Auf diesem Weg mussten wir viele Fragen lösen, denen wir noch nie begegnet waren:
Auswählen eines Tools zum Arbeiten an einer Richtlinienbibliothek
Die erste (scheinbar sehr einfache) Frage, mit der wir konfrontiert waren, ist, wo wir alle erforderlichen Dokumente des Informationssicherheits-Managementsystems erstellen und speichern müssen. Für uns war es äußerst wichtig, die Versionierung von Dokumenten beizubehalten und die Version der Richtlinie mehrere Revisionen zurücksetzen zu können. Nachdem wir die Angebote auf dem Markt überprüft hatten, haben wir uns für das Confluence-Wiki entschieden - und wir nutzen es bis heute.
Wir könnten git als Versionsverwaltungssystem verwenden (Versionskontrolle), aber für die Benutzerfreundlichkeit haben wir uns für eine Portallösung (Confluence) entschieden. Wir haben es geschafft, uns auf die kostenlose Version zu beschränken (bis zu 10 autorisierte Benutzer): Wir brauchten keine mehr, da nicht autorisierte Benutzer die Bibliothek anzeigen konnten.
Vorbereitung eines Umsetzungsplans
Hier haben wir keine kreativen Methoden angewendet - wir haben unseren Berater lediglich um eine Liste der erforderlichen Richtlinien gebeten, verantwortliche Personen für deren Verfassen und Genehmigen ernannt, Schlüsseldaten notiert und alles in Form eines Gantt-Diagramms erstellt (das ebenfalls auf Confluence hochgeladen wurde).
Risikobewertung des Unternehmens
Um die Schutzmittel zu wählen, mussten wir natürlich die Risiken bewerten (um Ressourcen nur dort einzusetzen, wo sie wirklich benötigt werden). Zu diesem Zweck haben wir eine Liste der Unternehmensressourcen erstellt, die wir schützen möchten. Diese Liste umfasst sowohl physische Ressourcen (Workstations, Server, Papierdokumente usw.) als auch immaterielle Vermögenswerte (Kundeninformationen in elektronischer Form, Kennwörter usw.). ).
Mit Hilfe eines Expertenteams wurde jedem Asset ein bestimmter Wert zugewiesen. Darüber hinaus haben wir mit jedem Vermögenswert ein oder mehrere Risiken verknüpft, denen dieser Vermögenswert ausgesetzt sein kann (z. B. können Papierdokumente gestohlen, zerstört usw. werden). Anschließend bewerteten wir die Signifikanz jedes Risikos als Produkt zweier Parameter: die Wahrscheinlichkeit des Risikos und die Signifikanz der Konsequenzen der Risikoverwirklichung.
Nachdem die Risiken in Gruppen eingeteilt wurden, haben wir zunächst verstanden, mit welchen von ihnen wir arbeiten sollten:
1. Wissenslücken der Mitarbeiter
Das häufigste Risiko war der Faktor Mensch. Darüber hinaus wurden wir zum ersten Mal zertifiziert, sodass wir die Grundlagen der Informationssicherheit vermitteln mussten. Nachdem wir das Programm bereits entwickelt hatten, standen wir vor dem Problem, diesen Prozess zu automatisieren und das verbleibende Wissen zu kontrollieren. Infolgedessen haben wir begonnen, das in unser Unternehmensportal integrierte Testsystem zu verwenden.
2. Mangel an Backup-Rechenleistung
Dieses Problem erforderte große finanzielle und personelle Ressourcen, so dass es falsch war, es am Ende zu belassen. Wir haben einen Standort für die Sicherung unserer Hauptdienste ausgewählt: In der Anfangsphase haben wir IaaS (Infrastructure as a Service) verwendet, mit dem wir schnell und budgetgerecht die Reserve der Hauptdienste des Unternehmens aufbauen konnten. Später kauften wir zusätzliche Ausrüstung und richteten eine Reserve in einem separaten Rechenzentrum (Co-Location) ein. In der Folge haben wir die „Cloud“ -Lösung aufgrund der großen Datenmenge zugunsten des Rechenzentrums aufgegeben.
