В век оцифровки ценная информация должна быть сохранена или защищена в первую очередь. Для компаний это означает, что наряду с защитой данных, информационная безопасность является обязательным условием. Хорошая новость: компании, имеющие сертифицированную систему управления качеством в соответствии с ISO 9001, уже создали хорошую основу для поэтапного внедрения комплексной информационной безопасности.
Loading...
СОДЕРЖАНИЕ
- Шаг за шагом к большей информационной безопасности
- Информационная безопасность и управление качеством
- Информационная безопасность - риски и возможности
- Выявление и устранение рисков
- Приложение А к стандарту ISO 27001 содержит руководство
- ISMS и QMS - каков наилучший подход
- Каковы преимущества
- DQS: Простое использование качества
Тема информационной безопасности не нова. Опасности, угрожающие обширному информационному ландшафту организаций, известны давно. По данным апрельского "Обзора кибербезопасности", проведенного BSI в 2019 году, 43% крупных компаний сообщили, что в 2018 году пострадали от инцидентов кибербезопасности.
Для малых и средних предприятий этот показатель составил 26%. А согласно "Ситуационному отчету по ИТ-безопасности в Германии 2021" от Федерального ведомства по информационной безопасности Германии (BSI), случаи киберпреступлений вновь значительно возросли. За отчетный период с 1 июня 2020 года по 31 мая 2021 года не только на 22 процента увеличилось количество новых вариантов вредоносных программ (около 144 миллионов), но и значительно возросло качество атак. При этом злоумышленники эксплуатировали бедственное положение многих компаний и людей.
Однако безопасности конфиденциальной информации компаний по-прежнему не уделяется должного внимания. Часто не хватает осторожности и предусмотрительности при обработке и хранении информации. Осведомленность о последствиях кражи данных и ей подобных также далеко не везде достаточно развита. В некоторых местах компании также не желают тратить время и усилия, необходимые для эффективной защиты конфиденциальной информации.
Шаг за шагом к большей информационной безопасности
Но усилия, необходимые для обеспечения безопасности данных, не обязательно должны быть такими уж большими. Хорошей новостью является то, что многим компаниям не нужно внедрять комплексную систему управления информационной безопасностью одним махом. С другой стороны, для критически важных инфраструктур (CRITIS) это требуется в соответствии с немецким законом об информационной безопасности.
Возможен также пошаговый подход. Это означает, что первым шагом, по крайней мере в компаниях, имеющих систему управления качеством (QM) в соответствии с ISO 9001, может стать обновление требуемого подхода, основанного на оценке рисков - но уже с учетом соответствующих требований важного стандарта информационной безопасности ISO 27001.
Информационная безопасность и управление качеством
ISO 27001 против ISO 9001: где связи? Во-первых, необходимо отметить, что стандарт управления качеством ISO 9001 действительно требует повсеместного применения подхода, основанного на оценке рисков. Однако реализация этого требования к системе менеджмента во многом зависит от вашей организации. Например, менеджмент качества не требует отдельного процесса для оценки рисков, но этого, безусловно, слишком мало в отношении информационной безопасности. Тем не менее:
Оценка рисков для вопросов управления качеством может быть легко расширена до информационной безопасности.
Для этого полезно рассмотреть требования по выявлению и устранению рисков безопасности ISO 27001 для системы менеджмента информационной безопасности (ISMS). Большинство аспектов могут быть реализованы пользователями системы менеджмента качества с разумными усилиями - в качестве первого шага на пути к целостной информационной безопасности.
Информационная безопасность - риски и возможности
Оба международных стандарта, ISO 27001 для информационной безопасности и ISO 9001 для менеджмента качества, рассматривают соответствующие темы в главе 6.1 "Меры по работе с рисками и возможностями". По сути, речь идет об обеспечении трех важнейших аспектов в системе менеджмента:
- Достижение намеченных результатов вашей организации
- предотвращение или уменьшение нежелательных последствий
- Достижение постоянного улучшения путем соответствия определенным стандартам.
Что касается информационной безопасности, то это, прежде всего, три основные цели защиты:
- Потеря конфиденциальности
- Целостность информации
- Доступность информации
Стандарт ISMS ISO 27001 устанавливает следующие требования (раздел 6.1.1):
- Определение рисков и возможностей
- Планирование мер по устранению выявленных рисков и возможностей
- Планирование того, как меры будут интегрированы в процессы компании и реализованы
Выявление рисков и работа с ними
Следующий подраздел (6.1.2) стандарта ISO 27001 требует создания и применения процесса оценки рисков информационной безопасности. Этот процесс должен устанавливать и поддерживать критерии риска информационной безопасности. Это включает, в частности, критерии принятия рисков и проведения оценки рисков информационной безопасности.
