Ներածություն

ISO 27001-ը՝ միջազգային ստանդարտ է, որը հրապարակվել է Ստանդարտացման միջազգային կազմակերպության կողմից (ISO), եւ նկարագրում է, թե ինչպես է պետք կառավարել տեղեկատվական անվտանգությունն ընկերությունում։

Այս ստանդարտի վերջին վերախմբագրված տարբերակը լույս է տեսել 2013 թվականին եւ կոչվում է ISO / IEC 27001: 2013:
Ստանդարտի առաջին հրատարակությունը լույս է տեսել 2005 թվականին, որը մշակվել է բրիտանական BS 7799-2 ստանդարտի հիման վրա:

ISO 27001 կարող է ներդվել ցանկացած ընկերություն՝ պետական, մասնավոր, շահույթ հետապնդող, մեծ և փոքր։ Այն գրվել է տեղեկատվական անվտանգության պաշպանության առաջատար փորձագետների կողմից և նկարագրում է ընկերությունում տեղեկատվական անվտանգության կառավարման մեթոդաբանությունը։ Այն նաև հնարավորություն է տալիս ընկերություններին վկայագրել ISO 27001 ստանդարտին համապատասխանության փաստը, որը տրվում է անկախ փորձագիտական վկայագրող մարմնի կողմից։

Այսօր ISO 27001-ը տեղեկատվական անվտանգության կառավարման ամենահեղինակավոր ստանդարտն է համարվում։

Նկար 1-ում պատկերված է սերտեֆիկատների տրամադրման քանակը վերջին տարիների ընթացքում։

Ինչպե՞ս է աշխատում ISO 27001- ը

ԻՍՕ 27001-ի նպատակն է ընկերությունում տեղեկատվության գաղտնիության, ամբողջականության եւ հասանելիության պահպանությունն ապահովելն է: Դա իրականացվում է տեղեկատվության հավանական խնդիրները պարզելու(ռիսկերը գնահատելու) մեթոդով և նման խնդիրները բացառելու նպատակով անհրաժեշտ կարգեր մշակելու միջոցով (ռիսկերի նվազեցում)։ Այսպիսով, ISO 27001 գլխավոր փիլիսոփայությունը խարսխված է ռիսկերի կառավարման գաղափարին, այն է՝ գտնել գոյություն ունեցող ռիսկերը և սիստեմատիկորեն վերացնել դրանք։

Տեղեկատվական անվտանգության պաշտապանության (վերահսկողության/կառավարման) մեթոդները ենթադրում են ադմինիստրատիվ՝ տեղեկատվական անվտանգության քաղաքականության, ընթացակարգերի եւ տեխնիկական միջոցների ներդրում (ծրագրային ապահովում եւ սարքավորումներ): Հիմնական խնդիրն այն է, որ ընկերություններն արդեն իսկ ունեն իրենց անհրաժեշտ սարքավորումներն ու ծրագրային հավելվածները, սակայն կիրառում են դրանք անապահով եղանակով։ Այդ իսկ պատճառով ISO 27001 ներդրումն հիմնականում կենտրոնանում է ընկերության անվտանգության բացերը կանխարգելող ընթացակարգերի(փաստաթղթերի) մշակման վրա։

Քանի, որ նման փաստաթղթաշրջանառության իրականացումը պահանջում է բազմաթիվ քաղաքականությունների, ընթացակարգերերի, մարդկանց, ակտիվների եւ այլ միջոցների ներգրավվածություն, ISO 27001-ը նկարագրում է, թե ինչպես է պետք կառավարել բոլոր այդ տարրերը միասին՝ տեղեկատվական անվտանգության կառավարման լիակատար համակարգ (ISMS) ստանալու համար:

Այսպիսով, տեղեկատվական անվտանգության կառավարումը չի վերաբերում լոկ IT անվտանգությանը (firewalls, anti-virus) , այլ ընդգրկում է ընկերության գործընթացների, փաստաթղթաշրջանառության, իրավական պաշտպանության, մարդկային ռեսուրսների, ֆիզիկական անվտանգության և այլ ակտիվների պաշտպանության կառավարումը։

