Как заставить стандарт ISO 27001 работать во благо бизнеса

Мировая практика показывает, что успешное развитие компаний в современных реалиях невозможно без постоянного повышения эффективности бизнес-процессов. Высококонкурентная среда постоянно бросает компаниям вызовы — и для того, чтобы не терять своих позиций, бизнес должен быть готовым постоянно «повышать планку» и соответствовать все новым и новым требованиям, которые предъявляют к нему заинтересованные стороны.

На сегодняшний день одной из ключевых тенденций является рост значимости вопросов информационной безопасности (включая защиту персональных данных). В этой области наблюдается как глобальное ужесточение законодательства, так и повышение интереса клиентов и сотрудников компаний к данным вопросам. Один только закон General Data Protection Regulation (GDPR), грозящий многомилионными штрафами за несоблюдение правил защиты персональных данных граждан ЕС, вызвал серьезное беспокойство в бизнес-среде.

В тех отраслях, где информационная безопасность имеет критически важное значение для репутации бизнеса, эти вопросы становятся особенно актуальными. Например, в сфере оказания профессиональных услуг двигателем изменений зачастую являются требования действующих и потенциальных клиентов к обеспечению конфиденциальности их данных. Как правило, глобальные клиенты очень тщательно следят за степенью надежности своих поставщиков — многие из них даже периодически проводят аудит своих провайдеров, с целью убедиться в том, что их политики и процедуры безопасности соответствуют лучшим мировым практикам и реально работают.

Наша компания столкнулась с необходимостью серьезно ужесточать контроль в сфере информационной безопасности именно из-за требований одного из ключевых клиентов. Дело в том, что этот клиент сертифицировал свою систему менеджмента информационной безопасности по международному стандарту ISO 27001 — и стал настаивать на том, чтобы мы также последовали его примеру. Стоит отметить, что в настоящее время количество российских организаций, имеющих данный сертификат, не превышает 100. Так как нам удалось пройти этот путь, я хочу поделиться практическим опытом применения этого стандарта во благо бизнеса.

Подготовка к внедрению стандарта

Для тех, кто совсем незнаком с темой, стоит кратко отметить, что ISO 27001 — это международный стандарт, устанавливающий требования к системе управления безопасностью в компании. Он базируется на принципе «приоритет содержания над формой» и описывает общие требования к системе менеджмента, оставляя конкретные инструменты и процедуры управления безопасностью на усмотрение компании. То есть в стандарте нельзя найти жестких требований (наподобие «компания должна мониторить все действия на компьютерах всех сотрудников с помощью DLP-системы»). Именно по этой причине он может применяться любыми компаниями, независимо от их размера и отрасли.

Безусловно, внедрение стандарта — это довольно сложный и не очень быстрый процесс, к тому же требующий определенных инвестиций со стороны руководства. Поэтому компаниям, желающим пройти сертификацию, стоит очень тщательно оценить целесообразность этого решения, взвесить все «за» и «против» и убедиться в том, что им хватит ресурсов для осуществления данной инициативы.

Перед началом внедрения следует:

• определить цели сертификации (зачем вашей компании в принципе это нужно; хотите ли вы добиться реального повышения уровня защищенности или же вам достаточно формального соответствия требованиям);
• определить периметр сертификации (какие подразделения/направления бизнеса вы хотите сертифицировать; вопрос актуален для крупных и диверсифицированных бизнесов, где сужение периметра сертификации может существенность снизить сроки и стоимость сертификации);
• рассчитать бюджет подготовки к сертификации (стоимость найма дополнительных сотрудников, если они необходимы; стоимость услуг консультантов по сертификации и услуг сертифицирующего органа; стоимость дополнительных программно-технических средств для выполнения требований стандарта);
• реалистично оценить сроки написания всех необходимых политик (как правило, этот процесс занимает минимум 2-3 месяца);
• установить общие сроки проекта (после утверждения всех необходимых политик и процедур, а также обучения им сотрудников должно пройти минимум 3 месяца; это необходимо для того, чтобы у компании появились «записи» — доказательства реальности выполнения требований стандарта).

ISO 27001 на практике

Безусловно, сложно найти компанию, у которой совсем не были бы так или иначе внедрены или описаны принципы управления информационной безопасностью еще до начала проекта по сертификации. Наша компания не стала исключением: начав подготовку к сертификации, мы обнаружили, что многие требования стандарта у нас уже соблюдаются довольно продолжительное время. Оставалось лишь закрыть существующие «пробелы».

Как уже упоминалось, ISO 27001 хорош тем, что не несет в себе отраслевой специфики и описывает именно требования к системе управления, не навязывая конкретные средства и меры защиты информации. Соответственно, стандарт может адаптировать для себя практически любая компания, прорабатывая с его помощью те ключевые риски, которые актуальны именно для нее.

Приведу показательные примеры, которые проиллюстрируют внедрение стандарта в организации, оказывающей услуги по аутсорсингу учетных функций.

