Čo je audit ISO 27001 a potrebuje ho moja spoločnosť?

V našom svete komodifikovaných údajov musia byť štandardy kybernetickej bezpečnosti až do nebies a ostré ako žiletky. Väčšina spoločností, aj keď to nie je bezprostredne spojené s technológiami, nakoniec narazí na potrebu prepásnuť sa zvnútra.

Pred viac ako desiatimi rokmi prijala Medzinárodná organizácia pre normalizáciu špecifikáciu s názvom ISO 27001. Čo to teda vlastne je? Čo nám môže audit ISO 27001 povedať o vnútorných machináciách organizácie? A ako sa rozhodnete, či by mala byť vo vašej spoločnosti vykonaná kontrola?

Čo je systém riadenia bezpečnosti informácií (ISMS)?

Systém riadenia bezpečnosti informácií (ISMS) je hlavnou obrannou líniou organizácie porušenia údajov a iné typy kybernetických hrozieb zvonku.

Účinný ISMS zaručuje, že chránené informácie zostanú dôverné a bezpečné, verné zdroju a prístupné ľuďom, ktorí majú povolenie na prácu s nimi.

Častou chybou je predpoklad, že ISMS predstavuje iba bránu firewall alebo iné technické prostriedky ochrany. Namiesto toho je plne integrovaný ISMS rovnako prítomný v kultúre spoločnosti a v každom zamestnancovi, inžinierovi alebo inak. Ide to ďaleko za hranice IT oddelenia.

Do rozsahu tohto systému patrí nielen oficiálna politika a postup, ale aj schopnosť tímu riadiť a vylepšovať systém. Vykonanie a spôsob, akým sa protokol v skutočnosti uplatňuje, sú prvoradé.

To zahŕňa dlhodobý prístup k riadeniu a zmierňovaniu rizika. Riaditelia spoločnosti musia byť dôkladne oboznámení s akýmikoľvek rizikami spojenými s odvetvím, v ktorom konkrétne pracujú. Vyzbrojení týmto pochopením budú môcť podľa toho stavať steny okolo seba.

Čo je to ISO 27001?

V roku 2005 Medzinárodná organizácia pre normalizáciu (ISO) a Medzinárodná elektrotechnická oblasť Komisia (IEC) vylepšila BS 7799, štandard riadenia bezpečnosti, ktorý skupina BSI prvýkrát stanovila už 10 rokov predtým.

ISO 27001: 2005, ktorá je teraz oficiálne známa ako ISO / IEC 27001: 2005, je medzinárodný štandard dodržiavania predpisov, ktorý sa udeľuje spoločnostiam, ktoré sú príkladom v oblasti riadenia informačnej bezpečnosti.

Je to v podstate prísna zbierka štandardov, proti ktorým sa môže systém riadenia informačnej bezpečnosti spoločnosti držať. Tento rámec umožňuje audítorom potom vyhodnotiť húževnatosť systému ako celku. Spoločnosti sa môžu rozhodnúť vykonať audit, keď chcú ubezpečiť svojich zákazníkov a klientov, že ich údaje sú v bezpečí ich sietí.

Táto zbierka ustanovení obsahuje: špecifikácie týkajúce sa bezpečnostnej politiky, majetku klasifikácia, environmentálna bezpečnosť, správa sietí, údržba systému a kontinuita činnosti plánovanie.

ISO zhustilo všetky tieto aspekty z pôvodnej charty BSI a destilovalo ich do verzie, ktorú dnes poznáme.

Kopanie do politiky

Čo konkrétne sa hodnotí, keď spoločnosť podstúpi audit ISO 27001?

Cieľom normy je formalizovať efektívnu a bezpečnú informačnú politiku na medzinárodnej úrovni. Stimuluje proaktívny postoj, ktorý sa snaží vyhnúť problémom skôr, ako k nim dôjde.

ISO zdôrazňuje tri dôležité aspekty bezpečného ISMS:

1. Neustála analýza a uznanie rizika: zahŕňa to súčasné riziká aj riziká, ktoré sa môžu predstaviť v budúcnosti.

2. Robustný a bezpečný systém: zahŕňa sa to systém, ako existuje v technickom zmysle, ako aj všetky bezpečnostné kontroly, ktoré organizácia používa na svoju ochranu pred vyššie uvedenými rizikami. Budú vyzerať veľmi odlišne v závislosti od spoločnosti a odvetvia.

