Що повинні знати фахівці з кібербезпеки про ISO 27001

Вступ
Якщо ви фахівець з кібербезпеки або займаєтесь технічною безпекою та хочете отримати сертифікат ISO 27001, то це все, що вам потрібно знати. Це факти, які вам ніхто інший не розповість. Без маркетингу, без зайвих слів, без зайвих деталей чи додавання інформації, ми одразу перейдемо до суті та реальності стандарту ISO 27001. Готові?

ISO 27001 не є стандартом інформаційної безпеки
Як фахівець з кібербезпеки, ви будете зобов'язані захистити свою організацію від загроз і матимете глибоке розуміння кібербезпеки та інформаційної безпеки. Вас може шокувати те, що ISO 27001  не є  стандартом інформаційної безпеки. ISO 27001 насправді є  стандартом управління інформаційною безпекою.
Більш реалістичним підсумком було б те, що ISO 27001 є стандартом управління ризиками  інформаційної безпеки.
Якщо ви очікуєте, що цей стандарт підкаже вам, які заходи безпеки потрібно запровадити, встановить певні правила щодо того, що вам потрібно робити, і забезпечить вам більшу безпеку, то ви дуже помиляєтеся. Існують інші, кращі та більш підходящі стандарти для досягнення цієї мети.

Що таке ISO 27001?
ISO 27001 — це дуже проста та легка у впровадженні система управління.
Йдеться про управління, ризики та дотримання вимог, і це рівень, що знаходиться над кібербезпекою та інформаційною безпекою. Як наслідок, він має певну роль у забезпеченні дотримання правових та нормативних вимог.
Цей стандарт визначає, як ви керуєте інформаційною безпекою у вашій організації. В його основі лежить управління ризиками , і саме тут все стає цікавим, а для вас, можливо, трохи незручним.

Якщо ви керуєте інформаційною безпекою та керуєте ризиками, ви отримаєте сертифікат ISO 27001.

Зверніть увагу, що я жодного разу не посилався на жодні технічні вимоги, технічну безпеку, кібербезпеку чи операційну безпеку.
Щоб було зрозуміло, йдеться про управління інформаційною безпекою та управління ризиками.
Хоча особисто я ніколи б цього не рекомендував, цілком можливо мати неймовірно слабку кібербезпеку з мінімальними або відсутніми засобами контролю інформаційної безпеки та все одно пройти аудит і отримати сертифікат.

Дозвольте мені ще раз повторити, я б не радив цього. Але це можливо.

Що мінімально потрібно зробити?
Найменше, що вам потрібно зробити, це впровадити основні положення стандарту ISO 27001. Я навіть покажу вам, як це зробити, і надам покрокові інструкції в  довідковому посібнику ISO27001:2022.

Узагальнено Ви збираєтеся:
Визначте деякі ролі
Розподілити людей
Напишіть деякі правила
Здійснюйте управління ризиками
Провидить Аудит та аналіз себе
Постійно вдосконалюватися.

Кілька слів про управління ризиками
Давайте коротко розглянемо управління ризиками. Якщо ви працюєте в цій галузі, то, безсумнівно, ви зараз цим займаєтесь. Рівень формальності та глибина вашого занурення будуть різними, але вся кібербезпека більшою чи меншою мірою базується на управлінні ризиками.
Простіше кажучи, ми визначаємо, що може піти не так, і вживаємо заходів, щоб запобігти цьому.
Традиційний підхід полягає в тому, щоб братися за «очевидні речі». Йдеться про те, що ми знаємо, і те, що ми розуміємо. Цей підхід має своє місце.
Стандарт ISO 27001 допомагає вам ширше замислитися над ризиками, з якими ви можете зіткнутися, визначити їх пріоритети та управляти ними відповідно до рівня ризику, який вони становлять, а також бажань і потреб бізнесу.

Я не розумію – як я можу бути невпевненим і все одно сертифікуватися?
Відповідь проста: це стосується управління ризиками. Єдина вимога до вашої фактичної безпеки — це управління ризиками. Управління ризиками — це чудова річ, тому що вона дозволяє вам, заохочує вас і хоче, щоб ви впроваджували безпеку на рівні, який  вам підходить  і  пропорційний.
Ви визначаєте свої ризики та впроваджуєте необхідний рівень безпеки.

І знаєте що?
Якщо виявиться, що вам не потрібно або ви не хочете впроваджувати певні засоби безпеки, вам не потрібно цього робити. Ви можете просто прийняти ризик.
Тут, безумовно, є золота середина, але щоб відповісти на питання, який мінімальний рівень, без якого можна обійтися, і все одно «здати», відповідь напрочуд проста.

