ISO 27001 sertifikatas patvirtina atitiktį. Jis savaime negarantuoja brandaus informacijos saugumo valdymo.
ISO 27001 sertifikatas vis dažniau laikomas kibernetinio saugumo brandos įrodymu. Jis rodo, kad vykdomas sistemingas rizikos vertinimas, nustatytos kontrolės priemonės ir vadovų atskaitomybė. Klientai to tikisi. Reguliavimo institucijos į jį atsižvelgia. Viešųjų pirkimų procesuose jis yra privalomas.
Tačiau sertifikavimas savaime nereiškia, kad saugumo valdymas bus atsparus.
Daugelis organizacijų užtikrina atitiktį ISO 27001 reikalavimams, tačiau veiklos rizika toliau kinta sparčiau nei priežiūros priemonės. Kontrolės priemonės, kurios buvo veiksmingos sertifikavimo metu, palaipsniui tampa vis mažiau aktualios, nes aplink jas keičiasi grėsmių panorama, technologinė aplinka ir organizacinė struktūra.
Atotrūkis yra tarp dokumentacijos ir įgyvendinimo.
Supratimas, kas yra tas atotrūkis ir ko reikia, kad jį panaikinti, ir yra tai, kas skiria organizacijas, kurios iš tiesų pasiekė informacinio saugumo brandą, nuo tų, kurios turi sertifikatą, tačiau veiklos požiūriu tebėra pažeidžiamos.
ISO 27001 informacijos saugumo vadybos sistema (ISMS) apibrėžia, kaip organizacijos nustato, vertina ir valdo informacijos saugumo rizikas. Ji reikalauja vadovybės įsitraukimo, dokumentuotų kontrolės tikslų, struktūruoto rizikos valdymo ir nuolatinio tobulinimo visoje informacijos saugumo programoje.
Šie reikalavimai nebuvo sukurti kaip dokumentacijos pildymo užduotys. Jie buvo sukurti kaip valdymo principai.
Vadovybės įsitraukimas reiškia, kad vadovybė aktyviai ir sąmoningai prisiima atsakomybę už informacijos saugumo riziką, jos nedeleguoja visiškai techninėms komandoms ir kasmet ją peržiūri. Dokumentuoti kontrolės tikslai reiškia, kad organizacija priėmė aiškius sprendimus, kurias rizikas reikia valdyti, kurias – priimti, o kurias – perkelti, ir kad šie sprendimai peržiūrimi, kai keičiasi veiklos sąlygos. Nuolatinis tobulinimas reiškia, kad ISMS laikui bėgant tampa veiksmingesnė, sistemingai mokantis iš incidentų, audito išvadų ir kontrolės stebėjimo rezultatų.
Šis standartas buvo parengtas remiantis prielaida, kad informacinio saugumo rizika yra dinamiška. Grėsmės kinta. Keičiasi organizacinės struktūros. Technologinė aplinka nuolat keičiasi. Įvairiose jurisdikcijose atsiranda naujų reguliavimo įsipareigojimų.
Statinė dokumentacija nepadeda valdyti dinaminės rizikos.
Saugumo valdymas priklauso nuo rizikos valdymo modelio, kuris nuolat prisitaiko prie veiklos realybės, o ne nuo modelio, atspindinčio vieno konkretaus momento vertinimą, atliekamą tarp audito ciklų.
Sužinokite, kaip nesudėtingai sukurti reikalavimus atitinkančią ir veiksmingą sistemą
Daugelyje sertifikuotų organizacijų atotrūkis tarp dokumentacijos ir praktinio įgyvendinimo pasireiškia nuspėjamais būdais.
Rizikos registrai peržiūrimi kasmet, o ne nuolat atnaujinami, atsižvelgiant į kintančią grėsmių aplinką ir veiklos kontekstą. Kontrolės stebėjimas atliekamas rankiniu būdu asmenų, kurių gebėjimas užtikrinti nuoseklią priežiūrą sudėtingoje ir nuolat besiplečiančioje technologijų aplinkoje yra struktūriškai ribotas. Incidentų sekimas vykdomas sistemose, kurios yra atskirtos nuo valdymo procesų, skirtų imtis atitinkamų veiksmų.
Kai saugumo incidentai nėra susieti su sistemingomis rizikos mažinimo priemonėmis, įgyvendinamomis per CAPA valdymą, organizacija sprendžia atskirus įvykius, tačiau nepašalina sąlygų, dėl kurių jie atsirado. Tos pačios pažeidžiamumo klasės vėl pasikartoja kitomis techninėmis aplinkybėmis. Organizacija investuoja į reagavimą į incidentus, o pagrindinis valdymo modelis toliau sukuria sąlygas, dėl kurių toks reagavimas tampa būtinas.
Kai per audito valdymą nustatyti audito rezultatai nekeičia rizikos prioritetų, ISMS tampa labiau aprašomojo, o ne prevencinio pobūdžio. Audito programos patvirtina, kad kontrolės priemonės egzistuoja. Jos nepatvirtina, kad tos kontrolės priemonės atitinka esamą riziką. Vadovybė gauna įrodymus apie atitikties užtikrinimo veiklą, o ne informaciją apie tai, ar saugumo būklė iš tiesų gerėja.