3. Obetavý tím vedúcich: budú to ľudia, ktorí skutočne uplatňujú kontroly na obranu organizácie. Systém je rovnako efektívny ako tí, ktorí pracujú pri kormidle.

Analýza týchto troch hlavných faktorov, ktoré prispievajú, pomáha audítorovi získať ucelenejší obraz o schopnosti danej spoločnosti bezpečne fungovať. Udržateľnosť je uprednostňovaná pred ISMS, ktorý sa spolieha iba na hrubú technickú silu.

Súvisiace: Ako zabrániť zamestnancom v krádeži firemných údajov pri ich odchode

Musí byť prítomný dôležitý ľudský prvok. Spôsob, akým ľudia v rámci spoločnosti vykonávajú kontrolu nad svojimi údajmi a ich ISMS, sa drží nadovšetko. Tieto kontroly slúžia na to, aby boli údaje skutočne v bezpečí.

Čo je príloha A k norme ISO 27001?

Konkrétne príklady „kontrol“ závisia od odvetvia. Príloha A normy ISO 27001 ponúka spoločnostiam 114 úradne uznaných prostriedkov kontroly bezpečnosti ich prevádzky.

Tieto kontroly spadajú do jednej zo štrnástich klasifikácií:

A.5—Informácie a bezpečnostná politika: inštitucionalizované politiky a postupy, ktoré spoločnosť dodržiava.

A.6—Organizácia informačnej bezpečnosti: pridelenie zodpovednosti v rámci organizácie za rámec ISMS a jeho implementáciu. Je tu napodiv zahrnutá aj politika upravujúca prácu na diaľku a internet používanie zariadení v rámci spoločnosti.

A.7—Bezpečnosť ľudských zdrojov: týka sa prihlásenia, odhlásenia a zmeny zamestnancov v organizácii. Tu sú uvedené aj skríningové štandardy a najlepšie postupy vo vzdelávaní a odbornej príprave.

A.8—Správa majetku: zahŕňa spracovávané údaje. Majetok musí byť inventarizovaný, udržiavaný a udržiavaný v súkromí, dokonca v niektorých prípadoch aj naprieč oddeleniami. Musí byť jasne stanovené vlastníctvo každého majetku; toto ustanovenie odporúča, aby spoločnosti vypracovali „Zásady prijateľného použitia“ špecifické pre ich predmet podnikania.

A.9—Riadenie prístupu: kto má povolené zaobchádzať s vašimi údajmi a ako obmedzíte prístup iba na oprávnených zamestnancov? Môže to zahŕňať podmienené nastavenie povolení v technickom zmysle alebo prístup k uzamknutým budovám v areáli vašej spoločnosti.

A.10—Kryptografia: sa primárne zaoberá šifrovaním a inými spôsobmi ochrany prenášaných údajov. Tieto preventívne opatrenia sa musia aktívne riadiť; ISO odrádza organizácie od toho, aby považovali šifrovanie za univerzálne riešenie pre všetky hlboko rozlíšené výzvy spojené s bezpečnosťou údajov.

A.11—Fyzická a environmentálna bezpečnosť: hodnotí fyzickú bezpečnosť všade, kde sa nachádzajú citlivé údaje, či už v skutočnej kancelárskej budove alebo v malej klimatizovanej miestnosti plnej serverov.

A.12—Bezpečnosť prevádzky: aké sú vaše vnútorné pravidlá bezpečnosti, pokiaľ ide o fungovanie vašej spoločnosti? Dokumentácia vysvetľujúca tieto postupy by sa mala pravidelne udržiavať a revidovať, aby zodpovedala novým, vznikajúcim obchodným potrebám.

Do tejto položky patrí riadenie zmien, riadenie kapacít a oddelenie rôznych oddelení.

A.13—Správa zabezpečenia siete: siete, ktoré spájajú každý systém vo vašej spoločnosti, musia byť vzduchotesné a starostlivo sa o ne starať.

Všestranné riešenia, ako napríklad brány firewall, sú ešte efektívnejšie, keď sú doplnené napríklad o kontrolné body častého overovania, formálne zásady prenosu alebo zakazuje používanie verejných sietí napríklad pri spracovaní údajov vašej spoločnosti.

A.14—Získavanie, vývoj a údržba systému: ak vaša spoločnosť ešte nemá zavedený ISMS, táto doložka vysvetľuje, čo ponúka ideálny systém. Pomáha vám zabezpečiť, aby rozsah ISMS pokrýval všetky aspekty vášho produkčného životného cyklu.

