У нашем свету комодификованих података, стандарди сајбер безбедности морају бити небески и оштри као бритва. Већина компанија, чак и ако нису одмах повезане са технологијом, на крају ће наићи на потребу да се опасу изнутра.
Пре више од једне деценије, Међународна организација за стандарде усвојила је спецификацију названу ИСО 27001. Па шта је тачно? Шта нам ревизија ИСО 27001 може рећи о унутрашњим махинацијама организације? И како одлучујете да ли треба ревидирати вашу компанију?
Шта је систем управљања информационом сигурношћу (ИСМС)?
Систем управљања информационом сигурношћу (ИСМС) главна је линија одбране организације повреде података и друге врсте сајбер претњи споља.
Учинковит ИСМС осигурава да информације које се штите остану поверљиве и безбедне, верне извору и доступне људима који имају дозволу да раде са њима.
Уобичајена грешка је претпоставка да ИСМС не представља ништа више од заштитног зида или других техничких средстава заштите. Уместо тога, потпуно интегрисани ИСМС је једнако присутан у култури компаније и код сваког запосленог, инжењера или нечег другог. То превазилази ИТ одељење.
Више од пуке службене политике и процедуре, делокруг овог система такође укључује способност тима да управља и усавршава систем. Извршење и начин на који се протокол заправо примењује су најважнији.
То укључује дугорочни приступ управљању и ублажавању ризика. Директори компаније морају бити упознати са свим ризицима повезаним са индустријом у којој конкретно раде. Наоружани овим увидом, моћи ће да граде зидове око себе у складу с тим.
Шта је тачно ИСО 27001?
2005. Међународна организација за стандардизацију (ИСО) и Међународна електротехничка Комисија (ИЕЦ) је преновила БС 7799, стандард управљања заштитом који је БСИ група први пут успоставила 10 година претходно.
Сада званично познат као ИСО / ИЕЦ 27001: 2005, ИСО 27001 је међународни стандард усаглашености који се додељује компанијама које су примерне у управљању безбедношћу информација.
У основи, ради се о ригорозној колекцији стандарда против којих се систем управљања информационом сигурношћу компаније може супротставити. Овај оквир омогућава ревизорима да затим процене постојаност система у целини. Компаније се могу одлучити за ревизију када желе да увере своје купце и клијенте да су њихови подаци безбедни у њиховим зидовима.
У ову колекцију одредби су укључене: спецификације у вези са сигурносном политиком, имовина класификација, заштита животне средине, управљање мрежом, одржавање система и континуитет пословања планирање.
ИСО је сажео све ове аспекте из оригиналне БСИ повеље, дестилирајући их у верзију коју данас препознајемо.
Копање по политици
Шта се тачно процењује када компанија прође ревизију ИСО 27001?
Циљ овог стандарда је да формализује ефикасну и сигурну информациону политику на међународном нивоу. Подстиче проактиван став који настоји да избегне невоље пре него што се догоди.
ИСО наглашава три важна аспекта сигурног ИСМС-а:
1. Стална анализа и признавање ризика: ово укључује и тренутне ризике и ризике који се могу појавити у будућности.
2. Робустан и сигуран систем: ово укључује систем какав постоји у техничком смислу, као и све безбедносне контроле које организација користи да би се заштитила од горе поменутих ризика. Они ће изгледати веома различито, у зависности од компаније и индустрије.
3. Предан тим вођа: то ће бити људи који заправо врше контролу ради у одбрани организације. Систем је једнако ефикасан као и они који раде на челу.
Анализа ова три кључна фактора који доприносе помаже ревизору да створи потпунију слику о способности одређене компаније да послује сигурно. Одрживост се фаворизује у односу на ИСМС који се ослања само на грубу техничку силу.
Повезан: Како спречити запослене да краду податке предузећа када оду
Постоји важан људски елемент који мора бити присутан. Начин на који људи у компанији врше контролу над својим подацима и својим ИСМС-ом држи се пре свега. Ове контроле су оно што заправо штити податке.
Шта је Анекс А ИСО 27001?
Конкретни примери „контрола“ зависе од индустрије. Анекс А стандарда ИСО 27001 нуди компанијама 114 званично признатих средстава контроле сигурности њиховог пословања.
Ове контроле спадају у једну од четрнаест класификација:
А.5—Политике информација и безбедности: институционализоване политике и поступци које компанија следи.
А.6—Организација информационе безбедности: додељивање одговорности унутар организације у погледу оквира ИСМС-а и његове примене. Овде је, чудно, такође и политика која регулише рад на даљину и употреба уређаја у оквиру компаније.
А.7—Безбедност људских ресурса: тиче се укрцавања, ванболинга и промене запослених у улози у организацији. Овде су такође наведени стандарди скрининга и најбоље праксе у образовању и обуци.
А.8—Управљање имовином: укључује податке којима се рукује. Имовина мора бити инвентарисана, одржавана и држана приватном, чак у неким случајевима и преко одељења. Власништво над сваком имовином мора бити јасно утврђено; ова клаузула препоручује компанијама да направе „Политику прихватљиве употребе“ специфичну за њихов посао.
