ISO 27001 – vis populiaresnė prevencijos priemonė, pasirenkama organizacijų, besirūpinančių savo ir savo klientų rato informacijos apsauga. Didėjant geopolitinei įtampai, o karo grėsmėms persikeliant ir į skaitmeninius plotus, nuolatinius iššūkius kelia pasikartojančios kibernetinės atakos, svarbių duomenų nutekinimas bei intelektinės nuosavybės pasisavinimas. Kuo šių problemų kontekste vertingas ISO 27001 standartas, kokios informacijos saugumu turėtų pasirūpinti kiekviena organizacija ir kaip imtis saugumo priemonių, atliepiančių ISO 27001 standartą?

Nors informacijos saugumo vadybos sistemų standartas dažniau vadinamas tiesiog ISO 27001, oficiali jo santrumpa – ISO/IEC 27001. Šis trumpinys pabrėžia, kad standartas buvo parengtas Tarptautinės standartizacijos organizacijos (ISO) kartu su Tarptautine elektrotechnikos komisija (IEC).

ISO 27001 standartas apibrėžia informacijos apsaugos vadybos sistemos kūrimo, diegimo, palaikymo ir nuolatinio tobulinimo gaires. Jei organizacija yra sertifikuojama ISO 27001, ji įsipareigoja laikytis standarte nurodytų saugumo praktikų, o informacijos apsaugos vadybos sistemą naudoti rizikų valdymui ir duomenų saugumui užtikrinti. Įsidiegti šį ISO standartą gali įvairaus dydžio bei pobūdžio organizacijos, kurios siekia sustiprinti jautrios informacijos saugumą įmonės viduje ir užkirsti kelią jos sklaidai išorinėje aplinkoje.

Verta pažymėti ir naudas, kurias įvertina ISO 27001 standartą priėmusios organizacijos. Vadybos sistema, kuria įmonėje užtikrinama informacijos apsauga, formuoja atsparumą kibernetinėms atakoms, leidžia pasiruošti naujoms grėsmėms, garantuoti informacijos konfidencialumą ir prieinamumą tik suinteresuotiems asmenims, o taip pat padeda efektyviau veikti besikeičiančioje saugumo aplinkoje.

ISO 27001 standartas paremtas trimis esminiais saugumo principais. Pirmasis – tai konfidencialumas, užtikrinantis, kad organizacijos turimą informaciją pasiekti ir ja naudotis galėtų tik su ja susiję asmenys. Antrasis – informacijos integralumas. Šis saugumo principas apibrėžia duomenų, saugomų įmonėje ar naudojamų jos veikloje, laikymą bei prevenciją nuo ištrynimo ar sugadinimo. Trečiasis saugumo principas – duomenų prieinamumas. Kad būtų patenkinti verslo tikslai bei kliento lūkesčiai, įmonėje saugoma informacija turėtų būti pasiekiama esant poreikiui.

ISO diegimas (o ypač – ISO 27001) organizacijoje – kur kas daugiau nei statusas. Tai investicija, kuri galiausiai vertės atneša tiek įmonės klientų ratui, tiek organizacijai ir visai ją supančiai aplinkai. ISO 27001 standartas aktyviai stiprina apsaugą nuo plataus grėsmių spektro:

• vidinės grėsmės (pavyzdžiui, sąmoningas ar netyčinis informacijos nutekinimas, neteisėta prieiga);
• tiekimo grandinės pažeidžiamumas (tiekėjai, nesilaikantys saugumo standartų);
• fizinio saugumo pažeidimai;
• kibernetinės atakos;
• intelektinės nuosavybės vagystė.

Intelektinė nuosavybė. Ši informacijos kategorija apima inovacijas, patentuotus procesus, įmonės komercines paslaptis – t. y. pagrindinius elementus, lemiančius organizacijos konkurencinį pranašumą. Nuosavybės teisę organizacija įgyja ir atliktiems moksliniams tyrimams ar eksperimentų rezultatams, vertingiems ateities veiklai.

Finansiniai įrašai: tai biudžeto informacija apie planuojamas pajamas ir išlaidas, taip pat ir išsamios finansinės ataskaitos bei duomenys apie įmonės rezultatus. Griežtą apsaugą ISO 27001 apibrėžia ir sandorių įrašams, kuriuose fiksuojami finansiniai ryšiai su klientais, tiekėjais ar kitomis suinteresuotomis šalimis.