3. Kontrolle über "Superuser" sowie über diejenigen, die mit "speziellen, sensiblen" Informationen arbeiten
Mit anderen Worten, wir mussten die Kontrolle über Benutzer herstellen, die umfassenden Zugriff auf vertrauliche Informationen haben. Wir haben dieses Problem mit Hilfe eines DLP-Systems gelöst. Wir haben uns für die inländische Software StaffCop aufgrund des angemessenen Preises und des guten technischen Supports entschieden.
Richtlinien schreiben
Hier haben wir alle möglichen Ressourcen verbunden:
- die Richtlinien anderer Unternehmen verwendet haben, die gemeinfrei gefunden wurden;Am Ende war es der dritte (schwierigste) Weg, der am besten funktionierte. Es hat ziemlich lange gedauert, aber am Ende haben wir speziell für unser Unternehmen gut ausgearbeitete Dokumente erhalten. Am Ausgang haben wir also 36 grundlegende Richtlinien des Information Security Management Systems erhalten .
- von unserem Implementierungsberater Beispiele für Richtlinien angefordert haben;
- die Texte der Richtlinien unabhängig auf der Grundlage der Anforderungen des Standards verfasst.
Rollenverteilung
Offensichtlich waren nicht alle diese Richtlinien für unsere Mitarbeiter bei ihrer täglichen Arbeit wirklich notwendig. Um sie nicht zum Lesen zu zwingen, haben wir Folgendes getan: Jedem Mitarbeiter eine oder mehrere Rollen im ISMS zugewiesen. Insgesamt waren es 5:
Absolut alle Mitarbeiter hatten mindestens eine Rolle - „Benutzer“.
Im Pass jeder Rolle haben wir die entsprechenden Verantwortlichkeiten im Bereich der Informationssicherheit mit dem Anhang einer Liste von Richtlinien vorgeschrieben, die ein Mitarbeiter mit einer bestimmten Rolle einhalten musste. Der Einfachheit halber haben wir eine grafische Organisationsstruktur des Unternehmens erstellt, in der die Rollen der einzelnen Mitarbeiter angegeben sind.
Kollegen einbeziehen
Neben dem Projektmanager und dem Leiter der IT / IS-Abteilung war der COO des Unternehmens an der Bewertung der Risiken und der Beschreibung der Anforderungen der Stakeholder beteiligt. Die Leiterin der Personalabteilung musste maßgeblich einbezogen werden - sie musste in der Police den gesamten Lebenszyklus des Mitarbeiters beschreiben: vom Antrag auf eine freie Stelle bis zum Zeitraum nach seiner Entlassung. Glücklicherweise haben alle unsere Kollegen die Bedeutung der Zertifizierung verstanden und sind uns entgegengegangen.
Technische Aspekte
Während des Vorbereitungsprozesses haben wir festgestellt, dass wir mindestens Folgendes benötigen, um die Anforderungen der Norm zu erfüllen:
Zukünftig wurden diesen beiden Punkten viele weitere Dinge hinzugefügt: die Einführung eines DLP-Systems, die Einführung eines Backup-Rechenzentrums, die Einführung einer Zwei-Faktor-Autorisierung usw.
- Verschieben Sie Server in ein externes Rechenzentrum.
- Rüsten Sie alle Büros mit ACS (Zugangskontroll- und -verwaltungssystem) aus.
Um die Anforderungen des Standards an unser Unternehmen anzupassen, mussten wir daher einen erheblichen Arbeitsaufwand leisten.
In früheren Materialien:
5 Stufen der Unvermeidlichkeit der Annahme der ISO / IEC 27001-Zertifizierung. Ablehnung : Missverständnisse über die Zertifizierung nach ISO 27001: 2013, Wünschbarkeit der Zertifizierung /
5 Stufen der Unvermeidlichkeit der Zertifizierung nach ISO / IEC 27001. Wut : Wo soll ich anfangen? Ausgangsdaten. Kosten. Auswahl eines Anbieters.