Как заставить стандарт ISO 27001 работать во благо бизнеса

Мировая практика показывает, что успешное развитие компаний в современных реалиях невозможно без постоянного повышения эффективности бизнес-процессов. Высококонкурентная среда постоянно бросает компаниям вызовы — и для того, чтобы не терять своих позиций, бизнес должен быть готовым постоянно «повышать планку» и соответствовать все новым и новым требованиям, которые предъявляют к нему заинтересованные стороны.

На сегодняшний день одной из ключевых тенденций является рост значимости вопросов информационной безопасности (включая защиту персональных данных). В этой области наблюдается как глобальное ужесточение законодательства, так и повышение интереса клиентов и сотрудников компаний к данным вопросам. Один только закон General Data Protection Regulation (GDPR), грозящий многомилионными штрафами за несоблюдение правил защиты персональных данных граждан ЕС, вызвал серьезное беспокойство в бизнес-среде.

В тех отраслях, где информационная безопасность имеет критически важное значение для репутации бизнеса, эти вопросы становятся особенно актуальными. Например, в сфере оказания профессиональных услуг двигателем изменений зачастую являются требования действующих и потенциальных клиентов к обеспечению конфиденциальности их данных. Как правило, глобальные клиенты очень тщательно следят за степенью надежности своих поставщиков — многие из них даже периодически проводят аудит своих провайдеров, с целью убедиться в том, что их политики и процедуры безопасности соответствуют лучшим мировым практикам и реально работают.

Наша компания столкнулась с необходимостью серьезно ужесточать контроль в сфере информационной безопасности именно из-за требований одного из ключевых клиентов. Дело в том, что этот клиент сертифицировал свою систему менеджмента информационной безопасности по международному стандарту ISO 27001 — и стал настаивать на том, чтобы мы также последовали его примеру. Стоит отметить, что в настоящее время количество российских организаций, имеющих данный сертификат, не превышает 100. Так как нам удалось пройти этот путь, я хочу поделиться практическим опытом применения этого стандарта во благо бизнеса.

Подготовка к внедрению стандарта

Для тех, кто совсем незнаком с темой, стоит кратко отметить, что ISO 27001 — это международный стандарт, устанавливающий требования к системе управления безопасностью в компании. Он базируется на принципе «приоритет содержания над формой» и описывает общие требования к системе менеджмента, оставляя конкретные инструменты и процедуры управления безопасностью на усмотрение компании. То есть в стандарте нельзя найти жестких требований (наподобие «компания должна мониторить все действия на компьютерах всех сотрудников с помощью DLP-системы»). Именно по этой причине он может применяться любыми компаниями, независимо от их размера и отрасли.

Безусловно, внедрение стандарта — это довольно сложный и не очень быстрый процесс, к тому же требующий определенных инвестиций со стороны руководства. Поэтому компаниям, желающим пройти сертификацию, стоит очень тщательно оценить целесообразность этого решения, взвесить все «за» и «против» и убедиться в том, что им хватит ресурсов для осуществления данной инициативы.

Перед началом внедрения следует:

  • определить цели сертификации (зачем вашей компании в принципе это нужно; хотите ли вы добиться реального повышения уровня защищенности или же вам достаточно формального соответствия требованиям);
  • определить периметр сертификации (какие подразделения/направления бизнеса вы хотите сертифицировать; вопрос актуален для крупных и диверсифицированных бизнесов, где сужение периметра сертификации может существенность снизить сроки и стоимость сертификации);
  • рассчитать бюджет подготовки к сертификации (стоимость найма дополнительных сотрудников, если они необходимы; стоимость услуг консультантов по сертификации и услуг сертифицирующего органа; стоимость дополнительных программно-технических средств для выполнения требований стандарта);
  • реалистично оценить сроки написания всех необходимых политик (как правило, этот процесс занимает минимум 2-3 месяца);
  • установить общие сроки проекта (после утверждения всех необходимых политик и процедур, а также обучения им сотрудников должно пройти минимум 3 месяца; это необходимо для того, чтобы у компании появились «записи» — доказательства реальности выполнения требований стандарта).

ISO 27001 на практике

Безусловно, сложно найти компанию, у которой совсем не были бы так или иначе внедрены или описаны принципы управления информационной безопасностью еще до начала проекта по сертификации. Наша компания не стала исключением: начав подготовку к сертификации, мы обнаружили, что многие требования стандарта у нас уже соблюдаются довольно продолжительное время. Оставалось лишь закрыть существующие «пробелы».

Как уже упоминалось, ISO 27001 хорош тем, что не несет в себе отраслевой специфики и описывает именно требования к системе управления, не навязывая конкретные средства и меры защиты информации. Соответственно, стандарт может адаптировать для себя практически любая компания, прорабатывая с его помощью те ключевые риски, которые актуальны именно для нее.

Приведу показательные примеры, которые проиллюстрируют внедрение стандарта в организации, оказывающей услуги по аутсорсингу учетных функций.

