Путь к ISO 27001 (Часть 2)

Опубликовано: 7 Апреля, 2023

Введение

Многие организации осознали ценность получения аккредитации ISO 27001. Несколько дисциплин, описанных в сертификации, и методологии, которые должны быть приняты для получения этой аккредитации, помогают обеспечить безопасность компаний. Во второй статье мы более подробно рассмотрим, что такое сертификация, а в следующих статьях мы рассмотрим стратегии безопасности, которые помогут получить и поддерживать сертификацию.

Шаг 6: Разработайте программу внедрения СМИБ

Анализ пробелов и оценка рисков должны были выявить проблемные области. Для каждого выявленного риска должны быть установлены соответствующие средства контроля для управления риском.

Составьте легко читаемое краткое руководство, объясняющее процесс сертификации ISO 27001, которому будет следовать команда.

Обязательно укажите временные требования, этапы, которые необходимо достичь, время, отведенное для предварительной оценки и аудита.

Шаг 7: Обучение и внедрение СМИБ

Перед внедрением полезно убедиться, что сотрудники понимают процесс ISO 27001 и его преимущества для компании и ее клиентов. Проведение легкого для понимания обучения сотрудников с упором на роль сотрудника для успешной реализации.

После проведения оценки рисков, инструктажа сотрудников, подготовки объема работ и документации можно внедрять новые процессы.

После внедрения было бы полезно предпринять следующее, чтобы убедиться, что все идет по плану:

  • Оценка СМИБ и сбор доказательств для анализа (вовлечение всех)
  • Пересмотреть процессы, в которых доказательства показывают расхождения или не работают
  • Сообщите сотрудникам о пересмотренных процессах

Шаг 8: Разместите документацию и обязательные задачи реализации

После завершения документации СМИБ и внедрения необходимо предпринять следующие обязательные действия:

  • Внутренняя ревизия
  • Рецензия менеджмента
  • Корректирующие и предупреждающие действия

Внутренний аудит ISO 27001

Внутренний аудит необходим для оценки того, правильно ли работает СМИБ. Аудит должен включать оценку имеющейся документации, процессов и средств контроля и выделение областей, нуждающихся в улучшении. Внутренний аудит имеет решающее значение для выявления ошибок в системе, которые в противном случае останутся скрытыми и будут препятствовать улучшению. Аудитор должен быть независимым и квалифицированным с опытом работы в соответствующих проверяемых областях.

Рецензия менеджмента

Анализ со стороны руководства должен включать все факты, касающиеся информационной безопасности, и использовать полученную информацию для принятия обоснованных решений о необходимости принятия корректирующих мер или о том, могут ли какие-либо превентивные меры быть полезными.

Корректирующие и предупреждающие действия

После проведения внутреннего аудита и анализа со стороны руководства должны быть предприняты корректирующие меры для устранения любых недостатков, обнаруженных в системе безопасности. Все корректирующие меры должны быть задокументированы.

Шаг 9: Процесс сертификации

Процесс сертификации состоит из двух аудитов. Первый — это «обзор документации», когда аудитор проверяет, соответствует ли ваша документация стандарту ISO 27001. В случае успеха последующий аудит, «основной аудит», позволяет аудитору сравнить все действия, которые вы выполняете с ISO 27001 и вашу собственную документацию, чтобы убедиться, что они соответствуют.

Этап первый: проверка документации

Выбранный орган по сертификации проведет аудит. Первоначальный аудит представляет собой оценку документированной СМИБ. Аудитор определит, соответствует ли ваша документация требованиям стандарта ISO 27001. Если документация не соответствует стандарту, компания будет уведомлена о недостатках. Компания должна будет исправить любые проблемные области, прежде чем можно будет провести повторную оценку. Если аудитор удовлетворен тем, что документация полностью соответствует стандарту, он организует переход ко второму этапу аудита.

Второй этап: Основной аудит или оценка соответствия

Аудитор оценит, соответствует ли СМИБ собственной задокументированной СМИБ компании и была ли она внедрена, как указано в документации. Если аудитор обнаружит ошибки при внедрении СМИБ, организация должна будет предпринять корректирующие действия, прежде чем можно будет провести еще один аудит. Если аудитор удовлетворен своими выводами, вам будет предоставлен сертификат ISO 27001.

