жизненного цикла вашего производства

Внутренняя политика безопасной разработки дает вашим инженерам условия, необходимые для создания продукта, отвечающего требованиям, с самого начала работы

A. 15- Политика безопасности поставщиков : при ведении бизнеса со сторонними поставщиками за пределами вашей компании, какие меры предосторожности принимаются для предотвращения утечки или нарушения данных, передаваемых им?

A. 16- Управление инцидентами информационной безопасности : когда что-то идет не так, ваша компания, вероятно, обеспечивает определенную структуру для того, чтобы сообщить о проблеме, решить ее и предотвратить в будущем

ISO ищет системы возмездия, которые позволяют представителям власти в компании действовать быстро и с большим предубеждением после обнаружения угрозы

A. 17- Аспекты информационной безопасности управления непрерывностью бизнеса : в случае катастрофы или другого маловероятного инцидента, который безвозвратно нарушит вашу деятельность, необходимо будет разработать план по сохранению благополучия компании и ее данных до возобновления нормальной работы

Идея заключается в том, что организации необходим какой-то способ сохранения непрерывности безопасности в такие моменты

A. 18- Соответствие : наконец, мы переходим к фактическому договору о соглашениях, которые компания должна соблюдать, чтобы соответствовать требованиям сертификации ISO 27001. Ваши обязательства изложены перед вами. Все, что вам осталось сделать, это поставить свою подпись под пунктирной линией

ISO больше не требует, чтобы компании, соответствующие требованиям, использовали только те средства контроля, которые соответствуют перечисленным выше категориям. Тем не менее, этот список – отличное начало, если вы только начинаете закладывать фундамент ИСУБ вашей компании

Похожие статьи: Как улучшить свое сознание с помощью хороших практик безопасности

Должна ли моя компания проходить аудит?

Это зависит от обстоятельств. Если вы очень маленькая компания, работающая в сфере, которая не является чувствительной или подверженной высокому риску, вы, вероятно, можете воздержаться, пока ваши планы на будущее не станут более определенными

Позже, по мере роста вашей команды, вы можете оказаться в одной из следующих категорий:

  • Возможно, вы работаете с важным клиентом, который просит провести оценку вашей компании, чтобы убедиться, что с вами ему будет безопасно.
  • Возможно, в будущем вы захотите перейти на IPO.
  • Вы уже стали жертвой взлома и должны переосмыслить способ управления и защиты данных своей компании.

.

Прогнозирование будущего не всегда бывает легким. Даже если вы не видите себя ни в одном из вышеперечисленных сценариев, не помешает проявить инициативу и начать внедрять в свой режим некоторые из рекомендованных ISO практик

Власть в ваших руках

Подготовка вашей ИСУП к аудиту – это просто, как проявление должной осмотрительности, даже если вы работаете сегодня. Документация всегда должна храниться и архивироваться, предоставляя вам доказательства, которые вам понадобятся для подтверждения ваших заявлений о компетентности

Все как в средней школе: делаешь домашнее задание – получаешь оценку. Клиенты целы и невредимы, а ваш босс очень доволен вами. Это простые привычки, которые нужно усвоить и сохранить. Вы поблагодарите себя позже, когда человек с планшетом наконец-то позвонит

Об авторе

Алексей Белоусов

Привет, меня зовут Филипп. Я фрилансер энтузиаст . В свободное время занимаюсь переводом статей и пишу о потребительских технологиях для широкого круга изданий , не переставая питать большую страсть ко всему мобильному =)

Комментировать

Оставить комментарий