Ի՞նչ է տալիս ISO 27001- ի ներդրումն ընկերությանը

Կան չորս հիմնական առավելություններ, որոնք ընկերությունը կարող է ունենալ իր բիզնեսի համար՝ տեղեկատվական անվտանգության ստանդարտներ ներդնելիս: Դրանք են․

Համապատասխանություն իրավական պահանջներին։ Գոյություն ունեն տեղեկատվական անվտանգության հետ կապված բազմաթիվ օրենքներ, կանոնակարգեր եւ պայմանագրային պահանջներ, որոնց ամբողջականությունը լուծված է ISO 27001 ստանդրատներում։ ISO 27001-ի ստանդարտը ձեզ տալիս է ՏԱ կառավարման կատարյալ մեթոդաբանություն։

Մարքեթինգային առավելություն – եթե ձեր ընկերությունն ունի ISO հավաստագիր, իսկ ձեր մրցակիցները ոչ՝ Ձեր առավելությունները ակընհայտ են հատկապես այն հաճախորդների աչքերում, որոնք զգայուն են տեղեկատվության, այդ թվում՝ իրենց անձնական, ապահովության համար:

Ծախսերի խնայողություն – ISO 27001 հիմնական փիլիսոփայությունը անվտանգության միջադեպերը կանխելն է, քանի որ յուրաքանչյուր միջադեպ՝ մեծ թե փոքր, կորուստ է, այդ թվում՝ ֆինանսական: Հետեւաբար, կանխելով միջադեպերը, ձեր ընկերությունը կտնտեսի բավականին մեծ գումարներ, իսկ գլխավորը՝  ISO 27001-ի ներդրումը շատ ավելի չնչին ծախս է՝ համեմատած այն խնայողությունների հետ, որն այն ապահովվում է ձեր ընկերության համար:

Ավելի լավ կազմակերպվածություն –  սովորաբար, արագ զարգացող ընկերությունները ժամանակ չունեն սահմանելու իրենց գործընթացներն ու ընթացակարգերը և դրա արդյունքում ընկերության աշխատողները չեն իմանում, թե ի՞նչ, ե՞րբ, ո՞ւմ կողմից և ինչ հերթականությամբ պետք է իրականացվեն անվտանգության գործառույթները: ԻՍՕ 27001-ի ներդրումն օգնում է լուծել նման իրավիճակները, քանի որ այն խրախուսում է ընկերություններին փաստաթղթավորել իրենց հիմնական գործընթացները (այդ թվում անվտանգության հետ կապ չունեցող), ինչը թույլ է տալիս նվազեցնել նրանց աշխատողների վատնած ժամանակը:

Ի՞նչ տեղ է գրավում ՏԱ կառավարումը ընկերության ընդհանուր  կառավարման համակարգում

Առհասարակ տեղեկատվական անվտանգությունն ընկերության ընդհանուր ռիսկերի կառավարման բաղկացուցիչ մասն է կազմում, և ընդգրկում է հարակից՝ կիբերանվտանգության, բիզնեսի անընդհատության կառավարման եւ ՏՏ կառավարման ենթաոլորտները:

Ի՞նչ է իրենից ներկայացնում ISO 27001- ը:

ISO / IEC 27001 -ը բաղկացած է 11 բաժիններից եւ հավելված Ա-ից: 0-ից 3-րդ բաժինները ներածական են (եւ պարտադիր չեն իրականացման համար), իսկ 4-ից 10-րդ բաժինները պարտադիր են, նշանակում է, որ բոլոր պահանջները պետք է իրականացվեն կազմակերպության մեջ, որը ցանկանում է համապատասխանել ստանդարտին:

Բաժին 0: Ներածություն – բացատրում է ISO 27001- ի նպատակը եւ դրա համապատասխանությունը կառավարման այլ չափանիշներին:

Բաժին 1: Նպատակ – բացատրում է, որ այս ստանդարտը կիրառելի է ցանկացած կազմակերպության տեսակի համար:

