5 etapas de adopción inevitable de la certificación ISO / IEC 27001. Negociar

La tercera etapa de la respuesta emocional al cambio es la negociación. Después de lidiar con nuestro enojo y componente emocional, comenzamos a pensar en lo que realmente se debe hacer para que todo funcione para nosotros. Es hora de estudiar el estándar con más detalle, aplicarlo a nuestra situación actual y adaptar sus requisitos para nuestra empresa. Aquí era importante hacer con "poca sangre" mientras se cumplían los requisitos de la norma. Cualquier cambio tenía que ser adecuado, es decir, acorde con el riesgo correspondiente. El costo de la protección no debe exceder el posible daño de la realización del riesgo.







En este camino, tuvimos que resolver muchas preguntas que nunca antes habíamos encontrado:

Elegir una herramienta para trabajar en una biblioteca de políticas

La primera pregunta (aparentemente muy simple) que enfrentamos es dónde crear y cómo almacenar todos los documentos necesarios del sistema de gestión de seguridad de la información. Era extremadamente importante para nosotros preservar el control de versiones de los documentos y poder "revertir" la versión de la política varias revisiones. Después de revisar las ofertas en el mercado, nos instalamos en el wiki de Confluence, y lo usamos hasta el día de hoy.



Podríamos usar git como sistema de control de versiones (control de versiones), pero para la comodidad de los usuarios, elegimos una solución de portal (Confluence). Logramos limitarnos a la versión gratuita (hasta 10 usuarios autorizados): no necesitábamos más, ya que los no autorizados podían ver la biblioteca.

Preparando un plan de implementación

Aquí no aplicamos ningún método creativo: simplemente le pedimos a nuestro consultor una lista de las políticas necesarias, nombramos personas responsables para su redacción y aprobación, anotamos fechas clave y lo hicimos todo en forma de un diagrama de Gantt (que también se cargó en Confluence).

Evaluación de riesgos de la empresa.

Obviamente, para elegir los medios de protección, necesitábamos evaluar los riesgos (para gastar recursos solo donde realmente se necesita). Para hacer esto, creamos una lista de activos de la compañía que planeamos proteger, que incluía activos físicos (estaciones de trabajo, servidores, documentos en papel, etc.) e intangibles (información del cliente en forma electrónica, contraseñas, etc.) )



Con la ayuda de un equipo de expertos, a cada activo se le asignó un valor específico. Además, vinculamos a cada activo uno o varios riesgos a los que este activo puede estar expuesto (por ejemplo, los documentos en papel pueden ser robados, destruidos, etc.). Luego evaluamos la importancia de cada riesgo como producto de dos parámetros: la probabilidad del riesgo y la importancia de las consecuencias de la realización del riesgo.



Después de clasificar los riesgos en grupos, entendimos con cuál de ellos deberíamos trabajar en primer lugar:







1. Brechas en el conocimiento de los empleados



El riesgo más común fue el factor humano. Además, obtuvimos la certificación por primera vez, por lo que tuvimos la cuestión de enseñar los conceptos básicos de seguridad de la información. Habiendo desarrollado el programa, enfrentamos el problema de automatizar este proceso y controlar el conocimiento residual. Como resultado, comenzamos a usar el sistema de prueba que hemos incorporado a nuestro portal corporativo.



2. Falta de potencia informática de respaldo



Este problema requería grandes recursos financieros y humanos, por lo que fue un error dejarlo al final. Hemos seleccionado un sitio para respaldar nuestros servicios principales: en la etapa inicial, utilizamos IaaS (infraestructura como servicio), lo que nos permitió configurar de forma rápida y presupuestaria la reserva de los servicios principales de la compañía; luego compramos equipo adicional y establecimos una reserva en un centro de datos separado (ubicación conjunta). Posteriormente, abandonamos la solución "en la nube" a favor del centro de datos debido a la gran cantidad de datos.



3. Control sobre "superusuarios", así como sobre aquellos que trabajan con información "especial y sensible"



En otras palabras, necesitábamos establecer el control sobre los usuarios que tienen un amplio acceso a la información confidencial. Resolvimos este problema con la ayuda de un sistema DLP. Elegimos el software doméstico StaffCop debido a su precio razonable y buen soporte técnico.

Políticas de escritura

Aquí hemos conectado todos los recursos posibles:

- utilizó las políticas de otras empresas que se encontraron en el dominio público;

- solicitó ejemplos de políticas de nuestro consultor de implementación;

- compuso los textos de las políticas de forma independiente, en función de los requisitos de la norma.

Al final, fue el tercero (el camino más difícil) que funcionó mejor. Nos llevó bastante tiempo, pero al final recibimos documentos bien redactados, específicamente para nuestra empresa. Así que a la salida tenemos 36 políticas básicas del Sistema de Gestión de Seguridad de la Información .

Distribución de roles

Obviamente, no todas estas políticas eran realmente necesarias para nuestros empleados en su trabajo diario. Para no obligarlos a leer demasiado, hicimos lo siguiente: asignamos a cada empleado uno o más roles en el SGSI. Hubo 5 de ellos en total:







absolutamente todos los empleados tenían al menos un rol: "usuario".



En el pasaporte de cada función, prescribimos las responsabilidades correspondientes en el campo de la seguridad de la información con el anexo de una lista de políticas que un empleado con una función particular tenía que cumplir. Además, por conveniencia, hemos realizado una estructura organizativa gráfica de la empresa que indica los roles de cada empleado en ella.

Involucrando colegas

Además del gerente de proyecto y el jefe del departamento de TI / SI, el director de operaciones de la empresa participó en la evaluación de los riesgos y la descripción de los requisitos de las partes interesadas. Se requirió una participación significativa del Jefe del departamento de Recursos Humanos: necesitaba describir en la política el ciclo de vida completo del empleado: desde la solicitud de una vacante hasta el período posterior a su despido. Afortunadamente, todos nuestros colegas entendieron la importancia de la certificación y fueron a conocernos.

Aspectos técnicos

Durante el proceso de preparación, nos dimos cuenta de que para cumplir con los requisitos de la norma, necesitamos al menos lo siguiente:

• Mover servidores a un centro de datos externo;
• Equipar todas las oficinas con ACS (control de acceso y sistema de gestión).

En el futuro, se agregaron muchas otras cosas a estos dos puntos: la introducción de un sistema DLP, el lanzamiento de un centro de datos de respaldo, la introducción de la autorización de dos factores, etc.



Por lo tanto, para adaptar los requisitos del estándar a nuestra empresa, tuvimos que hacer una cantidad de trabajo bastante significativa.



En materiales anteriores:



5 etapas de inevitabilidad de la adopción de la certificación ISO / IEC 27001. Negación : conceptos erróneos sobre la certificación ISO 27001: 2013, conveniencia de certificación /

5 etapas de inevitabilidad de la certificación ISO / IEC 27001. Ira : ¿por dónde empezar? Datos iniciales. Gastos. Elegir un proveedor.