qualitaet-header-blog-dqs-bunte bausteine

Информационната сигурност се среща с управлението на качеството

Gert Krüger

Експерт на DQS по информационна сигурност и защита на данните
окт 25 , 2022
# Дигитализация в управлението на качеството

В епохата на цифровизацията ценната информация е тази, която трябва да бъде запазена или защитена преди всичко. За компаниите това означава, че наред със защитата на данните, информационната сигурност е абсолютно задължителна. Добрата новина е: компаниите, които имат сертифицирана система за управление на качеството в съответствие с ISO 9001, вече са създали добра основа за поетапно въвеждане на пълна цялостна информационна сигурност.

СЪДЪРЖАНИЕ

Темата за информационната сигурност не е нова. Опасностите, които застрашават обширния информационен пейзаж в организациите, са отдавна известни. Според "Проучване на киберсигурността" на BSI от април 2019 г. 43% от големите компании съобщават, че през 2018 г. са били засегнати от инциденти, свързани с киберсигурността.

При малките и средните предприятия този процент е 26%. А според "Доклад за състоянието на ИТ сигурността в Германия през 2021 г." на Германската федерална служба за информационна сигурност (BSI) случаите на киберпрестъпления отново са се увеличили значително. През отчетния период от 1 юни 2020 г. до 31 май 2021 г. не само се наблюдава увеличение с цели 22% на новите варианти на зловреден софтуер (около 144 милиона), но и качеството на атаките продължава да се повишава значително. В този процес много извършители използваха бедствената ситуация на много компании и хора, свързана с Корона вируса.

Въпреки това сигурността на поверителната фирмена информация все още се пренебрегва. Често липсват предпазливост и предвидливост при обработката и съхранението на информацията. Информираността за последиците от кражбата на данни и подобните на нея също далеч не е достатъчно развита навсякъде. На някои места компаниите също така не са склонни да инвестират времето и усилията, необходими за ефективна защита на чувствителната им информация.

Стъпка по стъпка към по-добра информационна сигурност

Не е задължително усилията, необходими за сигурността на данните, да са прекалено големи. Добрата новина е, че на много компании не им се налага с един замах да внедряват цялостна система за управление на информационната сигурност. За критичните инфраструктури (CRITIS), от друга страна, това се изисква от германския Закон за информационна сигурност.

Възможен е и поетапен подход. Това означава, че първата стъпка, поне в компаниите, които имат система за управление на качеството (СУК) в съответствие с ISO 9001, може да бъде актуализиране на изисквания подход, основан на риска - но вече с оглед на съответните изисквания на важния стандарт за информационна сигурност ISO 27001.

Информационна сигурност и управление на качеството

ISO 27001 и ISO 9001: къде са връзките? Първо, трябва да се отбележи, че стандартът за управление на качеството ISO 9001 наистина изисква подход, основан на риска, във всички случаи. Прилагането на това изискване към системата за управление обаче до голяма степен зависи от Вашата организация. Например, управлението на качеството не изисква отделен процес за оценка на риска, но това безспорно е твърде малко по отношение на информационната сигурност. Въпреки това:

Оценката на риска за въпроси, свързани с управлението на качеството, може лесно да бъде разширена, така че да включва и информационната сигурност.

За тази цел е полезно да разгледаме изискванията за идентифициране и справяне с рисковете за сигурността на ISO 27001 за система за управление на информационната сигурност (СУИС). Повечето аспекти могат да бъдат приложени от потребителите на система за управление на качеството с разумни усилия - като първа стъпка по пътя към цялостна информационна сигурност.

Информационна сигурност - рискове и възможности

И двата международни стандарта, ISO 27001 за информационна сигурност и ISO 9001 за управление на качеството, разглеждат съответните теми в глава 6.1 "Мерки за справяне с рискове и възможности". По същество целта е да се осигурят три основни аспекта в системата за управление:

  • Постигане на планираните резултати на Вашата организация
  • Предотвратяване или намаляване на нежеланите ефекти
  • Постигане на непрекъснато подобряване чрез спазване на определени стандарти

По отношение на информационната сигурност това са преди всичко трите основни цели за защита:

  • Загуба на конфиденциалност
  • Интегритет на информацията
  • Наличност на информацията

Стандартът за ISMS ISO 27001 определя следните изисквания (раздел 6.1.1):

  • Определяне на рисковете и възможностите
  • Планиране на мерки за справяне с идентифицираните рискове и възможности
  • Планиране на начина, по който мерките ще бъдат интегрирани в процесите на компанията и приложени

Идентифициране и справяне с рисковете

Следващата подглава (6.1.2) на ISO 27001 изисква създаването и прилагането на процес за оценка на риска за информационната сигурност. Този процес трябва да установява и поддържа критерии за риска за информационната сигурност. Това включва по-специално критериите за приемане на риска и извършването на оценки на риска за информационната сигурност.

