Das Thema Informationssicherheit (im Folgenden: IS) von Unternehmen ist heute eines der relevantesten der Welt. Dies ist nicht verwunderlich, da in vielen Ländern die Anforderungen an Organisationen, die personenbezogene Daten speichern und verarbeiten, verschärft werden. Derzeit verlangt die russische Gesetzgebung die Aufrechterhaltung eines erheblichen Teils der Unterlagen. Gleichzeitig macht sich der Digitalisierungstrend bemerkbar: Viele Unternehmen speichern bereits eine große Menge vertraulicher Informationen sowohl in digitaler Form als auch in Form von Papierdokumenten.
Laut einer
Umfrage des Anti-Malware Analytical Center gaben 86% der Befragten an, dass sie Vorfälle nach Cyberangriffen oder aufgrund von Verstößen von Benutzern gegen festgelegte Regeln mindestens einmal im Jahr beheben müssen. In dieser Hinsicht ist die vorrangige Beachtung der Informationssicherheit in Unternehmen zu einer Notwendigkeit geworden.
Gegenwärtig ist die Informationssicherheit von Unternehmen nicht nur ein Komplex technischer Mittel wie Virenschutzprogramme oder Firewalls, sondern bereits ein integrierter Ansatz für die Verwaltung des Unternehmensvermögens im Allgemeinen und der Informationen im Besonderen. Unternehmen verfolgen unterschiedliche Ansätze zur Lösung dieser Probleme. Heute möchten wir über die Umsetzung der internationalen Norm ISO 27001 als Lösung für ein solches Problem sprechen. Für Unternehmen auf dem russischen Markt vereinfacht das Vorhandensein eines solchen Zertifikats die Interaktion mit ausländischen Kunden und Partnern, die diesbezüglich hohe Anforderungen stellen. ISO 27001 ist im Westen weit verbreitet und deckt die Anforderungen im Bereich der Informationssicherheit ab, die von den verwendeten technischen Lösungen abgedeckt werden sollten, sowie beim Aufbau von Geschäftsprozessen. Somit kann dieser Standard zu Ihrem Wettbewerbsvorteil und Kontaktpunkt mit ausländischen Unternehmen werden.
Diese Zertifizierung des Informationssicherheits-Managementsystems (im Folgenden: ISMS) hat die Best Practices für den Entwurf eines ISMS zusammengestellt und vor allem die Möglichkeit geboten, Management-Tools auszuwählen, um die Funktionsweise des Systems, die Anforderungen an die technologische Sicherheit und sogar den Personalmanagementprozess im Unternehmen sicherzustellen. Schließlich müssen Sie verstehen, dass technische Fehler nur ein Teil des Problems sind. In Fragen der Informationssicherheit spielt der Faktor Mensch eine große Rolle, die viel schwieriger zu beseitigen oder zu minimieren ist.
Wenn Ihr Unternehmen nach ISO 27001 zertifiziert werden soll, haben Sie möglicherweise bereits versucht, einen einfachen Weg zu finden, dies zu tun. Wir müssen Sie enttäuschen: Es gibt keine einfachen Wege. Es gibt jedoch bestimmte Schritte, die dazu beitragen, die Organisation auf internationale Anforderungen an die Informationssicherheit vorzubereiten:
1. Holen Sie sich ManagementunterstützungSie mögen dies für offensichtlich halten, aber in der Praxis wird dieser Punkt oft übersehen. Darüber hinaus ist dies einer der Hauptgründe, warum Projekte, die ISO 27001 implementieren, häufig scheitern. Ohne die Bedeutung des Standardimplementierungsprojekts zu verstehen, wird das Management weder ausreichende Humanressourcen noch ein ausreichendes Budget für die Zertifizierung bereitstellen.
2. Entwickeln Sie einen ZertifizierungsvorbereitungsplanDie Vorbereitung auf die Zertifizierung nach ISO 27001 ist eine komplexe Aufgabe, die verschiedene Arten von Arbeiten umfasst, die Einbeziehung einer großen Anzahl von Personen erfordert und viele Monate (oder sogar Jahre) dauern kann. Daher ist es sehr wichtig, einen detaillierten Projektplan zu erstellen: Weisen Sie Ressourcen, Zeit und Personen streng definierten Aufgaben zu und überwachen Sie die Einhaltung der Fristen. Andernfalls können Sie den Auftrag möglicherweise nie beenden.
