qualitaet-header-blog-dqs-bunte bausteine

Інформаційна безпека поєднується з менеджментом якості

Герт Крюгер

Експерт DQS з інформаційної безпеки та захисту даних
жовт. 25 , 2022
# Цифровізація в Управлінні якістю

В цифрову епоху цінну інформацію необхідно зберігати чи захищати насамперед. Для компаній це означає, що поряд із захистом даних інформаційна безпека є абсолютно необхідною. Хороша новина: компанії, які мають сертифіковану систему управління якістю відповідно до ISO 9001, вже створили гарну основу для поетапного впровадження повністю комплексної інформаційної безпеки.

ЗМІСТ

Тема інформаційної безпеки не нова. Небезпеки, що загрожують великому інформаційному ландшафту в організаціях, відомі давно. Згідно з «Опитуванням кібербезпеки» BSI за квітень 2019 року, 43% великих компаній повідомили, що постраждали від інцидентів кібербезпеки у 2018 році.

Для малих і середніх підприємств цей показник склав 26%. А згідно зі «Звітом про стан ІТ-безпеки в Німеччині 2021» Федерального відомства інформаційної безпеки Німеччини (BSI), випадки кіберзлочинності знову значно зросли. У звітний період з 1 червня 2020 року по 31 травня 2021 року кількість нових варіантів зловмисного програмного забезпечення збільшилася не тільки на 22 відсотки (приблизно 144 мільйони), але й якість атак продовжувала значно зростати. У процесі багато зловмисників скористалися проблемою Corona багатьох компаній і людей.

Проте безпека конфіденційної інформації компанії все ще нехтується. Часто при обробці та зберіганні інформації бракує обережності та передбачливості. Поінформованість про наслідки крадіжки даних і тому подібне також далеко не скрізь достатньо розвинена. У деяких місцях компанії також не бажають вкладати час і зусилля, необхідні для ефективного захисту своєї конфіденційної інформації.

Крок за кроком до більшої безпеки інформації

Але зусилля, необхідні для захисту даних, не мають бути такими великими. Хороша новина полягає в тому, що багатьом компаніям не потрібно впроваджувати комплексну систему управління інформаційною безпекою одним махом. З іншого боку, для критичних інфраструктур (CRITIS) цього вимагає Закон Німеччини про безпеку ІТ.

Також можливий поетапний підхід. Це означає, що першим кроком, принаймні в компаніях, які мають систему управління якістю (QM) відповідно до ISO 9001, може бути оновлення необхідного підходу, заснованого на оцінці ризику, але вже з огляду на відповідні вимоги важливого стандарт інформаційної безпеки ISO 27001.

Інформаційна безпека та управління якістю

ISO 27001 проти ISO 9001: де зв’язки? По-перше, слід зазначити, що стандарт управління якістю ISO 9001 дійсно вимагає повного підходу, заснованого на оцінці ризику. Однак впровадження цієї вимоги до системи управління значною мірою залежить від вашої організації. Наприклад, для управління якістю не потрібен окремий процес оцінки ризиків, але цього, безсумнівно, замало щодо інформаційної безпеки. Тим не менше:

Оцінку ризиків для питань управління якістю можна легко розширити, щоб включити інформаційну безпеку.

Для цього корисно ознайомитися з вимогами щодо ідентифікації та боротьби з ризиками безпеки ISO 27001 для системи управління інформаційною безпекою (СУІБ). Більшість аспектів можуть бути реалізовані користувачами системи управління якістю, доклавши розумних зусиль - як перший крок на шляху до цілісної інформаційної безпеки, зауважте.

Інформаційна безпека – ризики та можливості

Обидва міжнародні стандарти, ISO 27001 для інформаційної безпеки та ISO 9001 для управління якістю, стосуються відповідних тем у розділі 6.1 «Заходи для роботи з ризиками та можливостями». По суті, метою є забезпечення трьох основних аспектів у системі управління:

  • Досягнення запланованих результатів вашої організації
  • Запобігання або зменшення небажаних ефектів
  • Досягнення постійного вдосконалення шляхом дотримання певних стандартів

Що стосується інформаційної безпеки, це насамперед три основні цілі захисту:

  • Втрата конфіденційності
  • Цілісність інформації
  • Доступність інформації

Стандарт СУІБ ISO 27001 визначає такі вимоги (розділ 6.1.1):

  • Визначення ризиків і можливостей
  • Планування заходів для боротьби з виявленими ризиками та можливостями
  • Сплануйте, як заходи будуть інтегровані в процеси компанії та реалізовані

Виявлення ризиків і робота з ними

Наступний підрозділ (6.1.2) ISO 27001 вимагає встановлення та застосування процесу оцінки ризиків інформаційної безпеки. Цей процес повинен встановити та підтримувати критерії ризику інформаційної безпеки. Це включає, зокрема, критерії прийняття ризику та виконання оцінки ризиків інформаційної безпеки.

