В нашия свят на кодифицирани данни стандартите за киберсигурност трябва да бъдат небесни и остри като бръснач. Повечето компании, дори и да не са свързани веднага с технологиите, в крайна сметка ще се сблъскат с необходимостта да се опашат отвътре.
Преди повече от десетилетие Международната организация по стандартите прие спецификация, наречена ISO 27001. И какво точно е това? Какво може да ни каже одитът по ISO 27001 за вътрешните машинации на организацията? И как решавате дали вашата компания трябва да бъде одитирана?
Какво представлява системата за управление на информационната сигурност (ISMS)?
Системата за управление на информационната сигурност (ISMS) е основната линия на защита на организацията нарушения на данни и други видове киберзаплахи от външната страна.
Ефективният ISMS гарантира, че защитената информация остава поверителна и сигурна, вярна на източника и достъпна за хората, които имат разрешение да работят с нея.
Често срещана грешка е да се приеме, че ISMS представлява не повече от защитна стена или други технически средства за защита. Вместо това напълно интегрираният ISMS присъства също толкова много в културата на компанията и във всеки служител, инженер или по друг начин. Това далеч надхвърля ИТ отдела.
Повече от просто официална политика и процедура, обхватът на тази система включва и способността на екипа да управлява и усъвършенства системата. Изпълнението и начинът, по който протоколът действително се прилага, са от първостепенно значение.
Това включва възприемане на дългосрочен подход към управлението и намаляването на риска. Директорите на дадена компания трябва да са добре запознати с всички рискове, свързани с индустрията, в която работят конкретно. Въоръжени с това прозрение, те ще могат да построят стените около себе си по съответния начин.
Какво точно е ISO 27001?
През 2005 г. Международната организация по стандартизация (ISO) и Международната електротехническа Комисията (IEC) преработи BS 7799, стандарт за управление на сигурността, установен за първи път от BSI Group 10 години преди това.
Сега официално известен като ISO / IEC 27001: 2005, ISO 27001 е международен стандарт за съответствие, присъден на компании, които са образцови в управлението на информационната сигурност.
По същество това е строга колекция от стандарти, срещу които може да се противопостави системата за управление на информационната сигурност на компанията. Тази рамка позволява на одиторите след това да оценят устойчивостта на системата като цяло. Компаниите могат да изберат да извършат одит, когато искат да уверят своите клиенти и клиенти, че техните данни са в безопасност в техните стени.
В тази колекция от разпоредби са включени: спецификации по отношение на политиката за сигурност, актив класификация, екологична сигурност, управление на мрежата, поддръжка на системата и непрекъснатост на бизнеса планиране.
ISO кондензира всички тези аспекти от оригиналната харта на BSI, дестилирайки ги във версията, която признаваме днес.
Ровене в политиката
Какво точно се оценява, когато дадена компания се подложи на одит по ISO 27001?
Целта на стандарта е да формализира ефективна и сигурна информационна политика в международен план. Той стимулира активна позиция, която се стреми да избегне неприятности, преди да се случи.
ISO подчертава три важни аспекта на сигурна ISMS:
1. Постоянен анализ и признаване на риска: това включва както настоящи рискове, така и рискове, които могат да се появят в бъдеще.
2. Здрава и сигурна система: това включва системата, каквато съществува в технически смисъл, както и всички контроли за сигурност, които организацията използва, за да се предпази от гореспоменатите рискове. Те ще изглеждат много различни, в зависимост от компанията и индустрията.
3. Отдаден екип от лидери: това ще бъдат хората, които всъщност поставят контрол, за да работят в защита на организацията. Системата е толкова ефективна, колкото и работещите начело.
Анализът на тези три ключови допринасящи фактора помага на одитора да изготви по-пълна картина на способността на дадена компания да работи сигурно. Устойчивостта е предпочитана от ISMS, която разчита само на груба техническа сила.
Свързани: Как да предпазим служителите от кражба на фирмени данни, когато напуснат
Има важен човешки елемент, който трябва да присъства. Начинът, по който хората в компанията упражняват контрол върху своите данни и своите ISMS, се държи преди всичко. Тези контроли са това, което всъщност поддържа данните в безопасност.
Какво представлява приложение А към ISO 27001?
Конкретни примери за "контрол" зависят от индустрията. Приложение А към ISO 27001 предлага на компаниите 114 официално признати средства за контрол върху сигурността на техните операции.
Тези контроли попадат в една от четиринадесетте класификации:
A.5—Политики за информация и сигурност: институционализираните политики и процедури, които една компания следва.
A.6—Организация на информационната сигурност: разпределяне на отговорността в рамките на организацията по отношение на рамката на ISMS и нейното прилагане. Тук, колкото и да е странно, е и политиката, регулираща работата от разстояние и използване на устройства в рамките на компанията.
A.7—Сигурност на човешките ресурси: загриженост за качване на борда, извън борда и смяна на ролите на служителите в организацията. Тук са посочени и скрининговите стандарти и най-добрите практики в образованието и обучението.
A.8—Управление на активи: включва обработваните данни. Активите трябва да се инвентаризират, поддържат и държат частни, дори в отделни случаи дори между отделите. Собствеността върху всеки актив трябва да бъде установена ясно; тази клауза препоръчва на компаниите да изготвят „Политика за допустимо използване“, специфична за техния бизнес.