Кроме того, процесс должен гарантировать, что "повторяющиеся оценки рисков информационной безопасности дают последовательные, достоверные и сопоставимые результаты", как гласит стандарт ISMS. Следующие подпункты могут быть значимыми для первого шага:
- Идентифицировать риски информационной безопасности
- Проанализировать риски информационной безопасности
- Оценить риски информационной безопасности
Требования пункта 6.1.3 призывают к созданию и применению процесса для устранения риска информационной безопасности, чтобы достичь следующего:
- выбрать соответствующие варианты устранения риска безопасности с учетом результатов оценки риска
- Определить все действия, необходимые для реализации выбранных вариантов устранения риска безопасности
- Сравнить определенные меры с мерами контроля, указанными в приложении А стандарта ISO 27001 (целевые действия)
- Подготовьте заявление о применимости в отношении причин включения (невключения) средств контроля из Приложения А
- Сформулируйте план по обработке рисков безопасности
- Получите одобрение и принятие этого плана от владельцев рисков.
Loading...
Certification according to ISO 27001
Каких усилий вам нужно ожидать, чтобы ваша система управления информационной безопасностью была сертифицирована на соответствие стандарту ISO 27001? Узнайте.
Приложение А стандарта ISO 27001 предлагает руководство
Приложение А известного стандарта системы менеджмента ISO/IEC 27001 носит ярко выраженный нормативный характер. Его можно понимать как своего рода контрольный список, содержащий цели (средства контроля) и меры. Вы можете использовать это руководство для того, чтобы убедиться, что ни один из существенных моментов для работы с рисками безопасности не был упущен. Однако оно не претендует на исчерпывающий характер.
Информационная безопасность и управление качеством - каков наилучший подход?
Таким образом,ISO 27001 требует двух отдельных процессов для оценки и устранения рисков информационной безопасности. Однако для первого шага их можно объединить в один процесс, который специально расширяет оценку рисков менеджмента качества в соответствии с вышеупомянутыми требованиями и включает аспект информационной безопасности. Таким образом, эти два стандарта обеспечивают хорошую основу для внедрения защитных мер по защите данных и информационной безопасности.
ISO/IEC 27001:2013 - Информационные технологии - Методы обеспечения безопасности - Системы менеджмента информационной безопасности - Требования.
ISO 9001:2015 - Системы менеджмента качества - Требования.
Оба стандарта доступны на сайте ISO.
ISO 27001 против ISO 9001: Насколько глубоко вышеупомянутый процесс в конечном итоге отвечает каждому требованию, напрямую зависит от сложности информационного ландшафта вашей организации и данных, требующих защиты. В любом случае, желательно, чтобы его эффективность была проверена в ходе внешнего аудита. Это целесообразно сделать, например, в ходе сертификационного аудита вашей системы менеджмента качества в соответствии с ISO 9001, который планируется в любом случае.
Информационная безопасность в сочетании с управлением качеством - каковы преимущества?
- Процесс, позволяющий фундаментально взглянуть на риски информационной безопасности, может стать первым важным шагом на пути к созданию целостной системы управления информационной безопасностью в соответствии с ISO/IEC 27001.
- Внедряя такой процесс, высшее руководство повышает осведомленность о безопасности информации и данных (защите данных) на всех уровнях.
- При целенаправленном рассмотрении рисков информационной безопасности компания получает возможность выявить необходимость действий и принять соответствующие меры (ориентировано на ISO 27001, Приложение А).
- Оценка рисков с включением информационной безопасности, например, в рамках управления качеством, усиливает общий подход компании, основанный на оценке рисков.
- Финансовые и человеческие ресурсы, необходимые для внедрения и проверки эффективности, являются управляемыми.
DQS: Простое использование качества
В балансировании между динамикой и стабильностью сертифицированные системы менеджмента становятся все более важными - развитие, которое DQS воспринимает положительно. Потому что успешные компании и организации используют результаты наших аудитов для постоянного улучшения своих результатов. И они используют наши всемирно признанные сертификаты в качестве объективного доказательства своих возможностей в области качества. Это создает доверие - как внутреннее, так и внешнее к вашей организации.
DQS выдал первый в Германии сертификат по управлению качеством в 1986 году. Первый аудит, проведенный в августе 1986 года, был основан на проекте стандарта. В 1991 году DQS получила свою первую аккредитацию по ISO 9001/2/3 от тогдашнего TGA Trägergemeinschaft für Akkreditierung GmbH (сегодня: DAkkS). В 2000 году последовала аккредитация на сертификацию информационной безопасности в соответствии с британским стандартом BS 7799-2.
Более трех десятилетий ноу-хау
Наши тексты и брошюры написаны исключительно нашими экспертами по стандартам или аудиторами с многолетним опытом работы. Если у вас есть вопросы к автору по содержанию или нашим услугам, пожалуйста, не стесняйтесь обращаться к нам.
Рассылка DQS
Оставайтесь в курсе событий и подпишитесь на нашу рассылку!
Автор
Gert Krueger
Expert and project manager for information security, BSI-KritisV and data protection at DQS. In addition, long-standing auditor for quality and environmental management.
Loading...