Что такое аудит ISO 27001 и нужен ли он моей компании?

В нашем мире коммерциализированных данных стандарты кибербезопасности должны быть заоблачными и точными. Большинство компаний, даже если они не связаны непосредственно с технологиями, в конечном итоге столкнутся с необходимостью опереться изнутри.

Более десяти лет назад Международная организация стандартов приняла спецификацию под названием ISO 27001. Так что же это такое? Что аудит по ISO 27001 может рассказать нам о внутренних махинациях организации? И как вы решаете, нужно ли проводить аудит вашей компании?

Что такое система управления информационной безопасностью (СМИБ)?

Система управления информационной безопасностью (СМИБ) - это основная линия защиты организации от утечки данных и другие виды киберугроз снаружи.

Эффективная СМИБ гарантирует, что защищаемая информация останется конфиденциальной и безопасной, верной источнику и доступной для людей, имеющих допуск для работы с ней.

Распространенной ошибкой является предположение, что СМИБ представляет собой не более чем межсетевой экран или другие технические средства защиты. Напротив, полностью интегрированная СМИБ присутствует в культуре компании и в каждом сотруднике, инженере или ином. Это выходит далеко за рамки ИТ-отдела.

В рамки этой системы входит не только официальная политика и процедура, но и способность команды управлять системой и совершенствовать ее. Выполнение и способ фактического применения протокола имеют первостепенное значение.

Это предполагает использование долгосрочного подхода к управлению рисками и их снижению. Руководители компании должны быть хорошо знакомы со всеми рисками, связанными с отраслью, в которой они работают. Вооруженные этим пониманием, они смогут соответственно возводить вокруг себя стены.

Что такое ISO 27001?

В 2005 году Международная организация по стандартизации (ISO) и Международная электротехническая Комиссия (IEC) обновила BS 7799, стандарт управления безопасностью, впервые установленный группой BSI 10 лет назад. ранее.

Теперь официально известный как ISO / IEC 27001: 2005, ISO 27001 - это международный стандарт соответствия, присуждаемый компаниям, которые являются образцовыми в управлении информационной безопасностью.

По сути, это строгий набор стандартов, против которых может выступать система управления информационной безопасностью компании. Эта структура позволяет аудиторам затем оценить устойчивость системы в целом. Компании могут выбрать аудит, если они хотят убедить своих клиентов и клиентов в том, что их данные находятся в безопасности в их стенах.

В этот набор положений включены: спецификации, касающиеся политики безопасности, активов классификация, экологическая безопасность, управление сетью, обслуживание системы и непрерывность бизнеса планирование.

ISO объединил все эти аспекты первоначального устава BSI, переработав их в версию, которую мы узнаем сегодня.

Углубляясь в политику

Что именно оценивается, когда компания проходит аудит ISO 27001?

Цель стандарта - формализовать эффективную и безопасную информационную политику на международном уровне. Это стимулирует активную позицию, направленную на то, чтобы избежать неприятностей до того, как они произойдут.

ISO подчеркивает три важных аспекта безопасности СМИБ:

1. Постоянный анализ и признание риска: сюда входят как текущие риски, так и риски, которые могут возникнуть в будущем.

2. Надежная и безопасная система: это включает систему в том виде, в котором она существует в техническом смысле, а также любые меры безопасности, которые организация использует для защиты от вышеупомянутых рисков. Они будут выглядеть по-разному в зависимости от компании и отрасли.

3. Преданная команда лидеров: это будут люди, которые фактически задействуют средства управления для защиты организации. Система настолько эффективна, насколько эффективны те, кто работает у руля.

Анализ этих трех ключевых факторов помогает аудитору составить более полную картину способности данной компании работать безопасно. Устойчивость предпочтительнее СМИБ, которая полагается только на грубую техническую силу.

Связанный: Как уберечь сотрудников от кражи данных компании при увольнении

Должен присутствовать важный человеческий фактор. Способ, которым люди в компании осуществляют контроль над своими данными и своей СМИБ, является превыше всего. Эти элементы управления - это то, что на самом деле обеспечивает безопасность данных.

Что такое приложение А к ISO 27001?

Конкретные примеры «контроля» зависят от отрасли. Приложение A к ISO 27001 предлагает компаниям 114 официально признанных средств контроля над безопасностью их операций.

Эти элементы управления попадают в одну из четырнадцати классификаций:

A.5—Информация и политика безопасности: институциональные политики и процедуры, которым следует компания.

A.6—Организация информационной безопасности: распределение ответственности внутри организации в отношении структуры СМИБ и ее реализации. Сюда, как ни странно, также включена политика, регулирующая удаленную работу и использование устройств внутри компании.

A.7—Безопасность человеческих ресурсов: касается адаптации, увольнения и смены ролей сотрудников в организации. Здесь также изложены стандарты отбора и передовой опыт в области образования и обучения.

A.8—Управление активами: включает обрабатываемые данные. Активы необходимо инвентаризировать, обслуживать и хранить в частном порядке, в некоторых случаях даже между подразделениями. Право собственности на каждый актив должно быть четко установлено; в этом пункте компаниям рекомендуется разработать «Политику допустимого использования» для конкретного направления их деятельности.