Organizacijoms plečiantis į įvairias vietoves, debesų aplinkas, integruojantis trečiųjų šalių sprendimus ir vykdant tarptautinę veiklą, šis suskaidymas dar labiau didėja. Kiekviena nauja veiklos aplinka sukelia naujų grėsmių. Nesant struktūrinės integracijos tarp rizikos vertinimo, kontrolės stebėjimo, incidentų valdymo ir korekcinių valdymo priemonių, visos įmonės masto saugumo matomumą tampa vis sunkiau užtikrinti vien tik koordinavimo priemonėmis.
Saugumo brandai pasiekti būtina integracija visais valdymo lygmenimis. Įmonės mastu tokia integracija nėra tik operacinis pasirinkimas. Tai yra struktūrinis reikalavimas.
Apie atitiktį ISO 27001 standartui dažnai kalbama visų pirma dokumentacijos išsamumo požiūriu. Tvarkomi rizikos registrai. Pildomi kontrolės priedai. Peržiūrimos ir tvirtinamos politikos. Auditas išlaikomas.
Tai sukuria tai, ką geriausiai galima apibūdinti kaip atitikties iliuziją.
Yra klaidingas įsitikinimas, kad sertifikavimas patvirtina saugumo brandą. Iš tikrųjų sertifikatas patvirtina tik tai, kad tam tikru laiko momentu egzistavo sistema ir ji buvo tinkamai dokumentuota. Jis nepatvirtina, kad tos sistemos kontrolės priemonės išlieka veiksmingos, kai keičiasi veiklos aplinka. Jis nepatvirtina, kad įgyvendinimo metu nustatyti rizikos veiksniai yra dinamiškai valdomi, kai atsiranda naujos grėsmės. Jis nepatvirtina, kad organizacija rytoj veiksmingai sureaguotų į reikšmingą saugumo incidentą.
Ši iliuzija tampa pavojinga, kai dėl jos sumažėja nuolatinio investavimo į valdymą skubumas. Organizacijos, kurios sertifikavimą laiko saugumo brandos galutiniu tikslu, o ne pradžios tašku, po audito paprastai sumažina valdymo intensyvumą. Teisinių registrų atnaujinimas sulėtėja. Rizikos pakartotinis vertinimas atidedamas. Kontrolės stebėsena tampa mažiau griežta. ISMS toliau generuoja dokumentaciją, o operacinis saugumo pažeidžiamumas tyliai didėja.
Subrendusi ISMS veikia kitaip. Ji veikia integruotoje veiklos struktūroje, kurioje rizika, auditas ir korekcinės priemonės nuolat vieni kitus papildo. Nauja informacija apie grėsmes atnaujina rizikos prioritetizavimą. Audito išvados skatina struktūriškai iš naujo įvertinti susijusias kontrolės priemones. Korekcinės priemonės patvirtina veiksmingumą laikui bėgant, o ne tik administracinį užbaigimą. Saugumo būklė tampa vis stipresnė, o ne vis labiau nutolsta nuo sąlygų, kuriomis ji buvo sertifikuota.
Sertifikavimas patvirtina, kad sistema egzistuoja. Integruotas įgyvendinimas leidžia nustatyti, ar ta sistema iš tiesų užtikrina saugumo rizikos valdymą.
Perėjimas nuo atitikties sertifikavimui prie tikro saugumo valdymo reikalauja struktūrinių pokyčių, susijusių su tuo, kaip organizacija susieja savo ISMS komponentus.
Rizikos vertinimas turi būti tiesiogiai susietas su kontrolės stebėsena, kad nustatyti pažeidimai virstų aktyviai palaikomomis apsaugos priemonėmis, o ne tik dokumentais pagrįstais sprendimais dėl pažeidimų šalinimo. Incidentų valdymas turi būti susietas su korekcinių veiksmų procesais, kad saugumo įvykiai taptų struktūruotu operaciniu mokymusi, o ne tik uždarytais užklausimais. Audito programos turi būti susietos su rizikos prioritetizavimu, kad audito išvados darytų įtaką valdymo modeliui, o ne tik patvirtintų jo egzistavimą.
Kai audito valdymas, CAPA valdymas, rizikos valdymas ir dokumentų kontrolė veikia vienoje tarpusavyje susietos valdymo architektūros rėmuose, ISMS nustoja veikti kaip nepriklausomų atitikties procesų rinkinys. Ji tampa vienu suderintu saugumo valdymo modeliu, kuriame informacija nuolat cirkuliuoja tarp valdymo lygmenų.
Tai keičia ISMS teikiamas galimybes. Organizacijos įgyja galimybę nustatyti struktūrinius saugumo pažeidimų modelius visoje savo veiklos aplinkoje, o ne tik reaguoti į incidentus. Kontrolės spragos tampa matomos dar prieš jas išnaudojant, o ne po to. Korekcinių veiksmų veiksmingumas patvirtinamas laikui bėgant, o ne laikomas savaime suprantamu užbaigus procesą.