Шаг 10: Поддержание сертификата ISO 27001

После сертификации

После того, как вы прошли сертификацию, путешествие не заканчивается. Важно, чтобы компания регулярно пересматривала, отслеживала и поддерживала СМИБ. ISO 27001 следует рассматривать как неотъемлемый компонент организации, а не как разовое мероприятие. Я обычно советую нашим клиентам, что эта сертификация является живой сертификацией, которую необходимо поддерживать и часто пересматривать, поэтому многие организации сертифицируют, а затем позволяют всей системе рухнуть из-за плохого обслуживания и внимания. Если вы заранее знаете, что это обязательство, то, надеюсь, это подготовит вас к долгосрочной работе.

После сертификации компания будет ежегодно проходить надзорные аудиты, чтобы убедиться, что СМИБ продолжает соответствовать требованиям стандарта. Каждые три года после сертификации будет проводиться полная оценка СМИБ, чтобы решить, поддерживает ли компания СМИБ и способна ли она сохранить свою сертификацию.

Постоянное управление безопасностью должно включать следующее:

  • Обзор политик и процедур (административный контроль)
  • Обзор политик брандмауэров (административный контроль и технический контроль)
  • Держите персонал в курсе и информируйте (административный контроль, включенный в это, является обучением безопасности, которое является областью, которая часто упускается из виду или игнорируется)
  • Регулярная оценка рисков посредством мониторинга (тестирование на проникновение, сканирование сетей и т. д.)
  • Мониторинг контроля доступа (технический контроль, опять же, мониторинг — это область, в которой большинство организаций слабы, у них может быть решение для мониторинга или SIEM, но смотрит ли кто-то на это или нет — это другая история. Я считаю, что если никто не смотрит при мониторинге или протоколировании результатов система не контролируется эффективно!)
  • Управление угрозами и исправлениями (верите или нет, это область, в которой многие организации все еще терпят неудачу, в наши дни это непростительно в сообществе безопасности).
  • Контроль и управление утечкой данных (растущая область внимания, особенно в США и Европе из-за соответствия и регулирования)
  • Шифрование (растущая область внимания, особенно в США и Европе из-за соблюдения и регулирования)
  • Резервное копирование (самый основной принцип вычислений и, вероятно, тот, который требует наименьших инвестиций и внимания, в наши дни даже с облаком вокруг это еще важнее!)

Процесс подытожен

Входы

Процедуры для проведения

Что доставить

Принято решение о внедрении ISO27001

Получено одобрение руководства

Сформирована проектная группа и назначены обязанности

Определена политика информационной безопасности

Доставлена документация по политике безопасности

Определить область действия СМИБ

Доставлена документация по области применения СМИБ

Выявление возможных угроз и уязвимостей и их влияние на организацию

Выполнение анализа пробелов/оценки рисков

Собрать документацию для проведенной оценки рисков

Оценить существующий подход компании к потенциальному риску

Внедрить средства контроля для управления выявленными рисками

Документируйте средства контроля и процедуры для противодействия риску, а также документ, который должен нести ответственность

Входы

Процедуры для проведения

Что доставить

Оценка необходимых средств контроля, необходимых для сертификации ISO27001

Выберите соответствующие элементы управления для реализации

Разработайте программу внедрения и задокументируйте средства контроля, которые необходимо внедрить.

Внутренний аудит и анализ со стороны руководства

Задокументируйте любые проблемные области. Сохраняйте документацию, полученную во время внутреннего аудита и анализа со стороны руководства.

Предпримите корректирующие действия

Документировать корректирующие процедуры и превентивные меры контроля

Первый этап аудита (проверка документов)

В случае успеха подготовьтесь ко второму этапу аудита, если нет, предпримите корректирующие действия до второго аудита и задокументируйте предпринятые действия.

Второй этап аудита (основной аудит)

В случае успеха получить сертификат

Проверять, контролировать и поддерживать пост-сертификацию СМИБ

Таблица 1

Вывод

Путь к сертификации ISO 27001 — длительный процесс, но он определенно стоит того. После получения сертификата путешествие не заканчивается, поскольку необходимо будет проводить постоянное техническое обслуживание, чтобы избежать приостановки и убедиться, что вы сохраняете сертификат и продолжаете пожинать плоды, предоставляемые сертификацией, на месяцы и годы вперед. Ищите другие статьи о переходе к серии ISO 27000, которые многие предпринимают, пытаясь улучшить свою безопасность.