Բաժին 2. Նորմատիվ հղումներ –  վերաբերում են ISO / IEC 27000 ստանդարտին, որտեղ ներկայացվում են տերմիններ եւ սահմանումներ:

Բաժին 3: Պայմաններ եւ սահմանումներ – կրկին, վերաբերում են ISO / IEC 27000:

Բաժին 4: Կազմակերպում – այս բաժինը PDCA պլանավորման բաղկացուցիչն է կազմում  և սահմանում է արտաքին եւ ներքին խնդիրների, շահառու կողմերի պահանջները եւ սահմանում է տեղեկատվական անվտանգության կառավարման  համակարգի շրջանակները:

Բաժին 5. Առաջնորդություն – այս բաժինը PDCA- պլանավորման բաղկացուցիչն է եւ սահմանում է վերին կառավարման մարմինների պարտականությունները, նրանց դերեր և գործառույթները, ինչպես նաև տեղեկատվական անվտանգության կառավարման համակարգի շրջանակները:

Բաժին 6. Պլանավորում – այս բաժինը PDCA- ի պլանավորման մասն է հանդիսանում եւ սահմանում է ռիսկերի գնահատման, ռիսկի վերացման, կիրառելիության մասին հայտարարության, ռիսկերի վերացման պլանի եւ տեղեկատվական անվտանգության նպատակների պահանջները:

Բաժին 7: Աջակցություն – այս բաժինը PDCA- ի պլանավորման մասն է հանդիսանում եւ սահմանում է ռեսուրսների, իրավասությունների, իրազեկության, հաղորդակցության եւ փաստաթղթերի եւ գրառումների հասանելիության պահանջները:

Բաժին 8: Կառավարում – այս բաժինը PDCA- ի պլանավորման  Do փուլն է կազմում եւ սահմանում է ռիսկերի գնահատման եւ վերացման, ինչպես նաեւ վերահսկողության եւ տեղեկատվական անվտանգության նպատակներին հասնելու համար անհրաժեշտ այլ գործընթացների իրականացումը:

Բաժին 9: Արդյունավետության գնահատում – այս բաժինը PDCA պլանավորման մասն է կազմում եւ սահմանում է մոնիտորինգի, չափման, վերլուծության, գնահատման, ներքին աուդիտի եւ կառավարման վերանայման պահանջները:

Բաժին 10. Բարելավում – այս բաժինը PDCA պլանավորման ցիկլի Act phase- ն է կազմում եւ սահմանում է անհամապատասխանությունների, ուղղումների, ուղղիչ գործողությունների եւ շարունակական բարելավման պահանջները:

Հավելված Ա – այս հավելվածը տրամադրում է 114 բաժինների (երաշխիքների):

Ինչպե՞ս ներդնել ISO 27001

Ձեր ընկերությունում ISO 27001 կիրառելու համար դուք պետք է հետեւեք ներքոնշյալ 16 քայլերին.

  1. Ստանաք ղեկավարության աջակցությունը
  2. Օգտագործեք նախագծերի կառավարման մեթոդաբանությունը
  3. Սահմանեք տեղեկատվական անվտանգության կառավարման համակարգի(ՏԱԿՀ) շրջանակները
  4. Գրեք տեղեկատվական անվտանգության քաղաքականություն
  5. Սահմանեք ռիսկերի գնահատման մեթոդաբանությունը
  6. Իրականացնեք ռիսկերի գնահատումը եւ ռիսկի կառավարումը
  7. Գրեք կիրառելիության մասին հայտարարություն
  8. Գրեք ռիսկերիի կառավարման ծրագիր
  9. Սահմանեք, թե ինչպես կարելի է չափել ձեր վերահսկողության եւ (ՏԱԿՀ)-ի արդյունավետությունը
  10. Իրականացնեք բոլոր ստուգումները եւ ընթացակարգերը
  11. Իրականացնեք ուսուցման եւ իրազեկման ծրագրեր
  12. Իրականացնեք ձեր ՏԱԿՀ փաստաթղթերով նախատեսված բոլոր ամենօրյա գործողությունները
  13. Վերահսկեք եւ չափեք ձեր ՏԱՀ համակարգերը
  14. Իրականացնեք ներքին աուդիտ
  15. Իրականացնեք կառավարման վերանայում
  16. Իրականացնեք ուղղիչ գործողություններ