A.9—Контроль доступа: кому разрешено обрабатывать ваши данные и как вы ограничите доступ только авторизованным сотрудникам? Это может включать в себя условную настройку разрешений в техническом смысле или доступ к заблокированным зданиям на территории кампуса вашей компании.

A.10—Криптография: в первую очередь занимается шифрованием и другими способами защиты данных при передаче. Этими профилактическими мерами необходимо активно управлять; ISO не рекомендует организациям рассматривать шифрование как универсальное решение всех тонких нюансов, связанных с безопасностью данных.

A.11—Физическая и экологическая безопасность: оценивает физическую безопасность, где бы ни находились конфиденциальные данные, будь то в реальном офисном здании или в небольшом помещении с кондиционером, заполненном серверами.

A.12—Безопасность операций: каковы ваши внутренние правила безопасности, когда речь идет о деятельности вашей компании? Документацию, объясняющую эти процедуры, следует поддерживать и часто пересматривать для удовлетворения новых возникающих потребностей бизнеса.

Под эту категорию подпадают управление изменениями, управление мощностью и разделение различных отделов.

A.13—Управление сетевой безопасностью: сети, соединяющие каждую систему в вашей компании, должны быть герметичными и тщательно охраняться.

Комплексные решения, такие как брандмауэры, становятся еще более эффективными, если они дополняются такими вещами, как частые контрольные точки проверки, формализованные политики передачи или запрещение использования публичных сетей например, при обработке данных вашей компании.

A.14—Приобретение, разработка и обслуживание системы: если в вашей компании еще нет СУИБ, в этом разделе объясняется, что дает идеальная система. Это помогает вам гарантировать, что область действия СМИБ охватывает все аспекты вашего производственного жизненного цикла.

Внутренняя политика безопасной разработки дает вашим инженерам контекст, необходимый им для создания совместимого продукта, с самого начала их работы.

A.15—Политика безопасности поставщика: при ведении дел со сторонними поставщиками за пределами вашей компании, какие меры предосторожности принимаются для предотвращения утечки или утечки данных, которыми с ними поделились?

A.16—Управление инцидентами информационной безопасности: когда что-то пойдет не так, ваша компания, вероятно, предоставит некоторую основу для того, как сообщать о проблеме, решать ее и предотвращать в будущем.

ISO ищет системы ответных действий, которые позволят официальным лицам внутри компании действовать быстро и с большим предубеждением после обнаружения угрозы.

A.17—Аспекты информационной безопасности при управлении непрерывностью бизнеса: в случае катастрофы или другого маловероятного инцидента, который безвозвратно нарушит вашу работу, план необходимо будет обеспечить благополучие компании и ее данных до тех пор, пока бизнес не возобновится, обычный.

Идея состоит в том, что организации нужен способ сохранить непрерывность безопасности в такие времена.

A.18—Согласие: наконец, мы подошли к фактическому договору о соглашениях, который компания должна подписать, чтобы соответствовать требованиям сертификации ISO 27001. Ваши обязанности изложены перед вами. Все, что вам осталось сделать, это поставить подпись на пунктирной линии.

ISO больше не требует, чтобы соответствующие компании применяли только средства контроля, которые соответствуют перечисленным выше категориям. Однако список - отличное место для начала, если вы только начинаете закладывать основы СМИБ своей компании.

Связанный: Как улучшить внимательность с помощью передовых методов безопасности

Следует ли проводить аудит моей компании?

Это зависит. Если вы - очень маленький стартап, работающий в сфере, которая не является чувствительной или высокорисковой, вы, вероятно, можете подождать, пока ваши планы на будущее не станут более определенными.

Позже, по мере роста вашей команды, вы можете попасть в одну из следующих категорий:

• Возможно, вы работаете с важным клиентом, который просит оценить вашу компанию, чтобы убедиться, что они будут в безопасности с вами.
• Возможно, вы захотите перейти на IPO в будущем.
• Вы уже стали жертвой взлома и должны переосмыслить способ управления и защиты данных своей компании.

Не всегда легко делать прогнозы на будущее. Даже если вы не видите себя ни в одном из вышеперечисленных сценариев, не помешает проявить инициативу и начать внедрять некоторые из рекомендуемых практик ISO в свой режим.

Сила в ваших руках

Подготовить СМИБ к аудиту так же просто, как проявить должную осмотрительность, даже если вы работаете сегодня. Документацию следует всегда поддерживать и хранить в архиве, чтобы получить доказательства, необходимые для подтверждения ваших заявлений о компетентности.

Это как в средней школе: вы делаете домашнее задание и получаете оценку. Клиенты живы и здоровы, и ваш босс очень доволен вами. Это простые привычки, которые нужно выучить и сохранить. Вы поблагодарите себя позже, когда наконец позвонит человек с планшетом обмена.

4 основных направления кибербезопасности, на которые следует обратить внимание в 2021 году и в последующий период

Вот кибератаки, за которыми вам нужно следить в 2021 году, и как вы можете не стать их жертвой.

Читать далее

Об авторе