Taip užtikrinamas saugumo valdymas, kuris nuolat stiprina atitiktį, o ne tik epizodiškai ją įrodo.
Visose sektoriuose žymiai didėja valdybos atsakomybė už kibernetines rizikas. Daugelio jurisdikcijų reguliavimo institucijos plečia vadovų asmeninę atsakomybę už informacinio saugumo valdymo trūkumus. Instituciniai investuotojai įtraukia kibernetinio saugumo būklę į įmonių rizikos vertinimus. Reguliuojamų pramonės šakų klientai reikalauja įrodomų saugumo valdymo gebėjimų, o ne vien tik sertifikavimo statuso.
Dėl to valdymo reikalavimai tampa žymiai griežtesni.
Vadovams būtina turėti aiškų vaizdą apie rizikos tendencijas, kontrolės spragas ir tobulinimo veiksmingumą. Jiems reikia suprasti, kuriose srityse organizacijos saugumo padėtis stiprėja, o kuriose ji tebėra pažeidžiama. Jiems reikia priimti pagrįstus sprendimus dėl išteklių paskirstymo, remdamiesi esama rizikos situacija, o ne ankstesne atitikties užtikrinimo veikla.
Kai saugumo valdymas vykdomas izoliuotai, vadovybės priežiūra tampa struktūriškai suskaidyta. Informacija pasiekia vadovybę kaip rankiniu būdu surinktos santraukos, parengtos remiantis tarpusavyje nesusijusiomis sistemomis. Incidentų modeliai nesusieti su duomenimis apie kontrolės veiksmingumą. Audito išvados nesusietos su rizikos prioritetizavimo tendencijomis. Vadovybės peržiūroje pateikiamas vaizdas atspindi jau užbaigtą veiklą, o ne esamą operacinę riziką.
Integruotas valdymas iš esmės keičia šią dinamiką. Kai rizikos vertinimas, kontrolės stebėsena, incidentų valdymas ir korekcinės priemonės veikia vienoje tarpusavyje susietos valdymo architektūros rėmuose, vadovybė įgyja nuolatinį įžvalgumą į saugumo būklę visoje įmonėje. Ataskaitos valdybai grindžiamos struktūriniais duomenimis, o ne vienkartinėmis momentinėmis nuotraukomis. Vadovybės atskaitomybė įgyja praktinę reikšmę, nes ją pagrindžianti informacija yra patikima, aktuali ir susieta.
Tuomet informacinis saugumas nustoja būti technine sritimi, valdoma žemiau valdymo lygio ribos. Jis tampa įmonės rizikos valdymo dalimi, matoma vadovų lygmeniu ir integruota į strateginį sprendimų priėmimą taip pat, kaip valdomos finansinės, operacinės ir reguliavimo rizikos.
Ne. Sertifikavimas patvirtina, kad informacijos saugumo valdymo sistema tam tikru metu atitiko standarto reikalavimus. Jis nepatvirtina, kad kontrolės priemonės išlieka veiksmingos kintant grėsmių aplinkai ir veiklos aplinkai, taip pat nepanaikina nuolatinės saugumo rizikos. Nuolatinė saugumo branda priklauso nuo dinamiško rizikos valdymo, integruoto valdymo ir nuolatinio tobulinimo, o ne nuo periodinio sertifikavimo.
Informacijos saugumo valdymo sistema, sukurta pagal ISO 27001 reikalavimus. Ji apibrėžia, kaip organizacija nustato, įvertina ir šalina informacijos saugumo riziką, derindama vadovų atsakomybę, dokumentais patvirtintas kontrolės priemones, veiklos vykdymą ir nuolatinį tobulinimą. Jos veiksmingumas priklauso nuo to, kaip gerai struktūriškai integruoti jos komponentai, o ne nuo to, kaip išsamiai jie dokumentuoti.
Integruojant rizikos valdymą, audito procesus, taisomųjų veiksmų darbo eigą ir kontrolės stebėseną į vieną sujungtą operacinį pagrindą, kad rizikos signalai nuolat judėtų per valdymo lygmenis, o ne liktų izoliuoti atskiruose procesuose. Taip ISVS iš periodinės atitikties sistemos tampa nuolat veikiančiu saugumo valdymo modeliu.
Kadangi rizikos vertinimas ir korekcinis valdymas tebėra fragmentiški. Kai incidentai sprendžiami izoliuotai, nesusiejant jų su struktūriniu pakartotiniu rizikos vertinimu, kai audito išvados neatnaujina kontrolės prioritetų ir kai taisomaisiais veiksmais patvirtinamas administracinis užbaigimas, o ne patvirtinamas ilgalaikis veiksmingumas, išlieka sąlygos, dėl kurių kyla saugumo incidentai. Norint nutraukti šį ciklą ir laikui bėgant sukurti vis stipresnę saugumo poziciją, būtina struktūrinė valdymo lygmenų integracija.
Prisijunkite prie šimtų organizacijų, kurios, naudodamosi "Bizzmine", pakelia atitikties ir saugos reikalavimus į aukštesnį lygį.
