Sur cette voie, nous avons dû résoudre de nombreuses questions que nous n'avions jamais rencontrées auparavant:
Choisir un outil pour travailler sur une bibliothèque de politiques
La première question (en apparence très simple) à laquelle nous nous sommes confrontés est: où créer et comment stocker tous les documents nécessaires du système de gestion de la sécurité de l'information? Il était extrêmement important pour nous de préserver la gestion des versions des documents et de pouvoir «annuler» la version de la politique de plusieurs révisions. Après avoir passé en revue les offres du marché, nous nous sommes installés sur le wiki Confluence - et nous l'utilisons encore aujourd'hui.
Nous pourrions utiliser git comme système de contrôle de version (contrôle de version), mais pour la commodité des utilisateurs, nous avons choisi une solution de portail (Confluence). Nous avons réussi à nous limiter à la version gratuite (jusqu'à 10 utilisateurs autorisés): nous n'en avions plus besoin, car les non autorisés pouvaient voir la bibliothèque.
Préparer un plan de mise en œuvre
Ici, nous n'avons appliqué aucune méthode créative - nous avons simplement demandé à notre consultant une liste des politiques nécessaires, désigné des personnes responsables pour leur rédaction et leur approbation, fixé les dates clés et tout réalisé sous la forme d'un diagramme de Gantt (qui a également été téléchargé sur Confluence).
Évaluation des risques de l'entreprise
Évidemment, pour choisir les moyens de protection, il fallait évaluer les risques (afin de ne dépenser les ressources que là où c'est vraiment nécessaire). Pour ce faire, nous avons créé une liste des actifs de l'entreprise que nous prévoyons de protéger - elle comprenait à la fois les actifs physiques (postes de travail, serveurs, documents papier, etc.) et immatériels (informations client sous forme électronique, mots de passe, etc.) ).
Avec l'aide d'une équipe d'experts, chaque actif s'est vu attribuer une valeur spécifique. De plus, nous avons lié à chaque actif un ou plusieurs risques auxquels cet actif peut être exposé (par exemple, des documents papier peuvent être volés, détruits, etc.). Ensuite, nous avons évalué l'importance de chaque risque comme le produit de deux paramètres: la probabilité du risque et l'importance des conséquences de la réalisation du risque.
Une fois les risques classés en groupes, nous avons compris avec lesquels nous devions travailler en premier lieu:
1. Lacunes dans les connaissances des employés
Le risque le plus courant était le facteur humain. De plus, nous avons été certifiés pour la première fois, nous avions donc une question d'enseigner les bases de la sécurité de l'information. Ayant déjà développé le programme, nous avons été confrontés au problème de l'automatisation de ce processus et du contrôle des connaissances résiduelles. En conséquence, nous avons commencé à utiliser le système de test que nous avons intégré à notre portail d'entreprise.
2. Manque de puissance informatique de secours
Ce problème exigeait des ressources financières et humaines importantes, il était donc erroné de le laisser à la fin. Nous avons sélectionné un site pour sauvegarder nos principaux services: dans un premier temps, nous avons utilisé l'IaaS (infrastructure as a service), ce qui nous a permis de mettre en place rapidement et budgétiser la réserve des principaux services de l'entreprise; plus tard, nous avons acheté du matériel supplémentaire et mis en place une réserve dans un centre de données séparé (colocation). Par la suite, nous avons abandonné la solution «cloud» au profit du centre de données en raison de la grande quantité de données.
3. Contrôle des "super-utilisateurs", ainsi que de ceux qui travaillent avec des informations "spéciales et sensibles"
En d'autres termes, nous devions établir un contrôle sur les utilisateurs qui ont un accès étendu aux informations confidentielles. Nous avons résolu ce problème à l'aide d'un système DLP. Nous avons choisi le logiciel domestique StaffCop en raison de son prix raisonnable et de son bon support technique.
Rédaction de politiques
Ici, nous avons connecté toutes les ressources possibles:
- a utilisé les politiques d'autres entreprises qui ont été trouvées dans le domaine public;En fin de compte, c'est le troisième (chemin le plus difficile) qui a le mieux fonctionné. Cela a pris beaucoup de temps, mais à la fin, nous avons reçu des documents bien rédigés, spécifiquement pour notre entreprise. Donc, à la sortie, nous avons obtenu 36 politiques de base du système de gestion de la sécurité de l'information .
- demandé des exemples de politiques à notre consultant en implémentation;
- rédigé les textes des politiques de manière indépendante, sur la base des exigences de la norme.
Répartition des rôles
De toute évidence, toutes ces politiques n'étaient pas vraiment nécessaires pour nos employés dans leur travail quotidien. Afin de ne pas les forcer à trop lire, nous avons fait ce qui suit: assigner à chaque employé un ou plusieurs rôles dans le SMSI. Il y en avait 5 au total:
absolument tous les employés avaient au moins un rôle - «utilisateur».
Dans le passeport de chaque rôle, nous avons prescrit les responsabilités correspondantes dans le domaine de la sécurité de l'information avec la pièce jointe d'une liste de politiques qu'un employé ayant un rôle particulier devait respecter. De plus, pour plus de commodité, nous avons créé une structure organisationnelle graphique de l'entreprise indiquant les rôles de chaque employé.
Impliquer des collègues
Outre le chef de projet et le responsable du département IT / SI, le COO de l'entreprise a été impliqué dans l'évaluation des risques et la description des besoins des parties prenantes. Il a fallu une implication importante de la responsable du département RH - elle devait décrire dans la politique le cycle de vie complet de l'employé: de la candidature à un poste à la période après son licenciement. Heureusement, tous nos collègues ont compris l'importance de la certification et sont allés nous rencontrer.
Aspects techniques
Au cours du processus de préparation, nous avons réalisé que pour répondre aux exigences de la norme, nous avons au moins besoin des éléments suivants:
Dans le futur, bien d'autres choses ont été ajoutées à ces deux points: l'introduction d'un système DLP, le lancement d'un centre de données de sauvegarde, l'introduction d'une autorisation à deux facteurs, etc.
- Déplacer les serveurs vers un centre de données externe;
- Equiper tous les bureaux d'ACS (système de contrôle et de gestion d'accès).
Ainsi, pour adapter les exigences de la norme à notre entreprise, nous avons dû effectuer un travail assez important.
Dans les matériaux précédents:
5 étapes d'inévitabilité de l'adoption de la certification ISO / IEC 27001. Déni : idées fausses sur la certification ISO 27001: 2013, désirabilité de la certification /
5 étapes d'inévitabilité de la certification ISO / IEC 27001. Colère : par où commencer? Donnée initiale. Dépenses. Choisir un fournisseur.