Як протидіяти кіберзагрозам. Наш досвід отримання сертифіката ISO/IEC 27001

💡 Усі статті, обговорення, новини про оборонні технології — в одному місці. Приєднуйтесь до Defence tech спільноти!

Вітаю! Я Альона Жужа, радниця з ІТ в Державному операторі тилу (DOT). Вже рік, як ми спільно з командою цифровізуємо процеси у сфері нелетальних оборонних закупівель: пально-мастильні матеріали, речове забезпечення та продукти харчування.

Зважаючи на чутливість інформації, якою оперує DOT, особливу увагу ми приділяємо захисту даних та протидії кіберзагрозам. Зокрема, наприкінці минулого року ми отримали сертифікат відповідності міжнародному стандарту безпеки ISO/IEC 27001.

Його наявність також стане в нагоді й бізнесу — від ІТ-компаній до банків та E-commerce, що планують працювати за кордоном. Особливо в країнах ЄС, оскільки він значно спрощує процес виходу на нові ринки.

Так що ж це за сертифікат, що він дає та як його отримати — читайте в матеріалі.

Кібератаки стають частішими, масштабнішими та, на жаль, успішними. Історії з Київстар і МХП, видалення даних з реєстрів Мін’юсту — це лише частина гучних кейсів, що сколихнули українське суспільство останнім часом. Ворог інтенсифікує атаки на вітчизняну інформаційну інфраструктуру як приватних, так і державних організацій. І це не кажучи вже про сотні, якщо не тисячі хакерських груп, що діють виключно в комерційних інтересах.

Сьогодні, коли багато операційних процесів тісно пов’язані з ІТ-системами, нехтування кібербезпекою несе не тільки ризики витоку важливої інформації, але й прямі фінансові втрати. IBM оцінює середню глобальну вартість витоку у 2024 році на рівні 4,88 млн доларів.

Існують різні способи протидії кіберзагрозам — одні більш точкові, інші загальні. На досвіді DOT можу сказати, що найкраще себе показують саме комплексні підходи. Адже впровадженням виключно технічних рішень ви не зможете побудувати ефективний захист. Тут важлива їхня операціоналізація та інтеграція в усі процеси організації. У цьому якраз і допоможе ISO/IEC 27001.

Про сертифікат

ISO/IEC 27001 — міжнародний стандарт, який визначає вимоги до системи управління інформаційною безпекою (СУІБ). Він комплексно аналізує процес захисту даних: людей, політики, технології та їхню взаємодію. Стандарт допомагає створити всеохопну інфраструктуру з кіберзахисту в процесі сертифікації та її подальший розвиток. Тобто це не тільки інструмент оцінки, але й інструмент побудови та підтримки СУІБ.

Серед основних переваг:

• Оперативне реагування на мінливі ризики: передбачає впровадження відповідних технічних рішень і регулярне оновлення політик інформаційної безпеки відповідно до актуальних кіберзагроз.
• Підготовка людей, процесів і технологій до протидії інформаційним загрозам: кібербезпека залежить не тільки від програмного забезпечення, але й від поведінки працівників та їхньої взаємодії. Наявність сертифіката підтверджує, що всі учасники пройшли відповідне навчання.
• Комплексність: СУІБ охоплює не лише захист електронних інформаційних активів, а й фізичні заходи безпеки, взаємодію з третіми сторонами, юридичні аспекти.

Підготовка до сертифікації

Першим кроком є створення окремого комітету з СУІБ, до якого мають увійти керівники основних департаментів/відділів. Це дозволяє налаштувати пряму взаємодію між функцією інформаційної безпеки та вищим керівництвом організації. А у випадках виявлення критичних проблем з кібербезпеки — залучати відповідні підрозділи для їхнього вирішення.

На засіданнях комітету ухвалюються рішення щодо виділення коштів і ресурсів для мінімізації ідентифікованих ризиків інформаційної безпеки:

16-17 травня, Київ. Квитки тут!👇

• розширення штату працівників;
• впровадження нових систем і процесів;
• поглиблення взаємодії між бізнес-підрозділами.

Окрім цього він визначає межі системи управління інформаційною безпекою, та на які бізнес-процеси вона поширюється. Це дозволяє побудувати ефективну систему управління з визначенням контексту діяльності організації, списком зацікавлених внутрішніх та зовнішніх сторін, вимогами до них в рамках СУІБ.

Особливу увагу варто приділити обізнаності персоналу, адже найчастіше кібератаки відбуваються саме через людський фактор. Витік паролів, фішинг, збереження інформації на незахищених носіях. У 2022 році скомпрометовані облікові дані стали найпоширенішим початковим вектором кібератак і спричинили 19% усіх витоків.

Звідси одна з важливих вимог — регулярне навчання людей для підвищення їхньої обізнаності. Наприклад, одна з метрик, яку оцінює сертифікат, передбачає проведення хоча б для 80% персоналу відповідного навчання не рідше разу на рік.

Також раджу провести зовнішній pentest. Це дозволить виявити наявні та потенційні вразливості, та, що не менш важливо, подивитись на власну систему захисту зі сторони.