1. Одним из потенциальных рисков для компании было использование незашифрованных USB-флешек — сотрудник мог скачать информацию на внешний носитель и потерять его. Решением, очевидно, стало ограничение возможности скачивать любую информацию на внешние носители. Теперь это возможно сделать только с помощью заявки в IT-отдел.
2. Сотрудники IT-отдела имели права администратора во всех системах компании, а значит, имели полный доступ абсолютно ко всей информации. Это также было значительным риском, так как работу сотрудников этого подразделения при этом никто не контролировал. В связи с этим в компании была внедрена система Data Loss Prevention (DLP) — программа для контроля действий персонала, которая занимается анализом, блокировкой и оповещениями об опасной и непродуктивной деятельности. Теперь оповещения о действиях IT-сотрудников приходят на почту операционному директору компании.
3. Работа с бумажными документами также представляла собой серьезный риск: бумаги можно было оставить в неположенном месте, потерять или неправильно утилизировать. Для решения этой задачи все бумажные документы в компании были промаркированы по степени конфиденциальности, а также был прописан порядок утилизации разных типов документов. Таким образом, когда сотрудник открывает папку либо берет документ, он точно знает в какую категорию попадает эта информация и как с ней нужно обращаться. Также были внедрены внутренние проверки корректности обращения с документами: теперь периодически ответственный сотрудник проверяет после окончания рабочего дня столы других сотрудников на наличие там конфиденциальной информации.
4. Вся информация компании хранилась на серверах, расположенных в стороннем защищенном дата-центре. Однако, не было предусмотрено процедур на случай аварий в этом дата-центре. Решением стала аренда резервного облачного дата-центра и бэкапирование туда наиболее критичной информации. Теперь данные компании хранятся в разных местах, территориально удаленных друг от друга. Также с дата-центрами было подписано соглашение об уровне сервиса (SLA), устанавливающее все критически важные для компании параметры их работы.
5. Одна из основных задач бизнеса — это обеспечение непрерывного сервиса для клиентов. В нашей компании давно действовала политика непрерывности бизнеса, описывающая порядок действий сотрудников при различных негативных сценариях (потеря доступа к офису, эпидемия, отключение электричества и так далее). Однако мы никогда не тестировали, какое количество времени займет восстановление сервиса в каждой из этих ситуаций. В рамках подготовки к сертификации было проведено несколько тестов, определено целевое время восстановления и был принят план проведения периодического тестирования непрерывности.

Эти кейсы показывают конкретные пути снижения уровня некоторых критичных для компании рисков. При этом, из всего опыта подготовки к сертификации можно сделать следующие важные выводы:

• Регулярная оценка уровня рисков — это один из ключевых процессов в системе управления безопасностью. Если уровень риска становится неприемлемым для компании, то необходимо разработать и осуществить меры по его снижению.
• Документация процессов и процедур — важная часть подготовки к сертификации, помогающая понять, какие требования стандарта компания уже выполняет, и где есть недоработки.
• Важно уделять внимание техническим средствам защиты информации. Однако самым опасным факторов риска зачастую является человеческий. Все усилия будут бессмысленными, если прописанным политикам не следуют сотрудники и топ-менеджмент. Поэтому очень важно уделять внимание обучению сотрудников политикам информационной безопасности и тестированию полученных ими знаний. Каждый работник компании должен четко знать, какие правила действуют в компании, какова его роль в системе управления безопасностью и какая ответственность его ждет за нарушения.
• Аудит системы менеджмента информационной безопасности полезен не только с целью получения сертификата ISO 27001, но также и для улучшения бизнес-процессов, поскольку аудит проводят эксперты с обширным опытом в этой области. В отчете по аудиту мы почерпнули много ценных идей для повышения эффективности компании.

ISO 27001 как конкурентное преимущество

В процессе сертификации мы поняли, что на самом деле внедрение ISO 27001 дает компании очень многое.

• Повышение лояльности клиентов. Сертификация позволила повысить уровень удовлетворенности сервисом для нескольких ключевых клиентов, что, безусловно, является отличным результатом.
• Фактор роста новых продаж. Наличие сертификата ISO 27001 позволяет принимать участие в тендерах многих крупных международных компаний, которые даже не рассматривают предложения поставщиков, у которых этот сертификат отсутствует.
• Снижение риска убытков. Внедрение системы риск-менеджмента позволяет управлять инцидентами безопасности и предотвращать возможные потери.
• Укрепление деловой репутации. Наличие сертификата ISO 27001 повышает привлекательность компании не только для клиентов, но и для компаний-партнеров и профессиональных ассоциаций.
• Рост эффективности бизнес-процессов. По итогам аудита мы получили рекомендации по поводу того, какие лучшие мировые практики мы можем внедрить у себя в компании для того, чтобы сделать бизнес еще более эффективным.

В заключение стоит отметить, что в сфере профессиональных услуг сертификация по ISO 27001 определенно имеет смысл — особенно в текущей ситуации, пока наличие этого сертификата не стало массовым явлением. Поэтому мы желаем удачи и терпения всем компаниям, которые только планируют встать на этот путь.

Фото: pixabay.com