ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

Безпека ІКТ для безперервності бізнесу - Контроль 5.30 в ISO 27001

# Інформаційна безпека та Управління ризиками

Безперебійне функціонування інформаційно-комунікаційних технологій (ІКТ) має важливе значення для підтримки бізнес-процесів в умовах цифровізації. Навіть найкоротші перебої та збої часто супроводжуються серйозними фінансовими втратами. Хакери використовують цей потенційний збиток, коли шифрують дані та системи під час складних атак з вимогою викупу і розблоковують їх лише після сплати високих викупів.

Оновлення міжнародних стандартів інформаційної безпеки, ISO 27001 та ISO 27002, покликані зупинити цей розвиток подій: Захід безпеки (Контроль) 5.30 "Готовність ІКТ до безперервності бізнесу" в Додатку А зобов'язує компанії забезпечити доступність ІКТ навіть у разі збою. Новий стандарт ISO 27001:2022 подає потужний сигнал щодо контролю та допомагає компаніям своєчасно захистити свої організаційні структури та архітектури безпеки від сценаріїв загроз. Прочитайте наступну публікацію в блозі, щоб дізнатися, що Контроль 5.30 означає для вашої системи управління інформаційною безпекою і як він вплине на майбутні аудити.

ЗМІСТ

 

Безпека ІКТ в організації та її актуальність для сучасних бізнес-процесів

Інструменти для спільної роботи, такі як Microsoft Teams, хмарні додатки на платформах найбільших гіперскейлерів, використання хмарних сервісів і мережеве виробництво (Індустрія 4.0) стали частиною повсякденного життя сучасних компаній, і не тільки з часів пандемії коронавірусу. Сучасні інформаційно-комунікаційні технології забезпечують швидкі та ефективні робочі процеси і стали незамінними інструментами для підтримки бізнес-процесів у всіх галузях.

З іншого боку, це означає, що безпека і доступність ІКТ є дуже важливими - їх необхідно систематично контролювати і захищати від збоїв за допомогою відповідних заходів і процесів, щоб гарантувати безперебійність процесів і звести до мінімуму потенційні збитки. Це стає все більш важливим, особливо в часи підвищених кіберзагроз, що підживлюються геополітичними конфліктами. Для цього компанії мають у своєму розпорядженні цілий ряд інструментів, які в загальних рисах пояснюються нижче, а потім розглядаються в контексті Контролю 5.30 в ISO 27001.

whitepaper-ISO 27001-faq-dqs-cover picture

Запитання та відповіді до нового стандарту ISO 27001:2022

Що потрібно знати про "новенького" в сфері інформаційної безпеки: 38 відповідей наших експертів на 38 запитань користувачів.

  • Про що йдеться в нових контролях?
  • Коли ми повинні перейти на новий стандарт?
  • Де знайти список відповідності старого стандарту новому?
  • ... а також ще 35 питань!
Завантажте FAQ щодо нового стандарту ISO 27001 зараз і скористайтеся досвідом наших експертів

Управління безперервністю бізнесу

Управління безперервністю бізнесу (BCM - Business Continuity Management), наприклад, відповідно до ISO 22301, - це процес управління, який гарантує, що критичні бізнес-функції не перериваються надовго під час і після збоїв або можуть бути перезапущені якнайшвидше шляхом створення, впровадження та перегляду (аварійних) планів і стратегій.

Стандарт описує превентивні заходи з точки зору організації (аварійної) готовності та планування на випадок надзвичайних ситуацій з метою підвищення надійності бізнес-процесів. Крім того, в рамках організації реагування на надзвичайні ситуації плануються і вживаються реактивні заходи (аварійне відновлення), щоб забезпечити швидке і цілеспрямоване реагування в разі порушення ІТ-процесів і скоротити час простою, наприклад, завдяки високому рівню ІКТ-безпеки в компанії.

BCM як частина стратегічного планування включає виявлення потенційних ризиків і вразливостей, оцінку критичності бізнес-процесів, розробку планів реагування на збої та тестування цих планів за допомогою регулярних навчань і симуляцій. Метою управління безперервністю бізнесу є забезпечення швидкого та ефективного реагування компанії на збої, а також підвищення впевненості зацікавлених сторін у її здатності надавати послуги та здійснювати діяльність.

Аналіз впливу на бізнес

Аналіз впливу на бізнес (BIA - Business Impact Analysis) - це метод, який використовується в управлінні безперервністю бізнесу для реєстрації критично важливих процесів і бізнес-функцій в організації та виявлення взаємозалежностей між ними і ресурсами, що лежать в їх основі. Таким чином, це стратегічний процес, який допомагає виявити та оцінити вплив збоїв на бізнес-діяльність. BIA формує основу для визначення необхідного часу перезапуску.

BIA зазвичай включає оцінку критичності бізнес-процесів, визначення ресурсів, необхідних для підтримки цих процесів, і визначення впливу збоїв на ці процеси та ресурси. Аналіз допомагає компаніям зрозуміти потенційні наслідки збоїв і відповідно розставити пріоритети у реагуванні та відновленні.

Результати BIA можуть бути використані для розробки плану безперервності бізнесу (BCP - business continuity plan) та інших стратегій управління ризиками, щоб забезпечити кращу готовність компанії до управління непередбачуваними подіями та мінімізувати їхній вплив завдяки високій готовності систем і структур.

Подальші рекомендації щодо проведення аналізу впливу на бізнес (BIA) також можна знайти в настановах ISO/TS 22317 за посиланням.

