Компанияда клиенттік базалар, қаржылық деректер, коммерциялық ұсыныстар немесе бастапқы код болған кезде, қауіпсіздік мәселесі «жақсы болар еді» деңгейінен «міндетті» деңгейіне өтеді. Ақпараттық қауіпсіздік стандарты ISO/IEC 27001 бойынша сертификат серіктестер мен тапсырыс берушілерге тәуекелдерді кездейсоқ емес, жүйелі түрде басқаратыныңызды көрсетеді — көліктегі қауіпсіздік белдігі сияқты: көбіне байқалмайды, бірақ қажет сәтте құтқарады.
Халықаралық ISO/IEC 27001 стандарты ақпараттық қауіпсіздік менеджменті жүйесіне (АҚМЖ/ISMS) қойылатын талаптарды белгілейді: деректерді ағып кетуден, ақаулардан және рұқсатсыз қолжетімділіктен қорғайтын адамдарға, процестерге және технологияларға қатысты. Қазақстан, Өзбекстан, Грузия және Қырғызстандағы компаниялар үшін бұл әсіресе өзекті, егер сіз корпоративтік клиенттермен, банктермен, IT-аутсорсингпен, сервистік орталықтармен, өндіріс саласымен жұмыс істесеңіз немесе тендерлерге қатыссаңыз.
ISO/IEC 27001 сертификаттауы не береді
Сертификат — қабырғаға ілетін қағаз емес, нарыққа берілетін түсінікті сигнал: тәуекелдер ескерілген, қолжетімділіктер дұрыс бапталған, инциденттер өңделеді, ал жауапкершілік нақты бекітілген. Әдетте бизнес мыналарды алады:
- Клиенттер мен халықаралық серіктестер тарапынан сенімнің артуы;
- Сатып алуларда және комплаенс-тексерістерінен өтуде позициялардың күшеюі;
- Инциденттер салдарынан болатын тоқтап қалулар мен шығындардың ықтималдығын төмендету (процедуралар мен бақылаудың арқасында);
- Ашық ережелер: кімнің, неге және не үшін қолжетімділігі бар;
- Басқарылуы: қауіпсіздік бір реттік «акция» емес, тұрақты процесске айналады.
Қадам-қадам: ISO/IEC 27001 сертификатын қалай алуға болады
Үдеріс кезең-кезеңімен жүрсе, логикалық әрі болжамды болады. Төменде — ТМД аумағында ЖШС «Систем Менеджмент» клиенттерді сүйемелдеуде қолданатын типтік жол картасы.
Бастамас бұрын АҚМЖ (СМИБ) шекарасын анықтау маңызды: сертификаттауға қай бөлімшелер, сервистер, филиалдар және жүйелер кіретіні, сондай-ақ мақсаттар мен сыни активтер (деректер, инфрақұрылым, персонал) белгіленеді.
1) Диагностика (Gap-analysis): ағымдағы жағдайды ISO/IEC 27001 талаптарымен салыстырып, жұмыс жоспарын бекітеміз.
2) Тәуекелдерді бағалау: қауіп-қатерлерді, осал тұстарды, ықтималдық пен залалды анықтаймыз; басқару шараларын таңдаймыз.
3) Шаралар мен құжаттарды енгізу: саясаттар, рәсімдер, қолжетімділікті бақылау, инциденттерді басқару, резервтік көшіру, жеткізушілермен жұмыс және т.б.
4) Қызметкерлерді оқыту: ережелер тек регламенттерде емес, “адамдардың санасында” да жұмыс істеуі үшін.
5) Ішкі аудит және басшылық тарапынан талдау: сыртқы тексеріске дейін жүйені тексереміз.
6) Сертификаттау аудиті (Stage 1 / Stage 2): сыртқы орган жүйенің дайындығын және нақты жұмысын бағалайды.
7) Сертификатты алу және кейінгі қадағалау: жыл сайынғы инспекциялық аудиттер және әр 3 жыл сайын қайта сертификаттау.
Осы қадамдардан кейін сіз жұмыс істейтін жүйеге және оның стандарт талаптарын шын мәнінде орындайтынын растайтын дәлелге ие боласыз — «галочка үшін» ғана емес.
Қандай құжаттар мен практикалар көбіне қажет болады
«Құжаттар» деген сөзден қорқудың қажеті жоқ: ISO/IEC 27001 папканың қалыңдығын емес, басқарылуын бағалайды. Әдетте төмендегілер дайындалады және/немесе өзектендіріледі:
- ақпараттық қауіпсіздік саясаты және мақсаттар;
- активтер тізілімі және деректерді жіктеу ережелері;
- тәуекелдерді бағалау әдістемесі және тәуекелдерді өңдеу жоспары;
- қолжетімділіктерді, құпиясөздерді, привилегияларды басқару;
- инциденттерге әрекет ету және журнал жүргізу;
- резервтік көшіру және қалпына келтіру;
- жеткізушілерді және бұлттық сервистерді басқару;
- бизнес ауқымына сай үздіксіздік/қалпына келтіру жоспары.
Мерзімдер және құнға не әсер етеді
ISO/IEC 27001 сертификаттау мерзімі әдетте бірнеше аптадан бірнеше айға дейін созылады — бұл компанияның ауқымына, процестердің жетілу деңгейіне және таңдалған сертификаттау аймағына байланысты (бір офис/компаниялар тобының бәрі, бір өнім/барлық сервистер). Бюджетке алаңдар саны, IT-ландшафттың күрделілігі және техникалық шараларды қосымша баптау қажеттілігі әсер етеді.
Неге сүйемелдеу «өз бетімен» жасағаннан тиімді
ISO/IEC 27001-ді өз күшіңізбен енгізуге болады, бірақ көбіне бизнес үшін жылдамдық және талаптарды түсіндірудегі қателіктердің болмауы маңыздырақ. ЖШС «Систем Менеджмент» артық бюрократиясыз осы жолдан өтуге көмектеседі: АҚМЖ-ны (СМИБ) шын мәнінде жұмыс істейтіндей етіп құрып, аудиттен сенімді өтуге жағдай жасайды — рөлдері, мерзімдері және нәтижесі түсінікті түрде.
Егер Қазақстан, Өзбекстан, Грузия немесе Қырғызстандағы компанияңыз үшін бастапқы жағдайды және нақты әрекет жоспарын түсінгіңіз келсе — кеңес алуға өтінім қалдырыңыз. ISO/IEC 27001 сертификатын тезірек қалай алуға болатынын және қандай қадамдар бизнесіңізге ең үлкен әсер беретінін айтып береміз.