Nesse caminho, tivemos que resolver muitas perguntas que nunca havíamos encontrado antes:
Escolhendo uma ferramenta para trabalhar em uma biblioteca de políticas
A primeira questão (aparentemente muito simples) que enfrentamos é onde criar e como armazenar todos os documentos necessários do sistema de gerenciamento de segurança da informação? Foi extremamente importante para nós preservar a versão dos documentos e poder "reverter" a versão da política várias revisões. Depois de revisar as ofertas no mercado, decidimos pelo wiki do Confluence - e o usamos até hoje.
Poderíamos usar o git como um sistema de controle de versão (controle de versão), mas, para conveniência dos usuários, escolhemos uma solução de portal (Confluence). Conseguimos nos limitar à versão gratuita (até 10 usuários autorizados): não precisávamos mais, pois usuários não autorizados podiam visualizar a biblioteca.
Preparando um plano de implementação
Aqui, não aplicamos nenhum método criativo - simplesmente solicitamos ao consultor uma lista de políticas necessárias, designamos pessoas responsáveis por sua redação e aprovação, definimos datas importantes e fizemos tudo na forma de um gráfico de Gantt (que também foi carregado no Confluence).
Avaliação de risco da empresa
Obviamente, para escolher os meios de proteção, precisávamos avaliar os riscos (a fim de gastar recursos somente onde é realmente necessário). Para isso, criamos uma lista de ativos da empresa que planejamos proteger - incluindo ativos físicos (estações de trabalho, servidores, documentos em papel etc.) e intangíveis (informações do cliente em formato eletrônico, senhas etc.) )
Com a ajuda de uma equipe de especialistas, cada ativo recebeu um valor específico. Além disso, vinculamos a cada ativo um ou vários riscos aos quais esse ativo pode ser exposto (por exemplo, documentos em papel podem ser roubados, destruídos etc.). Em seguida, avaliamos a significância de cada risco como produto de dois parâmetros: a probabilidade do risco e a significância das consequências da realização do risco.
Depois que os riscos foram categorizados em grupos, entendemos com quais deles deveríamos trabalhar primeiro:
1. Lacunas no conhecimento dos funcionários
O risco mais comum era o fator humano. Além disso, fomos certificados pela primeira vez, por isso tínhamos a questão de ensinar os conceitos básicos de segurança da informação. Já tendo desenvolvido o programa, enfrentamos o problema de automatizar esse processo e controlar o conhecimento residual. Como resultado, começamos a usar o sistema de testes que construímos em nosso portal corporativo.
2. Falta de poder de computação de backup
Esse problema exigia grandes recursos financeiros e humanos, por isso era errado deixá-lo no final. Selecionamos um site para fazer backup de nossos principais serviços: no estágio inicial, usamos o IaaS (infraestrutura como serviço), o que nos permitiu agilizar e orçar a criação da reserva dos principais serviços da empresa; posteriormente compramos equipamentos adicionais e montamos uma reserva em um data center separado (co-localização). Posteriormente, abandonamos a solução "nuvem" em favor do data center devido à grande quantidade de dados.
3. Controle sobre "superusuários", bem como sobre aqueles que trabalham com informações "especiais e sensíveis"
Em outras palavras, precisamos estabelecer controle sobre os usuários que têm amplo acesso a informações confidenciais. Resolvemos esse problema com a ajuda de um sistema DLP. Escolhemos o software doméstico StaffCop devido ao seu preço razoável e bom suporte técnico.
Políticas de escrita
Aqui, conectamos todos os recursos possíveis:
- usou as políticas de outras empresas encontradas em domínio público;No final, foi o terceiro (caminho mais difícil) que funcionou melhor. Demorou bastante tempo, mas no final recebemos documentos bem elaborados, especificamente para nossa empresa. Portanto, na saída, temos 36 políticas básicas do Sistema de Gerenciamento de Segurança da Informação .
- solicitou exemplos de políticas ao nosso consultor de implementação;
- compôs os textos das políticas de forma independente, com base nos requisitos da norma.
Distribuição de papéis
Obviamente, nem todas essas políticas eram realmente necessárias para nossos funcionários no trabalho diário. Para não forçá-los a ler demais, fizemos o seguinte: atribuímos a cada funcionário uma ou mais funções no SGSI. Havia cinco deles no total:
Absolutamente todos os funcionários tinham pelo menos uma função - "usuário".
No passaporte de cada função, prescrevemos as responsabilidades correspondentes no campo da segurança da informação com o anexo de uma lista de políticas que um funcionário com uma função específica tinha que cumprir. Além disso, por conveniência, criamos uma estrutura organizacional gráfica da empresa, indicando as funções de cada funcionário nela.
Envolvendo colegas
Além do gerente de projeto e do chefe do departamento de TI / SI, o COO da empresa estava envolvido na avaliação dos riscos e na descrição dos requisitos das partes interessadas. Foi necessário um envolvimento significativo do departamento de RH - ela precisava descrever na política o ciclo de vida completo do funcionário: desde a solicitação de vaga até o período após a sua demissão. Felizmente, todos os nossos colegas entenderam a importância da certificação e foram nos encontrar.
Aspectos tecnicos
Durante o processo de preparação, percebemos que, para atender aos requisitos da norma, precisamos pelo menos do seguinte:
No futuro, muitas outras coisas foram adicionadas a esses dois pontos: a introdução de um sistema DLP, o lançamento de um data center de backup, a introdução de autorização de dois fatores, etc.
- Mover servidores para um data center externo;
- Equipe todos os escritórios com ACS (controle de acesso e sistema de gerenciamento).
Assim, para adaptar os requisitos do padrão à nossa empresa, tivemos que fazer uma quantidade significativa de trabalho.
Em materiais anteriores:
5 estágios de inevitabilidade da adoção da certificação ISO / IEC 27001. Negação : conceitos errôneos sobre a certificação ISO 27001: 2013, conveniência de certificação /
5 estágios de inevitabilidade da certificação ISO / IEC 27001. Raiva : Por onde começar? Dados iniciais. Despesas. Escolhendo um provedor.