Загалом визначені цілі для отримання сертифіката мають бути вимірюваними та обмеженими в часі. Для цього потрібно створити «Положення щодо застосовності» — документ, де визначається, які контрольні заходи стандарту будуть застосовані до вашої організації.

Останнім кроком перед початком сертифікації є проведення внутрішнього аудиту. Він дасть змогу підготуватися до процесу, дослідивши ступінь відповідності системи управління інформаційної безпеки вашої організації вимогам стандарту. Його можна провести як із залученням третьої сторони, так і власними силами.

Другий варіант передбачає створення окремої служби, до якої увійдуть працівники з відповідними компетенціями. Щоб забезпечити об’єктивну оцінку, вона має підпорядковуватись безпосередньо вищому керівництву організації.

Як отримати сертифікат

Після підготовки та проходження внутрішнього аудиту можна переходити до процесу сертифікації. Заявка подається через акредитовану сертифікаційну компанію. З аудитором можна домовитись про дати перевірки ще на етапі тендеру. Багато компаній також пропонують діагностичну перевірку, яка не є обов’язковою, але я б радила її провести. Інколи вона допомагає знайти прогалини, які не побачив внутрішній аудит.

Аудитор перевірятиме практичне впровадження СУІБ, технічні засоби безпеки (Backup даних, контроль доступу, управління інцидентами тощо), може проводити інтерв’ю зі співробітниками. Для отримання сертифіката не обов’язково впроваджувати всі контрольні заходи зі стандарту, а лише застосовані до вашої організації. Саме їх і оцінюватиме аудитор.

Після цього він готує та надає на погодження звіт органу акредитації. Може статися ситуація, коли аудитор оцінить результати позитивно, але орган акредитації не підтримує це рішення. Не хвилюйтесь — у такому випадку дається час на виправлення невідповідностей.

Сертифікат ISO/IEC 27001 видається терміном на 3 роки, проте кожен рік потрібно пройти наглядовий аудит. Зазвичай він обмежується перевіркою лише визначених доменів стандарту — тобто перевірятиметься не вся система, а її окремі складові.

Щодо тривалості процесу сертифікації, то все залежить від того, як організація побудувала СУІБ у себе. В DOT підготовка тривала 9 місяців, але тут варто врахувати, що сам Державний оператор тилу розпочав свою діяльність лише в грудні 2023 року. Тобто підготовка відбувалась паралельно з інституалізацією агенції.

А от сам сертифікаційний аудит пройшов доволі швидко та зайняв лише два тижні. Плюс ще один тиждень на випуск фізичного сертифіката. Але повторюсь — все залежить від того, як ви побудуєте СУІБ перед сертифікацією. У вас це може бути як швидше, так і довше.

Підбиваємо підсумки

Резюмуючи процес сертифікації ISO/IEC 27001, коротко пройдемось основними етапами:

1. Створення комітету СУІБ з включенням до нього керівників структурних департаментів/відділів організації. Комітет аналізує всю структуру компанії на предмет безпеки, знаходить слабкі сторони та пропонує шляхи для їх вирішення. Паралельно проводить роботу внутрішня команда з ІТ-спеціалістів, яка відповідатиме за процес сертифікації.
2. Команда готує план дій, так зване «Положення щодо застосовності». Цей документ визначає, які контрольні заходи стандарту будуть застосовані до вашої організації — саме їх перевірятимуть аудитори під час сертифікації.
3. Проведення внутрішнього аудиту та, в ідеалі, зовнішнього pentest. Це необхідно для фінального чекапу системи безпеки. Дозволяє вчасно виявити та усунути потенційні вразливості перед початком сертифікації.
4. Безпосередньо сертифікація — аудит акредитованою сертифікаційною компанією. Якщо під час нього будуть знайдені мінорні невідповідності, аудитор надасть змогу їх оперативно виправити. Саме за результатами цього процесу готується висновок про відповідність, який надалі передається органу сертифікації. Якщо все пройшло добре — вже через тиждень ви отримаєте сертифікат ISO/IEC 27001 на руки.

Від себе додам, що сертифікат не є чарівною паличкою, яка захистить вас від абсолютно всіх загроз. Проте він є зручним і дієвим інструментом для побудови та розвитку СУІБ вашої організації, який значно спрощує життя.

З досвіду роботи в DOT я б виокремила кілька додаткових моментів, які також будуть корисними всім колегам, які відповідають за інформаційний захист або працюють в цьому напрямку:

• Візібіліті — ключ до всього, ви маєте розуміти, що ви захищаєте. Важливо бачити процес загалом та розбивати його на конкретні ітерації.
• Проактивність у залученні керівництва, оскільки воно відповідає за забезпечення інформаційної гігієни у власному відділу. Окрім того, коли керівництво добре розуміє ризики та потенційні втрати від кібератак, воно буде активніше йти вам на зустріч.
• Робота за підходом Plan-Do-Check-Act — кіберзагрози не є статичними, тож регулярно оцінюйте власну інформаційну безпеку. Вивчайте досвід вітчизняних та закордонних компаній, разом з командою розбирайте такі історії, регулярно проводьте внутрішній аналіз безпеки ваших систем.