3. Definieren Sie den Umfang der ZertifizierungWenn Sie eine große Organisation mit diversifizierten Aktivitäten haben, ist es wahrscheinlich sinnvoll, nur einen Teil des Geschäfts des Unternehmens nach ISO 27001 zu zertifizieren, wodurch die Risiken Ihres Projekts sowie dessen Zeitplan und Kosten erheblich reduziert werden.
4. Entwickeln Sie eine InformationssicherheitsrichtlinieEines der wichtigsten Dokumente ist die Informationssicherheitsrichtlinie des Unternehmens. Es sollte die Ziele Ihres Unternehmens im Bereich der Informationssicherheit und die Grundprinzipien des Informationssicherheitsmanagements widerspiegeln, die von allen Mitarbeitern beachtet werden müssen. Mit diesem Dokument soll festgelegt werden, was das Management des Unternehmens im Bereich der Informationssicherheit erreichen möchte und wie es implementiert und kontrolliert wird.
5. Definieren Sie eine RisikobewertungsmethodeEine der schwierigsten Aufgaben besteht darin, die Regeln für die Bewertung und das Management von Risiken festzulegen. Es ist wichtig zu verstehen, welche Risiken das Unternehmen für sich selbst als akzeptabel erachtet und welche sofortige Maßnahmen erforderlich sind, um sie zu reduzieren. Ohne diese Regeln funktioniert das ISMS nicht.
Gleichzeitig ist daran zu erinnern, dass die Maßnahmen zur Risikominderung angemessen sind. Lassen Sie sich jedoch nicht zu sehr vom Optimierungsprozess mitreißen, da diese unter anderem hohe Zeit- oder Finanzkosten verursachen oder einfach nicht durchführbar sind. Wir empfehlen, dass Sie bei der Entwicklung von Risikominderungsmaßnahmen das Prinzip der „minimalen Suffizienz“ anwenden.
6. Risikomanagement nach einer anerkannten MethodeDie nächste Stufe ist die konsequente Anwendung der Risikomanagementmethode, dh deren Bewertung und Verarbeitung. Dieser Prozess sollte regelmäßig mit großer Sorgfalt durchgeführt werden. Indem Sie das IS-Risikoregister auf dem neuesten Stand halten, können Sie Unternehmensressourcen effizient verteilen und schwerwiegende Zwischenfälle verhindern.
7. Risikobehandlung planenRisiken, die das für Ihr Unternehmen akzeptable Niveau überschreiten, sollten in den Risikobehandlungsplan aufgenommen werden. Es sollte Maßnahmen zur Risikominderung sowie die für sie verantwortlichen Personen und Bedingungen enthalten.
8. Füllen Sie die Anwendbarkeitsverordnung ausDies ist ein Schlüsseldokument, das von Spezialisten der Zertifizierungsstelle während des Audits geprüft wird. Es sollte beschreiben, welche Kontrollmechanismen im Bereich der Informationssicherheit auf die Aktivitäten Ihres Unternehmens anwendbar sind.
9. Bestimmen Sie, wie die Wirksamkeit von IS-Kontrollen gemessen wird.Jede Aktion sollte zu einem Ergebnis führen, das zur Erreichung der festgelegten Ziele führt. Daher ist es wichtig, klar zu bestimmen, anhand welcher Parameter die Zielerreichung sowohl für das gesamte IS-Managementsystem als auch für jeden ausgewählten Kontrollmechanismus aus dem Anhang zur Anwendbarkeit gemessen wird.
10. Implementieren Sie IS-Management-ToolsErst nach der Implementierung aller vorherigen Schritte muss mit der Implementierung der entsprechenden IS-Verwaltungstools aus dem Anhang zur Anwendbarkeit begonnen werden. Die größte Schwierigkeit hierbei ist natürlich die Einführung einer völlig neuen Vorgehensweise in vielen Prozessen Ihres Unternehmens. Die Leute widersetzen sich normalerweise neuen Richtlinien und Verfahren, achten Sie also auf den nächsten Absatz.
