Апрель 20, 2022

Какие меры безопасности системы менеджмента ИБ ISO 27001 являются обязательными?

Эффективность системы менеджмента информационной безопасности (сокр. СМИБ) зависит от качества и количества выполненных требований стандарта ISO/IEC 27001:2013, но есть среди них «обязательные», без которых систему нельзя считать полноценной. Существует еще и такой важный факт, как заинтересованность в работоспособности СМИБ высшего руководства, которое должно выделять человеческие и материальные ресурсы на ее создание, поддержание и модернизацию, иначе все останется только «на бумаге».

Конечно, возможно создание системы и прохождение сертификации с минимальным числом документов, называемых политиками, и отсутствием перемен в компании, по так называемому номинальному подходу, но проблема в том, что он ничего, кроме сертификата ИСО 27001 Вам не принесет, а вы уверены, что Ваши заказчики тоже подойдут к проверке номинально и ограничатся сертификатом, а не затребуют анализ всей системы или не назначат выезд?

Требования к системе менеджмента качества, без выполнения которых она не будет результативной:

  • Наличие выделенного внутреннего сотрудника (-ов), ответственного за ведение СМИБ, обладающего достаточной компетентностью и властью, чтобы отвечать за процесс (-ы). Это не означает, что все свое рабочее время он будет тратить на эту работу, но в его функции ее включить придется
  • Обеспечение защиты информации, с которой осуществляется взаимодействие с удаленных рабочих мест
  • Управление рисками использования мобильных устройств (laptop, flash, съемные носители)
  • Инвентаризация активов и назначение лиц по их защите, дополнительная защита активов, доступных поставщикам
  • Соблюдение правил безопасности в отношении работников до приема, во время работы и после увольнения (например, заключение NDA)
  • Защита носителей информации при транспортировке от несанкционированного доступа, повреждения, использования не по назначению
  • Ограничение доступа к информации, устройствам ее обработки, исходному коду программ
  • Обновление прав доступа через регулярные промежутки времени и ведение соответствующих записей
  • Диалоговая система управления паролями
  • Ограничение и строгий контроль применения утилит, которые могут обходить средства контроля
  • Использование средств криптографии для защиты конфиденциальности, подлинности, целостности информации
  • Определение периметров безопасности для защиты уязвимой, особо важной информации и средств для ее обработки
  • Использование средств контроля прохода
  • Защита офисов, помещений и устройств, особый контроль зон доставки и отгрузки
  • Размещение и защита оборудования с целью снижения рисков природного характера, несанкционированного доступа, перебоев в электроснабжении и работе служб обеспечения
  • Защита от перехвата, помех или повреждения питающих кабелей и передающих данные или обеспечивающих работу информационных сервисов
  • Обслуживание оборудования надлежащим образом, чтобы гарантировать его постоянную готовность и исправность
  • Невозможность выноса за пределы территории оборудования, информации или программного обеспечения без предварительного разрешения
  • Применение мер обеспечения безопасности к активам вне территории, принимая во внимание возможные риски
  • Проверка всех элементов оборудования, содержащих накопители, чтобы гарантировать, что любые ценные данные и лицензионное программное обеспечение удалены или надежным образом затерты до утилизации или повторного использования
  • Гарантия защищённости оборудования, оставленного без присмотра пользователей
  • Контроль и прогноз нагрузки и производительности
  • Разделение сред разработки, тестирования и рабочей для снижения рисков несанкционированного доступа или изменений
  • Резервное оборудование, каналы связи и копирование информации
  • Ведение и анализ журналов активности пользователей, возникновения исключений, сбоев и событий, связанных с информационной безопасностью
  • Синхронизация часов
  • Тестирование защищенности систем, penetration testing
  • Оценка и выбор аутсорсеров и поставщиков по критериям, которые основаны на способности поставщика или аутсорсера предоставлять услуги в соответствии с требованиями организации, в том числе по безопасности. Дополнительный контроль процессов, переданных на аутсорсинг.

Система менеджмента информационной безопасности по требованиям международного стандарта ISO/IEC 27001:2013 требует не только выполнения вышеперечисленных требований, но и документирования всех действий, связанных с ними. Документирование (ведение СМИБ) может производиться как в электронных документах стандартного вида (например, Microsoft Office), так и в используемых в Вашей компании специализированных средах документооборота. В печати и хранении бумажного варианта необходимость давно отпала.

Сертификат ИСО 27001 действует 5 лет, но требует ежегодного подтверждения действительности в виде проверки как раз ведения и совершенствования системы, а по-простому ведение журналов, пересмотр целей и мер, особенно в случае возникновения инцидента ИБ. В случае его возникновения эти записи будут полезны и для Вас, чтобы найти слабые места, виновных и исправить все с минимальными финансовыми и временными потерями.

А мы можем помочь Вам в этом, осталось только связаться с нами удобным для Вас способом!

Спасибо, Вам перезвонят в течение 15 минут!
Спасибо, Вам пришлют КП в течение 15 минут!