Interná politika bezpečného vývoja poskytuje vašim technikom kontext, ktorý potrebujú na vytvorenie vyhovujúceho produktu odo dňa začatia ich práce.

A.15—Bezpečnostná politika dodávateľa: aké preventívne opatrenia sa používajú na zabránenie úniku alebo porušeniu údajov, ktoré sú s nimi zdieľané, keď obchodujete s dodávateľmi tretích strán mimo vašej spoločnosti?

A.16—Správa incidentov informačnej bezpečnosti: keď sa situácia pokazí, vaša spoločnosť pravdepodobne poskytne rámec pre to, ako by sa malo v budúcnosti hlásiť, riešiť a predchádzať problémom.

ISO hľadá odvetné systémy, ktoré umožňujú orgánom verejnej moci v rámci spoločnosti konať rýchlo a s veľkými predsudkami po zistení hrozby.

A.17—Aspekty informačnej bezpečnosti riadenia kontinuity činnosti: v prípade katastrofy alebo inej nepravdepodobnej udalosti, ktorá nenávratne naruší vaše fungovanie, plán bude potrebné zabezpečiť fungovanie spoločnosti a jej údajov, kým sa neobnoví činnosť spoločnosti normálne.

Ide o to, že organizácia potrebuje nejaký spôsob, ako zachovať kontinuitu bezpečnosti v obdobiach, ako sú tieto.

A.18—Súlad: konečne prichádzame k samotnej zmluve o zmluvách, ktoré musí spoločnosť uzavrieť, aby splnila požiadavky na certifikáciu ISO 27001. Vaše povinnosti sú stanovené pred vami. Ostáva vám už iba prihlásiť sa na prerušovanú čiaru.

ISO už nevyžaduje, aby spoločnosti, ktoré vyhovujú predpisom, používali iba kontroly, ktoré zodpovedajú vyššie uvedeným kategóriám. Zoznam je skvelým miestom, kde začať, ak však ešte len začínate položiť základy ISMS svojej spoločnosti.

Súvisiace: Ako zlepšiť svoju všímavosť pomocou osvedčených bezpečnostných postupov

Mala by byť moja spoločnosť skontrolovaná?

To záleží. Ak ste veľmi malý start-up pracujúci v oblasti, ktorá nie je citlivá alebo vysoko riziková, pravdepodobne môžete vydržať, kým nebudú vaše plány do budúcnosti istejšie.

Neskôr, keď sa váš tím rozrastie, môžete sa ocitnúť v jednej z nasledujúcich kategórií:

• Možno pracujete s dôležitým klientom, ktorý žiada o posúdenie vašej spoločnosti, aby sa zabezpečilo, že bude s vami v bezpečí.
• V budúcnosti možno budete chcieť prejsť na IPO.
• Už ste sa stali obeťou porušenia a musíte prehodnotiť spôsob, akým spravujete a chránite údaje svojej spoločnosti.

Predpovedanie do budúcnosti nemusí byť vždy ľahké. Aj keď sa nevidíte v žiadnom z vyššie uvedených scenárov, nezaškodí byť iniciatívny a začať do svojho režimu začleňovať niektoré z odporúčaných postupov ISO.

Sila je vo vašich rukách

Príprava vášho ISMS na audit je rovnako jednoduchá ako vynaloženie náležitej starostlivosti, aj keď dnes pracujete. Dokumentácia by sa mala vždy udržiavať a archivovať, aby vám poskytla dôkazy, že budete musieť zálohovať svoje tvrdenia o spôsobilosti.

Je to ako na strednej škole: urobíte si domáce úlohy a dostanete známku. Zákazníci sú v bezpečí a zdraví a váš šéf je s vami veľmi spokojný. Jedná sa o jednoduché návyky, ktoré sa treba naučiť a dodržiavať. Neskôr sa poďakuješ, keď konečne zavolá muž so schránkou.

Najlepšie 4 trendy v oblasti kybernetickej bezpečnosti, na ktoré si treba dať pozor v roku 2021 a nasledujúcich rokoch

Tu sú kybernetické útoky, na ktoré musíte dávať pozor v roku 2021, a spôsoby, ako sa môžete vyhnúť tomu, aby ste sa stali ich obeťami.

Prečítajte si Ďalej

O autorovi