A.9—Контрол на достъпа: на кого е разрешено да обработва вашите данни и как ще ограничите достъпа само до оторизирани служители? Това може да включва условно задаване на разрешения в технически смисъл или достъп до заключени сгради в кампуса на вашата компания.
A.10—Криптография: основно се занимава с криптиране и други начини за защита на данните при транзит. Тези превантивни мерки трябва да се управляват активно; ISO обезсърчава организациите да считат криптирането за универсално решение за всички дълбоко нюансирани предизвикателства, свързани със сигурността на данните.
A.11—Физическа и екологична сигурност: оценява физическата сигурност на местата, където се намират чувствителни данни, независимо дали в действителна офис сграда или в малка, климатизирана стая, пълна със сървъри.
A.12—Сигурност на операциите: какви са вашите вътрешни правила за сигурност, когато става въпрос за работата на вашата компания? Документацията, обясняваща тези процедури, трябва да се поддържа и ревизира често, за да отговори на новите, възникващи бизнес нужди.
Управлението на промените, управлението на капацитета и отделянето на различни отдели попадат в това заглавие.
A.13—Управление на мрежовата сигурност: мрежите, които свързват всяка система във вашата компания, трябва да бъдат херметични и внимателно обгрижвани.
Решенията за улавяне като защитни стени стават още по-ефективни, когато се допълват с неща като чести контролни пунктове за проверка, формализирани политики за прехвърляне или от забраняващи използването на обществени мрежи докато обработвате данните на вашата компания например.
A.14—Придобиване, разработване и поддръжка на системата: ако вашата компания все още не разполага със ISMS, тази клауза обяснява какво предлага идеалната система на масата. Той ви помага да гарантирате, че обхватът на ISMS обхваща всеки аспект от производствения ви жизнен цикъл.
Вътрешната политика на сигурно развитие дава на вашите инженери контекста, който им е необходим, за да създадат съвместим продукт от деня, в който започне тяхната работа.
A.15—Политика за сигурност на доставчика: когато правите бизнес с доставчици на трети страни извън вашата компания, какви предпазни мерки се вземат, за да се предотвратят течове или нарушения на данните, споделени с тях?
A.16—Управление на инциденти по сигурността на информацията: когато нещата се объркат, вашата компания вероятно предоставя някаква рамка за това как проблемът трябва да бъде докладван, решен и предотвратен в бъдеще.
ISO търси ответни системи, които дават възможност на авторитетни лица в компанията да действат бързо и с големи предразсъдъци, след като бъде открита заплаха.
A.17—Аспекти на информационната сигурност при управлението на непрекъснатостта на бизнеса: в случай на бедствие или друг невероятен инцидент, който нарушава неотменимо операциите ви, план ще трябва да бъде на място, за да се запази благосъстоянието на компанията и нейните данни, докато бизнесът се възобнови като нормално.
Идеята е, че организацията се нуждае от някакъв начин за запазване на приемствеността на сигурността през времена като тези.
A.18—Съответствие: накрая стигаме до действителния договор за споразумения, за който една компания трябва да се абонира, за да отговори на изискванията за сертифициране по ISO 27001. Вашите задължения са изложени пред вас. Всичко, което ви остава, е да се подпишете на пунктирана линия.
ISO вече не изисква съответстващите компании да използват само контроли, които се вписват в изброените по-горе категории. Списъкът е чудесно място да започнете, ако тепърва започвате да поставяте основите на ISMS на вашата компания.
Свързани: Как да подобрите внимателността си с добри практики за сигурност
Трябва ли моята компания да бъде одитирана?
Това зависи. Ако сте много малък стартъп, работещ в област, която не е чувствителна или високорискова, вероятно можете да издържите, докато плановете ви за бъдещето не станат по-сигурни.
По-късно, с нарастването на вашия екип, можете да попаднете в една от следните категории:
- Може да работите с важен клиент, който иска вашата компания да бъде оценена, за да гарантира, че те ще бъдат в безопасност с вас.
- Може да искате да преминете към IPO в бъдеще.
- Вече сте станали жертва на нарушение и трябва да преосмислите начина, по който управлявате и защитавате данните на вашата компания.
Прогнозирането за бъдещето може да не винаги е лесно. Дори да не се виждате в нито един от горните сценарии, не пречи да бъдете проактивни и да започнете да включвате някои от препоръчаните практики на ISO във вашия режим.
Силата е във вашите ръце
Подготовката на вашите ISMS за одит е толкова проста, колкото полагането на надлежна проверка, дори както работите днес. Документацията винаги трябва да се поддържа и архивира, като ви дава доказателствата, че ще трябва да архивирате вашите претенции за компетентност.
Точно както в средното училище: правиш домашното и получаваш оценката. Клиентите са здрави и здрави, а шефът ви е много доволен от вас. Това са прости навици, които трябва да се научат и спазват. Ще се благодарите по-късно, когато човекът с клипборда най-накрая се обади.
Ето кибератаките, които трябва да наблюдавате през 2021 г., и как можете да избегнете тяхната жертва.
Прочетете Напред
- Сигурност
- Компютърна сигурност
- Сигурност на данните
Ема Гарофало е писател в момента със седалище в Питсбърг, Пенсилвания. Когато не се труди на бюрото си в желанието си за по-добро утре, тя обикновено може да бъде намерена зад камерата или в кухнята.
Абонирайте се за нашия бюлетин
Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и ексклузивни оферти!
Още една стъпка…!
Моля, потвърдете имейл адреса си в имейла, който току-що ви изпратихме.