Tiekėjų informacija, jos apsauga ir ISO standartų diegimas – taip pat neatsiejami elementai. Įprastai šiai duomenų grupei priskiriama konfidenciali informacija apie kainas bei tiekiamų prekių ar paslaugų specifikacijas. Siekdama išlaikyti patikimą tiekimo grandinę, organizacija turėtų užtikrinti ne tik informacijos saugumą vidinėje aplinkoje, bet ir bendradarbiaudama su išoriniais tiekėjais bei įsitikindama, kad jie taip pat laikosi ISO 27001 reguliavimų.

Duomenys apie darbuotojus – asmeniniai duomenys, leidžiantys identifikuoti darbuotoją, taip pat ir informacija apie jo atlygį ar veiklos vertinimą.

Duomenys apie klientus – nuo sandorių istorijos ar pasirašytų sutarčių iki asmeninės informacijos apsaugos. Užtikrinti kliento duomenų konfidencialumą organizacijai rekomenduojama ne tik vadovaujantis ISO 27001 rekomendacijomis, bet ir siekiant užtikrinti kliento pasitikėjimą.

1. 1. Rizikų valdymas ir prevencija. ISO standartų diegimas (o šiuo atveju – vadovavimasis ISO 27001) apima ne tik jau sukauptos informacijos apsaugą, bet ir prevencines priemones rizikoms, galinčioms iškilti ateityje. Būtent todėl vienas svarbiausių kriterijų efektyvioje informacijos apsaugos sistemoje – planas, padedantis sumažinti potencialias rizikas.2. Informacijos saugumo politika – taisyklės ir gairės, apibrėžiančios, kaip elgtis su jautria informacija. Nepamirškite, kad su saugumo politika susipažinti ir jos laikytis privalo visas organizacijos kolektyvas.3. Darbuotojų edukavimas, informavimas apie diegiamą sistemą. Kolektyvas turėtų būti apmokomas ne tik pirmuoju etapu – ISO 27001 standarto diegimo metu, bet ir kiekvienąkart iškilus naujoms grėsmėms jautrios informacijos saugumui.4. Prieiga prie konfidencialios informacijos: ar duomenys prieinami tik suinteresuotiems asmenims? Svarbu užtikrinti, kad informaciją pasiektų tik susiję klientai bei darbuotojai, kuriems informacija būtina atliekant darbo funkcijas.5. Fizinės saugumo priemonės – taip pat ISO 27001 standartą atliepiantis žingsnis, kuriuo užtikrinamas informacijos saugumas fiziniame lygmenyje. Viena populiariausių ir itin dažnai pasitelkiamų praktikų – tai vaizdo stebėjimo sistemos ar patalpų rakinimas tik suinteresuotiems asmenims suteiktomis priemonėmis. Ši priemonė nuo pašalinių asmenų apsaugo organizacijos patalpas, kuriose laikoma fiziniu formatu perteikiama informacija (pavyzdžiui, dokumentai) ar įranga, kurioje duomenys saugomi skaitmeniniu būdu.6. Bendradarbiavimas su tiekėjais ir trečiosiomis šalimis. Kaip ir kiti ISO standartai, ISO 27001 akcentuoja ne tik vidinį pasirengimą vadybos sistemos diegimui, bet ir išorinių tiekėjų pasiruošimą. Organizacija, siekianti ISO 27001 sertifikato, gali bendradarbiauti su jo neturinčiais partneriais, tačiau svarbu užtikrinti, kad abi pusės laikytųsi panašių informacijos saugumo praktikų.

   7. Nuolatinis tobulėjimas. ISO standartai nėra įgyvendinami vienąkart – tai tęstinis procesas, kurio metu organizacija skatinama reguliariai prižiūrėti informacijos saugumo priemones, prisitaikyti prie kintančių grėsmių ir užbėgti už akių galimiems pavojams.

Informacijos apsaugos standartas – viena svarbiausių praktikų, ypač aktualių padidėjant kibernetinėms grėsmėms karinių konfliktų metu. Tiesa, šio standarto reikšmė neapsiriboja tik karo aplinkybėmis – ISO diegimas naudingas visoms skaitmeninėje erdvėje veikiančioms įmonėms. Teikdamos pirmenybę šiam standartui, organizacijos užtikrina patikimą apsaugą ne tik savo, bet ir kolektyvo, partnerių bei klientų jautrios informacijos saugumui.