А.9—Контрола приступа: коме је дозвољено да рукује вашим подацима и како ћете ограничити приступ само овлашћеним запосленима? То може укључивати постављање условних дозвола у техничком смислу или приступ закључаним зградама у кампусу ваше компаније.
А.10—Криптографија: првенствено се бави шифровањем и другим начинима заштите података у транзиту. Тим превентивним мерама се мора активно управљати; ИСО обесхрабрује организације да шифрирање сматрају јединственим решењем свих дубоко нијансираних изазова повезаних са сигурношћу података.
А.11—Физичка и еколошка сигурност: процењује физичку сигурност ма где се осетљиви подаци налазили, било у стварној пословној згради или у малој, климатизованој соби пуној сервера.
А.12—Оператионс Сецурити: која су ваша интерна правила безбедности када је у питању пословање ваше компаније? Документацију која објашњава ове поступке треба често одржавати и ревидирати како би се задовољиле нове, нове пословне потребе.
Управљање променама, управљање капацитетима и раздвајање различитих одељења потпадају под овај наслов.
А.13—Управљање мрежном сигурношћу: мреже које повезују сваки систем у вашој компанији морају бити херметичне и пажљиво пажене.
Рјешења која обухваћају све, попут заштитног зида, постају још ефикаснија ако се додају стварима као што су честе контролне тачке провјере, формализоване политике пријеноса или забрањујући употребу јавних мрежа док рукујете подацима ваше компаније, на пример.
А.14—Набава, развој и одржавање система: ако ваша компанија још увек нема успостављен ИСМС, ова клаузула објашњава шта идеалан систем доноси на сто. Помаже вам да осигурате да опсег ИСМС-а покрива сваки аспект вашег животног циклуса производње.
Интерна политика сигурног развоја даје вашим инжењерима контекст који им је потребан да изграде усаглашен производ од дана почетка њиховог рада.
А.15—Политика безбедности добављача: које мере предострожности се предузимају у случају пословања са независним добављачима изван ваше компаније да би се спречило цурење или кршење података који се деле са њима?
А.16—Управљање инцидентима информационе безбедности: када ствари пођу по злу, ваша компанија вероватно пружа неки оквир за то како проблем треба пријавити, решити и спречити у будућности.
ИСО тражи системе одмазде који омогућавају личностима у компанији да делују брзо и са великим предрасудама након што се открије претња.
А.17—Аспекти информационе безбедности управљања континуитетом пословања: у случају катастрофе или неког другог мало вероватног инцидента који неповратно омета ваше пословање, план мораће да буде на месту како би се очувало благостање компаније и њени подаци док се пословање не настави као нормално.
Идеја је да је организацији потребан неки начин очувања континуитета сигурности кроз оваква времена.
А.18—Сагласност: коначно, долазимо до стварног уговора о уговорима на које компанија мора да се претплати да би испунила захтеве за сертификацију ИСО 27001. Пред вама се постављају ваше обавезе. Преостаје вам само да се потпишете на тачкастој линији.
ИСО више не захтева да компаније које испуњавају услове користе само контроле које се уклапају у горе наведене категорије. Списак је одлично место за почетак ако, међутим, тек почињете да постављате темеље ИСМС-а ваше компаније.
Повезан: Како побољшати пажњу са добром безбедносном праксом
Да ли треба ревидирати моју компанију?
То зависи. Ако сте врло мали почетник и радите у пољу које није осетљиво или ризично, вероватно можете да одложите док ваши планови за будућност не буду сигурнији.
Касније, како ваш тим расте, могли бисте се наћи у једној од следећих категорија:
- Можда радите са важним клијентом који тражи да се ваша компанија процени како би била сигурна да ће бити безбедна са вама.
- Можда ћете желети да пређете на ИПО у будућности.
- Већ сте постали жртва кршења и морате да преиспитате начин на који управљате и заштитите податке своје компаније.
Предвиђање за будућност можда неће увек бити лако. Чак и ако се не видите ни у једном од горе наведених сценарија, не смета бити проактиван и почети уграђивати неке од ИСО препоручених пракси у свој режим.
Моћ је у вашим рукама
Припрема ИСМС-а за ревизију је једноставна као и пажња, чак и као што радите данас. Документацију увек треба чувати и архивирати, пружајући вам доказе да ће вам требати резервна копија ваших захтева о надлежности.
Баш је као у средњој школи: радите домаћи задатак и добијате оцену. Купци су здрави и здрави, а ваш шеф је веома задовољан вама. То су једноставне навике које треба научити и задржати. Захвалићете се касније кад човек са међуспремником коначно дође да зове.
Ево сајбер напада на које требате припазити 2021. године и како можете избећи да постану њихове жртве.
Прочитајте следеће
- Сигурност
- Цомпутер Сецурити
- Сигурност података
Емма Гарофало је списатељица која тренутно живи у Питтсбургху, Пеннсилваниа. Кад се не труди за својим столом у жељи за бољим сутра, обично је могу наћи иза камере или у кухињи.
Претплатите се на наш билтен
Придружите се нашем билтену за техничке савете, прегледе, бесплатне е-књиге и ексклузивне понуде!
Још један корак…!
Молимо потврдите своју адресу е-поште у е-поруци коју смо вам управо послали.