Պարտադիր փաստաթղթեր

ISO 27001-ը պահանջում է իրականցնել ստորև բերված փաստաթղթերի լիակատար վարույթը

  • ՏԱԿՀ-ի շրջանակներ
  • Տեղեկատվական անվտանգության քաղաքականություն եւ նպատակներ
  • Ռիսկերի գնահատման եւ կառավարման մեթոդաբանություն
  • Կիրառելիության հայտարարություն
  • Ռիսկերի կառավարման պլան
  • Ռիսկերի գնահատման զեկույց
  • Անվտանգության տեսակների եւ պարտականությունների սահմանում
  • Ակտիվների գույքագրում
  • Ակտիվների ընդունելի օգտագործումը
  • Մուտքի հսկման քաղաքականությունը
  • ՏՏ կառավարման գործառնական ընթացակարգեր
  • Անվտանգ համակարգի նախագծման սկզբունքները
  • Մատակարարի անվտանգության քաղաքականությունը
  • Միջադեպի կառավարման ընթացակարգ
  • Բիզնեսի շարունակականության ընթացակարգեր
  • Կանոնադրական, կարգավորիչ եւ պայմանագրային պահանջներ
  • Դասընթացների, հմտությունների, եւ որակավորման գրառումներ
  • Մոնիտորինգի եւ չափման արդյունքներ
  • Ներքին աուդիտի ծրագիր
  • Ներքին աուդիտի արդյունքներ
  • Կառավարման վերանայման արդյունքներ
  • Ուղղիչ գործողությունների արդյունքներ
  • Օգտագործողի գործունեության, բացառությունների եւ անվտանգության իրադարձությունների տեղեկամատյանները

Իհարկե, ընկերությունը կարող է ըստ անհրա-եշտության որոշում կայացնել լրացուցիչ անվտանգության փաստաթղթեր մշակել:

Ինչպե՞ս ստանալ ISO 27001 վկայագրված

ISO 27001 ստանդարտների երկու տեսակ կա,

  • կազմակերպությունների համար եւ
  • ֆիզիկական անձանց համար:

Կազմակերպությունները կարող են վկայական ստանալ` ISO ստանդարտի բոլոր պարտադիր դրույթներին իրենց համապատասխանությունն ապացուցելուց հետո, իսկ անհատները ISO դասընթացներին մասնակցելուց եւ քննություններ հանձնելուց հետո:

Սերտեֆիկացված կազմակերպություն դառնալու համար ընկերությունը պետք է իրականացնի ստանդարտի վերը նշված բոլոր պահանջները, ապա անցնի սերտիֆիկացման գործընթացը, որն իրականացնում է սերտեֆիկացնող մարմնի լիազորություն ունեցող ընկերությունը՝ ՏԱ աուդիտից հետո:

Հավաստագրման աուդիտը կատարվում է հետեւյալ քայլերով.

  • 1-ին փուլ – Փաստաթղթերի վերանայում – աուդիտորները կվերանայեն բոլոր փաստաթղթերը:
  • 2-րդ փուլ – Հիմնական աուդիտ – աուդիտորները տեղում ստուգում են բոլոր գործառույթների համապատասխանությունը ISO 27001 եւ ՏԱԿՀ փաստաթղթերում բերված դրույթներին:
  • Տեսչական այցեր – վկայագիրը տրվելուց 3 տարվա ընթացքում աուդիտորները ստուգում են, արդյոք ընկերությունը պահպանում է ՏԱԿՀ-ի նորմերը:

Անհատները կարող են երեք փուլից բաղկացած դասընթաց անցնել՝ վկայական ստանալու համար։

Պատրաստեց՝ Վահագն Նավասարդյանը