ISO 27001:2022 - основа безперервності бізнесу

Інформаційно-комунікаційні технології (ІКТ) мають значний вплив на безперервність бізнесу в компанії. Збої можуть мати значний вплив, особливо в області критичної інфраструктури (KRITIS), наприклад. З цієї причини Контроль 5.30 "Готовність ІКТ до безперервності бізнесу" в Додатку А нового стандарту ISO/IEC 27001:2022 має велике значення.

Метою цього заходу є забезпечення високого рівня доступності критично важливої системи ІКТ на основі цілей безперервності бізнесу та вимог до безперервності ІКТ, що випливають з них, впроваджуються та перевіряються. Це включає визначення типів впливу та критеріїв впливу в рамках процесу BIA.

На цій основі визначаються пріоритетні операційні заходи і встановлюється цільовий час відновлення (RTO - Recovery Time Objective). Потім BIA визначає, які ресурси необхідні для цих пріоритетних заходів, і також встановлює для них цільовий час відновлення. Частина цих ресурсів включатиме послуги ІКТ. Крім того, для пріоритетних ІКТ-ресурсів мають бути визначені точки відновлення (RPO - Recovery Point Objective) та відстані до них.

На основі результатів усіх цих процесів організаціям необхідно визначити та обрати стратегії безперервності ІКТ, які розглядають варіанти до, під час та після збоїв. На основі цього розробляються, впроваджуються та тестуються плани безперервності (включаючи процедури реагування та відновлення) для забезпечення необхідної готовності ІКТ.

У цьому контексті слід також згадати стандарт ISO/IEC 27031, посібник з готовності ІКТ до безперервності бізнесу, який надає компаніям рекомендації щодо забезпечення доступності систем ІКТ.

Вплив Контролю 5.30 на сертифікацію

Щоб пройти сертифікацію на відповідність переглянутому стандарту ISO 27001:2022, організації повинні ...

  • мати відповідну організаційну структуру для підготовки до інциденту, його локалізації та реагування на нього. Це також вимагає наявності персоналу з необхідною відповідальністю, повноваженнями та компетенцією.
  • розробити плани обов'язкові до виконання забезпечення безперервності ІКТ, включаючи процедури реагування та відновлення, в яких детально описано, як організація має намір діяти в разі переривання надання послуг ІКТ. Ці плани мають бути затверджені вищим керівництвом та регулярно оцінюватися шляхом проведення навчань та тестування.
  • включити до своїх планів забезпечення безперервності наступну інформацію:
    - специфікації продуктивності та потужностей, що відповідають вимогам та цілям безперервності бізнесу, визначеним у BIA
    - RTO кожної пріоритетної послуги ІКТ та процедури відновлення цих компонентів
    - RPO пріоритетних ІКТ-ресурсів, визначених як інформація, та процедури відновлення інформації

Сертифікація ISO 27001

Яких зусиль потрібно докласти для проходження сертифікації? Дізнайтеся зараз. Без зобов'язань та безкоштовно.

Докладніше про сертифікацію ISO 27001

Безпека ІКТ для безперервності бізнесу - висновок

Відомий приклад адміністративного злому в Анхальт-Біттерфельді, в результаті якого деякі муніципальні послуги були недоступні протягом тижнів або місяців, демонструє високу актуальність інформаційно-комунікаційних технологій в сучасному світі. Однак цей приклад також показує, наскільки важливими є безперервність і розроблені плани на випадок надзвичайних ситуацій.

Тому Контроль заходів безпеки 5.30 "Готовність ІКТ до безперервності бізнесу" є важливим аспектом переглянутих стандартів інформаційної безпеки ISO/IEC 27001:2022 та ISO/IEC 27002:2022, спрямованих на посилення стійкості компаній.

Однак організаціям іноді важко оцінити критичність використовуваних інформаційно-комунікаційних технологій та їхній потенціал ризику під час впровадження, що, в свою чергу, має прямий вплив на ланцюжок пріоритетів. BIA та аналіз ризиків є, так би мовити, основою управління безперервністю бізнесу. Тому напередодні сертифікації варто переглянути та оптимізувати власні зусилля щодо забезпечення безперервності бізнесу та доступності ІКТ-рішень із залученням досвідчених фахівців.

DQS: Просте використання безпеки.

Завдяки перехідним періодам компанії мають достатньо часу для адаптації системи управління інформаційною безпекою до нових вимог та її сертифікації. Однак не слід недооцінювати тривалість і зусилля всього процесу змін. Якщо ви хочете перестрахуватися, краще розібратися з новими вимогами та переходом на новий стандарт раніше, ніж пізніше.

Ми з радістю відповімо на ваші запитання

Дізнайтеся більше про ... без зобов'язань і безкоштовно.

Ми тут для вас. Будь ласка, зв'яжіться з нами.

Як експерти з аудиту та сертифікації з майже 40-річним досвідом, ми будемо раді підтримати вас в оцінці вашого поточного стану, наприклад, в рамках дельта-аудиту. Дізнайтеся від наших експертів про найважливіші зміни та їхнє значення для вашої організації.

Довіра та експертиза

Наші тексти написані виключно нашими штатними експертами з систем менеджменту та досвідченими аудиторами. Якщо у вас є запитання до автора, будь ласка, зв'яжіться з нами.

Є питання?

Ми до ваших послуг.
Зв'яжіться з нами