У мене вже є хороша безпека
Безсумнівно, ніхто не оскаржує ваші професійні якості. Це дуже допоможе вам у впровадженні заходів контролю, що зменшують ризики. Хоча інші можуть погодитися на ризик відсутності контролю або ж на впровадження, яке відповідає мінімальним вимогам інструкцій, але з тим, що ви сприймете як слабкість безпеки, ви ж навпаки, пройдете повз ці заходи контролю. Щойно у вас буде впроваджена базова система управління інформаційною безпекою.

ЗРОБИ САМ ISO 27001
Нарешті! Ви можете впровадити ISO 27001 самостійно, не витрачаючи ні копійки на консультантів чи програмне забезпечення.

В мене є найповніший інструментарій ISO 27001

Яких саме технічних заходів безпеки від мене вимагає стандарт ISO 27001?
Після того, як у вас впроваджена система управління, ви визначаєте її сферу застосування, ідентифікуєте ризики, а потім обираєте зі списку засобів контролю інформаційної безпеки ті, що зм'якшують наявні у вас ризики.
Стандарт досить чітко вказує на те, що цей список елементів керування є мінімальним, який ви повинні враховувати, і що у вас цілком може бути більше елементів керування або інші елементи керування, що також нормально.
Ці засоби контролю викладено в додатку, який називається ISO 27001 Додаток А. Це список із 93 елементів керування.
Насправді воно не говорить вам, що робити, а радше пропонує рекомендації, які ви можете врахувати. Інструкції щодо того, як це зробити.

Ці рекомендації викладено в іншому стандарті під назвою ISO 27002.
Щоб полегшити вам життя, у мене є довідник з окремих елементів контролю, який показує, що вам слід робити, що перевірятимуть аудитори та як пройти аудит. Якщо вас цікавить, Ви моежет звернутись до мене.

Тоді стандарт безглуздий?
Я розумію вашу точку зору, і вона не позбавлена ​​труднощів. Наскільки це безглуздо для вас, насправді залежить від вашого контексту. Давайте розглянемо.

Потреби клієнтів
Основним фокусом цього стандарту буде задоволення потреб клієнта та комерційна вигода. Він буде визначатися відділами маркетингу, продажів та/або вищим керівництвом.
Причина буде в тому, що якщо хтось не хоче мати з вами справу, якщо у вас цього немає, то у вас є вибір.
Бери та займайся бізнесом.
Або не розумієте цього та дозволяєте своєму бізнесу перейти до наступної можливості для клієнтів.
Що насправді говорить його наявність нашим клієнтам?
Коли ви отримуєте сертифікацію ISO 27001, це говорить вашим клієнтам лише про те, що ви керуєте інформаційною безпекою та керуєте своїми ризиками, і це було незалежно оцінено як правда.
Ось і все.
Реальність така, що будь-хто, хто займається тим, чим я заробляю на життя, звертатиметься до вас з подальшими питаннями, запитуватиме документи та проводитиме аудити, щоб оцінити фактичний рівень безпеки, який ви впровадили.
Ось тут і з'являєтеся ви, ваша пристрасть і засоби контролю, які ви маєте.
Ці анкети клієнтів ніколи не припиняться.

А як щодо інших стандартів?
Кожен стандарт існує для задоволення певної потреби, і якщо ми розуміємо цю потребу, то можемо зрозуміти його цінність. Щодо технічної безпеки існують такі стандарти, як NIST, Essential 8, Cyber ​​Essentials, PCI DSS і навіть анкета CSA Star. Хоча інші стандарти більше зосереджені на вимогах технічної безпеки, немає правильного чи неправильного підходу до цього питання.
Наявність інших стандартів призведе до перетину, що буде корисним для вас, зазвичай у сфері контролю. Можна стверджувати, що дотримання або використання цих стандартів призведе до успіху в тих сферах, де ви перетинаєтеся, та перевищить вимоги ISO 27001.

Чи варто мені хвилюватися через те, наскільки це важко?
Ні, бо це не складно. Це менеджмент, паперова робота, бюрократизм та все те, що ненавидить більшість фахівців з операційної безпеки.
Вони кричать – але це не зробить нас більш безпечними. Ніби це якесь одкровення і привід цього не робити.
І вони мають рацію. Це не зробить вас більш безпечними, якщо ви цього не хочете, але може. Це дійсно залежить від того, як ви до цього підійдете та який у вас спосіб мислення.

Як завжди, боріться у доброму бою!
Я, містер ISO 27001 Станіслав Бичков
Мій номер телефону: +380 50 384-21-76
stas@abcgroup.com.ua