11. Führen Sie Schulungsprogramme für Mitarbeiter einAlle oben beschriebenen Punkte sind bedeutungslos, wenn Ihre Mitarbeiter die Bedeutung des Projekts nicht verstehen und nicht in Übereinstimmung mit den IS-Richtlinien handeln. Wenn Sie möchten, dass Ihre Mitarbeiter alle neuen Regeln einhalten, müssen Sie zunächst den Mitarbeitern erklären, warum sie erforderlich sind, und anschließend die ISMS-Schulung durchführen, in der alle wichtigen Richtlinien hervorgehoben werden, die Mitarbeiter bei ihrer täglichen Arbeit berücksichtigen sollten. Mangelnde Schulung des Personals ist eine häufige Ursache für Projektversagen gemäß ISO 27001.
12. Unterstützen Sie die ISMS-ProzesseAn diesem Punkt wird ISO 27001 zu Ihrer täglichen Routine. Um die Implementierung von IS-Management-Tools gemäß dem Standard zu bestätigen, müssen Prüfer Aufzeichnungen vorlegen - Belege für die tatsächliche Arbeit der Kontrollmechanismen. Vor allem aber sollten Aufzeichnungen Ihnen helfen, den Überblick darüber zu behalten, ob Ihre Mitarbeiter (und Lieferanten) ihre Aufgaben gemäß den genehmigten Regeln ausführen.
13. Überwachen Sie das ISMSWas passiert mit Ihrem ISMS? Wie viele Vorfälle haben Sie, um welche Art von Vorfällen handelt es sich? Werden alle Verfahren ordnungsgemäß durchgeführt? Bei diesen Fragen sollten Sie überprüfen, ob das Unternehmen seine Ziele für die Informationssicherheit erreicht. Wenn nicht, sollten Sie einen Abhilfemaßnahmenplan entwickeln.
14. Führen Sie eine interne ISMS-Revision durchDer Zweck der internen Revision besteht darin, Inkonsistenzen zwischen realen Prozessen im Unternehmen und genehmigten IS-Richtlinien zu ermitteln. Zum größten Teil ist dies ein Test, wie Ihre Mitarbeiter die Regeln einhalten. Dies ist ein sehr wichtiger Punkt, denn wenn Sie die Arbeit Ihrer Mitarbeiter nicht kontrollieren, kann die Organisation (absichtlich oder unbeabsichtigt) Schaden erleiden. Hier geht es jedoch nicht darum, die Täter zu finden und ihnen Disziplinarstrafen wegen Nichteinhaltung von Richtlinien aufzuerlegen, sondern die Situation zu korrigieren und zukünftige Probleme zu verhindern.
15. Management Reviews organisierenDas Management sollte Ihre Firewall nicht konfigurieren, sondern wissen, was im ISMS geschieht: Zum Beispiel, ob sie alle ihre Aufgaben erfüllen und ob das ISMS die Zielergebnisse erreicht. Auf dieser Grundlage sollte das Management wichtige Entscheidungen zur Verbesserung des ISMS und der internen Geschäftsprozesse treffen.
16. Einführung eines Systems von Korrektur- und VorbeugungsmaßnahmenWie jede Norm erfordert ISO 27001 eine „kontinuierliche Verbesserung“: systematische Korrektur und Vermeidung von Inkonsistenzen im Informationssicherheits-Managementsystem. Mit Hilfe von Korrektur- und Vorbeugemaßnahmen ist es möglich, die Diskrepanz zu korrigieren und ihr zukünftiges Wiederauftreten zu verhindern.
Abschließend möchte ich sagen, dass die Zertifizierung tatsächlich viel schwieriger ist als in verschiedenen Quellen beschrieben. Bestätigung ist die Tatsache, dass in Russland heute nur
78 Unternehmen die Zertifizierung für die Konformität bestanden haben. Gleichzeitig ist es im Ausland einer der beliebtesten Standards, die den wachsenden Anforderungen des Unternehmens im Bereich der Informationssicherheit gerecht werden. Eine solche Forderung nach Implementierung ist nicht nur auf das Wachstum und die Komplikation von Arten von Bedrohungen zurückzuführen, sondern auch auf die gesetzlichen Anforderungen sowie auf Kunden, die die vollständige Vertraulichkeit ihrer Daten gewährleisten müssen.
Trotz der Tatsache, dass die Zertifizierung von ISMS keine leichte Aufgabe ist, kann die Erfüllung der Anforderungen der internationalen Norm ISO / IEC 27001 einen ernsthaften Wettbewerbsvorteil auf dem Weltmarkt bringen. Wir hoffen, dass unser Artikel einen ersten Einblick in die wichtigsten Schritte bei der Vorbereitung eines Unternehmens auf die Zertifizierung gab.