Co to jest certyfikat ISO 27001 i dlaczego jest nam potrzebny

Podajemy szczegółowe informacje na temat procesu uzyskiwania certyfikatu ISO 27001, czyli co i jak było sprawdzane

Niedawno organizacja TÜV AUSTRIA potwierdziła, że system zarządzania bezpieczeństwem informacji, który stosujemy przy użyciu infrastruktury Kaspersky Security Network (KSN), spełnia standard ISO/IEC 27001:2013 w zakresie dostarczania szkodliwych i podejrzanych plików. Ponadto TÜV potwierdził bezpieczne przechowywanie i dostęp do tych plików w Kaspersky Lab Distributed File System (KLDFS). Dziś opiszemy szerzej proces uzyskiwania certyfikatu ISO/IEC 27001:2013 oraz zalety, jakie niesie ze sobą posiadanie go.

Co to jest ISO 27001?

ISO 27001 to międzynarodowy standard dotyczący wymagań w zakresie tworzenia, utrzymywania i rozwoju systemów zarządzania bezpieczeństwem informacji. Zasadniczo jest to zbiór najlepszych praktyk dotyczących sposobów zarządzania ochroną oraz gwarantujących klientom ochronę ich danych.

Aby przeprowadzić certyfikację, niezależny podmiot — w naszym przypadku TÜV AUSTRIA — wysyła do firmy audytorów, których głównym zadaniem jest sprawdzenie, czy procesy, które zapewniają cyberochronę, przestrzegają najlepszych praktyk. Podczas audytu oceniają oni procesy w różnych działach, np. kadrowym, IT, badań i rozwoju czy bezpieczeństwa, a także tworzą kompletny raport, który następnie analizują inni niezależni eksperci, aby potwierdzić bezstronność audytorów. Ostatecznie niezależna organizacja przyznaje certyfikat, który w naszym przypadku potwierdza, że system zarządzania bezpieczeństwem informacji spełnia najlepsze praktyki.

O czym świadczy certyfikat?

Naszych klientów interesuje głównie to, czy zapewniamy najwyższy możliwy poziom bezpieczeństwa dla procesów dostarczania szkodliwych i podejrzanych obiektów (plików) do dodatkowych automatycznych i ręcznych analiz przeprowadzanych przez naszych ekspertów, a także czy odpowiednio przechowujemy te obiekty. To centralny obszar działania każdej firmy antywirusowej. Dlatego postanowiliśmy postarać się o uzyskanie certyfikatu dla mechanizmu dostarczania dla szkodliwych i podejrzanych plików przy użyciu infrastruktury Kaspersky Security Network oraz ich bezpiecznego przechowywania w Kaspersky Lab Distributed File System. Jednak audytor nie ograniczał się jedynie do tego zakresu; w podobny sposób jest zorganizowanych wiele usług w firmie.

Na bezpieczeństwo każdego procesu ma wpływ wiele czynników, a systemy zarządzania bezpieczeństwem informacji pomagają w ich określeniu i zapewniają odpowiednią ochronę. Wiele pytań związanych z zarządzaniem cyberbezpieczeństwem można uznać za zasadne. Kto ma dostęp do systemów informacyjnych i najważniejszych danych? Jak przebiega proces zatrudniania takich osób? Jak wygląda praca z dokumentami i systemami informacyjnymi? W jaki sposób dział bezpieczeństwa unieważnia uprawnienia dostępu, gdy pracownik rozstaje się z firmą? Jaki jest poziom świadomości pracowników na temat możliwych cyberzagrożeń oraz jakie są stosowane środki ochrony przed nimi? Jak administratorzy traktują komputery, na których odbywają się najważniejsze operacje?

Ponadto system ochrony bierze pod uwagę nowe rodzaje zagrożeń oraz środki zapobiegania im, na przykład stosowanie ochrony przed atakami APT, eliminowanie możliwych zagrożeń wynikających z korzystania z nowych technologii, w tym wykorzystywanie algorytmów uczenia maszynowego.

Mając to wszystko na uwadze, audytorzy przeanalizowali dokumentację, porozmawiali z pracownikami z różnych działów i przeanalizowali aspekty techniczne i organizacyjne ochrony danych, takie jak proces rekrutacji, zwolnienia i szkolenia. Sprawdzili, w jaki sposób usługa IT dba o sieć firmową, a także odwiedzili nasze centra danych. Ponadto obserwowali pracę osób zatrudnionych, sprawdzali, czy pozostawiają oni wydrukowane dokumenty i nośniki wymienne bez nadzoru, czy blokują swój komputer, gdy odchodzą od biurka, co wyświetlają ich monitory i pulpity oraz jakich programów używają do pracy. Innymi słowy, przeanalizowali praktyki stosowane w całej firmie, zwracając szczególną uwagę na procesy weryfikacji systemu zarządzania bezpieczeństwem informacji: analizę bezpieczeństwa przez kierownictwo, zarządzanie ryzykiem, zarządzanie incydentami, działania korygujące, audyty, zwiększanie świadomości cyberbezpieczeństwa wśród pracowników i utrzymywanie ciągłości działania firmy.

Co dalej?

Teraz klienci mogą zapoznać się z otrzymanym przez nas certyfikatem, który prezentuje opinię niezależnych ekspertów. Pytania o certyfikat ISO 27001 pojawiają się dość często, zwłaszcza gdy duża firma wybiera dostawcę ochrony, a z certyfikowanych usług korzysta większość naszych rozwiązań.

Jednak nasza praca na tym się nie kończy. Certyfikację będziemy przechodzić co trzy lata. Oznacza to większą liczbę audytów udowadniających posiadanie certyfikatu. Ponadto audytorzy będą co roku przeprowadzać u nas kontrolę.

Dodatkowe informacje o certyfikacie znajdują się na stronie kaspersky.pl/o-nas/iso-27001.

Porady