  1. Одним из потенциальных рисков для компании было использование незашифрованных USB-флешек — сотрудник мог скачать информацию на внешний носитель и потерять его. Решением, очевидно, стало ограничение возможности скачивать любую информацию на внешние носители. Теперь это возможно сделать только с помощью заявки в IT-отдел.
  2. Сотрудники IT-отдела имели права администратора во всех системах компании, а значит, имели полный доступ абсолютно ко всей информации. Это также было значительным риском, так как работу сотрудников этого подразделения при этом никто не контролировал. В связи с этим в компании была внедрена система Data Loss Prevention (DLP) — программа для контроля действий персонала, которая занимается анализом, блокировкой и оповещениями об опасной и непродуктивной деятельности. Теперь оповещения о действиях IT-сотрудников приходят на почту операционному директору компании.
  3. Работа с бумажными документами также представляла собой серьезный риск: бумаги можно было оставить в неположенном месте, потерять или неправильно утилизировать. Для решения этой задачи все бумажные документы в компании были промаркированы по степени конфиденциальности, а также был прописан порядок утилизации разных типов документов. Таким образом, когда сотрудник открывает папку либо берет документ, он точно знает в какую категорию попадает эта информация и как с ней нужно обращаться. Также были внедрены внутренние проверки корректности обращения с документами: теперь периодически ответственный сотрудник проверяет после окончания рабочего дня столы других сотрудников на наличие там конфиденциальной информации.
  4. Вся информация компании хранилась на серверах, расположенных в стороннем защищенном дата-центре. Однако, не было предусмотрено процедур на случай аварий в этом дата-центре. Решением стала аренда резервного облачного дата-центра и бэкапирование туда наиболее критичной информации. Теперь данные компании хранятся в разных местах, территориально удаленных друг от друга. Также с дата-центрами было подписано соглашение об уровне сервиса (SLA), устанавливающее все критически важные для компании параметры их работы.
  5. Одна из основных задач бизнеса — это обеспечение непрерывного сервиса для клиентов. В нашей компании давно действовала политика непрерывности бизнеса, описывающая порядок действий сотрудников при различных негативных сценариях (потеря доступа к офису, эпидемия, отключение электричества и так далее). Однако мы никогда не тестировали, какое количество времени займет восстановление сервиса в каждой из этих ситуаций. В рамках подготовки к сертификации было проведено несколько тестов, определено целевое время восстановления и был принят план проведения периодического тестирования непрерывности.

Эти кейсы показывают конкретные пути снижения уровня некоторых критичных для компании рисков. При этом, из всего опыта подготовки к сертификации можно сделать следующие важные выводы:

  • Регулярная оценка уровня рисков — это один из ключевых процессов в системе управления безопасностью. Если уровень риска становится неприемлемым для компании, то необходимо разработать и осуществить меры по его снижению.
  • Документация процессов и процедур — важная часть подготовки к сертификации, помогающая понять, какие требования стандарта компания уже выполняет, и где есть недоработки.
  • Важно уделять внимание техническим средствам защиты информации. Однако самым опасным факторов риска зачастую является человеческий. Все усилия будут бессмысленными, если прописанным политикам не следуют сотрудники и топ-менеджмент. Поэтому очень важно уделять внимание обучению сотрудников политикам информационной безопасности и тестированию полученных ими знаний. Каждый работник компании должен четко знать, какие правила действуют в компании, какова его роль в системе управления безопасностью и какая ответственность его ждет за нарушения.
  • Аудит системы менеджмента информационной безопасности полезен не только с целью получения сертификата ISO 27001, но также и для улучшения бизнес-процессов, поскольку аудит проводят эксперты с обширным опытом в этой области. В отчете по аудиту мы почерпнули много ценных идей для повышения эффективности компании.

ISO 27001 как конкурентное преимущество

В процессе сертификации мы поняли, что на самом деле внедрение ISO 27001 дает компании очень многое.

  • Повышение лояльности клиентов. Сертификация позволила повысить уровень удовлетворенности сервисом для нескольких ключевых клиентов, что, безусловно, является отличным результатом.
  • Фактор роста новых продаж. Наличие сертификата ISO 27001 позволяет принимать участие в тендерах многих крупных международных компаний, которые даже не рассматривают предложения поставщиков, у которых этот сертификат отсутствует.
  • Снижение риска убытков. Внедрение системы риск-менеджмента позволяет управлять инцидентами безопасности и предотвращать возможные потери.
  • Укрепление деловой репутации. Наличие сертификата ISO 27001 повышает привлекательность компании не только для клиентов, но и для компаний-партнеров и профессиональных ассоциаций.
  • Рост эффективности бизнес-процессов. По итогам аудита мы получили рекомендации по поводу того, какие лучшие мировые практики мы можем внедрить у себя в компании для того, чтобы сделать бизнес еще более эффективным.

В заключение стоит отметить, что в сфере профессиональных услуг сертификация по ISO 27001 определенно имеет смысл — особенно в текущей ситуации, пока наличие этого сертификата не стало массовым явлением. Поэтому мы желаем удачи и терпения всем компаниям, которые только планируют встать на этот путь.

Фото: pixabay.com

Комментарии
Участники дискуссии: Илья Жуков
Нач. отдела, зам. руководителя, Екатеринбург

А в чем заключается смысл именно сертификации по стандарту? Абсолютно таже ситуация что и с ИСО 9001. Внедрение и сертификация два совершенно несвязанных процесса. Клиентам нужен сервис, а не бумага (сертификация), которую тоже включат в стоимость услуг.

Оставлять комментарии могут только зарегистрированные пользователи
Статью прочитали
Обсуждение статей
Все комментарии
Дискуссии
Все дискуссии
HR-новости
Эксперты: 4-дневная рабочая неделя приведет к снижению зарплат

Закон не препятствует пропорциональному снижению ФОТ при переходе на четырехдневную рабочую неделю.

75% россиян не верят в пенсии

Три четверти россиян не верят в пенсии, показал опрос Райффайзенбанка. А те кто верят, полагают, что она составит всего 10-20 тыс. руб.

Японцы доказали, что при четырехдневной рабочей неделе производительность растет. В Microsoft сообщили о росте на 40%

Японское подразделение Microsoft подвело положительные итоги месячного эксперимента по переходу на четырехдневную рабочую неделю.

 
Кто счастлив в России?

Самыми счастливыми оказались - медики, госслужащие и HR-ы. Об этом сообщается в исследовании Headhunter.