Освен това процесът трябва да гарантира, че "повтарящите се оценки на риска за информационната сигурност дават последователни, валидни и сравними резултати", както се посочва в стандарта за ISMS. Следните подточки могат да бъдат значими, като се има предвид първата стъпка:

  • Идентифициране на рисковете за информационната сигурност
  • Анализ на рисковете за информационната сигурност
  • Оценка на рисковете за информационната сигурност

Изискванията в т. 6.1.3 водят до създаване и прилагане на процес за справяне с рисковете за информационната сигурност, за да се постигне следното:

  • Избор на подходящи варианти за справяне с риска за сигурността, като се вземат предвид резултатите от оценката на риска
  • Определяне на всички действия, необходими за прилагане на избраните варианти за справяне с риска за сигурността
  • сравняване на определените мерки с контролите, посочени в приложение А към ISO 27001 (целеви действия)
  • Изготвяне на декларация за приложимост по отношение на причините за (не)включване на контрола от приложение А
  • Изготвяне на план за справяне с рисковете за сигурността
  • Получаване на одобрение и приемане на този план от собствениците на риска
informationssicherheit-standards-zwei schwarze seile laufen horizontal durch das bild und sind in der bildmitte zu einem kreuzknoten verknuepft

Сертификация по ISO 27001

Какви дейности са необходими, за да бъде Вашата система за управление на информационната сигурност сертифицирана по ISO 27001? Разберете тук.

Очакваме да се свържете с нас!

Приложение А на ISO 27001 предлага насоки за действие

Приложение А към добре познатия стандарт за системи за управление ISO/IEC 27001 има изричен нормативен характер. То може да се разбира като един вид чеклист, съдържащ цели (контроли) и мерки. Можете да използвате това ръководство, за да сте сигурни, че не са пропуснати съществени точки за справяне с рисковете за сигурността. То обаче не претендира за изчерпателност.

Информационна сигурност и управление на качеството - какъв е най-добрият подход?

Следователно ISO 27001 изисква два отделни процеса за оценка и справяне с рисковете за информационната сигурност. За първата стъпка обаче те биха могли да бъдат обединени в един процес, който специално разширява оценката на риска на управлението на качеството по горепосочените изисквания, за да включи аспекта на информационната сигурност. По този начин двата стандарта осигуряват добра основа за прилагане на защитни мерки за защита на данните и информационна сигурност.

ISO/IEC 27001:2013 - Информационни технологии - Техники за сигурност - Системи за управление на  сигурността на информацията. Изисквания.

ISO 9001:2015 - Системи за управление на качеството. Изисквания.

И двата стандарта са достъпни от уебсайта на ISO.

ISO 27001 срещу ISO 9001: Колко задълбочено гореспоменатият процес в крайна сметка отговаря на всяко изискване, зависи пряко от сложността на информационния пейзаж на Вашата организация и данните, които се нуждаят от защита. Така или иначе, препоръчително е ефективността му да бъде проверена при външен одит. Това е препоръчително например в хода на сертификационен одит на вашата система за управление на качеството в съответствие с ISO 9001, който така или иначе е планиран.

Информационната сигурност отговаря на изискванията за управление на качеството - какви са ползите?

  • Процесът, който прави фундаментален преглед на рисковете за информационната сигурност, може да послужи като първа, важна стъпка към цялостна система за управление на информационната сигурност в съответствие с ISO/IEC 27001.
  • Чрез внедряването на такъв процес висшето ръководство засилва осведомеността за сигурността на информацията и данните (защита на данните) на всички нива.
  • С целенасоченото разглеждане на рисковете за информационната сигурност компанията има възможност да разкрие необходимостта от действия и да предприеме подходящи мерки (ориентирани към ISO 27001, Приложение А).
  • Оценката на риска, разширена с включването на информационната сигурност, например като част от управлението на качеството, укрепва цялостния подход на компанията, основан на риска.
  • Както финансовите, така и човешките ресурси, необходими за внедряване и проверка на ефективността, са управляеми.

DQS: Simply leveraging quality.

В баланса между динамика и стабилност сертифицираните системи за управление стават все по-важни - развитие, което DQS отчита по положителен начин. Защото успешните компании и организации използват констатациите от нашите одити, за да подобряват непрекъснато своите резултати. И те използват нашите световно признати сертификати като обективно доказателство за своите възможности за качество. Това създава доверие - както вътрешно, така и външно за Вашата организация.

DQS издава първия сертификат за управление на качеството в Германия през 1986 г. Първият одит през август 1986 г. се основаваше на проект на стандарта. През 1991 г. DQS получи първата си акредитация за ISO 9001/2/3 от тогавашната TGA Trägergemeinschaft für Akkreditierung GmbH (днес: DAkkS). През 2000 г. последва акредитация за сертифициране на информационната сигурност съгласно британския стандарт BS 7799-2.

Повече от три десетилетия ноу-хау

Нашите текстове и брошури са написани изключително от нашите експерти по стандартизация или одитори с дългогодишен опит. Ако имате въпроси към автора относно съдържанието или нашите услуги, моля, не се колебайте да се свържете с нас.

Автор
Gert Krüger

Експерт и ръководител на проекти за информационна сигурност, BSI-KritisV и защита на данните в DQS. Освен това е дългогодишен одитор за управление на качеството и околната среда.

Имате ли въпроси?

Ние сме на Ваше разположение.
Контакт с нас