Крім того, процес повинен гарантувати, що «повторні оцінки ризиків інформаційної безпеки дають послідовні, достовірні та порівнювані результати», як зазначено в стандарті СУІБ. Наступні підпункти можуть бути важливими з огляду на перший крок:

  • Визначте ризики інформаційної безпеки
  • Проаналізуйте ризики інформаційної безпеки
  • Оцініть ризики інформаційної безпеки

Вимоги в 6.1.3 вимагають встановлення та застосування процесу для усунення ризику інформаційної безпеки, щоб досягти наступного:

  • Виберіть відповідні варіанти для вирішення ризику безпеки з огляду на результати оцінки ризику
  • Визначити всі дії, необхідні для реалізації вибраних варіантів усунення ризику безпеки
  • Порівняйте визначені заходи з засобами контролю, зазначеними в Додатку А ISO 27001 (цільові дії)
  • Підготуйте заяву про застосовність щодо причин (не) включення елементів керування з Додатку А
  • Сформулюйте план поводження з ризиками безпеки
  • Отримайте схвалення та прийняття цього плану від власників ризиків
informationssicherheit-standards-zwei schwarze seile laufen horizontal durch das bild und sind in der bildmitte zu einem kreuzknoten verknuepft

Сертифікація на відповідність ISO 27001

Яких зусиль потрібно докласти, щоб ваша система управління інформаційною безпекою була сертифікована відповідно до ISO 27001? Дізнайтеся.

Ми з нетерпінням чекаємо на спілкування з вами!

Додаток А ISO 27001 пропонує вказівки

Додаток А відомого стандарту системи менеджменту ISO/IEC 27001 має явний нормативний характер. Його можна розуміти як свого роду контрольний список, що містить цілі (контролі) і заходи. Ви можете скористатися цим посібником, щоб переконатися, що не було пропущено жодного важливого моменту для боротьби з ризиками безпеки. Однак він не претендує на вичерпність.

Інформаційна безпека та управління якістю – який найкращий підхід?

Таким чином, ISO 27001 вимагає двох окремих процесів для оцінки та боротьби з ризиками інформаційної безпеки. Однак для першого кроку їх можна об’єднати в один процес, який спеціально розширює оцінку ризиків управління якістю відповідно до вищезазначених вимог, щоб включити аспект інформаційної безпеки. Таким чином, ці два стандарти створюють гарну основу для впровадження захисних заходів для захисту даних та ІТ-безпеки.

ISO/IEC 27001:2013 - Інформаційні технології. Методи захисту cистеми управління інформаційною безпекою. Вимоги.

ISO 9001:2015 - Системи управління якістю - Вимоги.

Обидва стандарти доступні на веб-сайті ISO.

ISO 27001 проти ISO 9001: наскільки поглиблений вищезазначений процес остаточно відповідає кожній вимогі безпосередньо залежить від складності інформаційного ландшафту вашої організації та даних, які потребують захисту. У будь-якому випадку його ефективність бажано перевірити під час зовнішнього аудиту. Це доцільно, наприклад, під час сертифікаційного аудиту вашої системи управління якістю відповідно до ISO 9001, який і так планується.

Інформаційна безпека та управління якістю – які переваги?

  • Процес, який фундаментально розглядає ризики інформаційної безпеки, може слугувати першим, важливим кроком до цілісної системи управління інформаційною безпекою відповідно до ISO/IEC 27001.
  • Впроваджуючи такий процес, вище керівництво посилює обізнаність щодо безпеки інформації та даних (захисту даних) на всіх рівнях.
  • При цілеспрямованому розгляді ризиків інформаційної безпеки компанія має можливість виявити необхідність дії та вжити відповідних заходів (орієнтовано на ISO 27001, додаток A).
  • Оцінка ризику, розширена для включення інформаційної безпеки, наприклад, як частина управління якістю, зміцнює загальний підхід компанії, заснований на ризиках.
  • Як фінансові, так і людські ресурси, необхідні для впровадження та перевірки ефективності, є керованими.

DQS: просте використання якості

У балансуванні між динамікою та стабільністю сертифіковані системи менеджменту стають все більш важливими – розвиток, який DQS сприймає позитивно. Оскільки успішні компанії та організації використовують результати наших аудитів для постійного покращення своїх результатів. І вони використовують наші всесвітньо визнані сертифікати як об’єктивний доказ своєї якості. Це створює довіру – як всередині, так і зовні вашої організації.

У 1986 році DQS видав перший сертифікат управління якістю в Німеччині. Перший аудит у серпні 1986 року базувався на проекті стандарту. У 1991 році DQS отримав свою першу акредитацію за ISO 9001/2/3 від тодішньої TGA Trägergemeinschaft für Akkreditierung GmbH (сьогодні: DAkkS). Акредитація на сертифікацію інформаційної безпеки відповідно до британського стандарту BS 7799-2 послідувала в 2000 році.

Понад три десятиліття ноу-хау

Наші тексти та брошури написані виключно нашими експертами зі стандартів або аудиторами з багаторічним досвідом. Якщо у вас виникли запитання до автора щодо вмісту чи наших послуг, зв’яжіться з нами.

Автор
Герт Крюгер

Експерт і менеджер проектів з інформаційної безпеки, BSI-KrititisV та захисту даних у DQS. Крім того, багаторічний аудитор з управління якістю та навколишнім середовищем.

Є питання?

Ми до ваших послуг.
Зв'яжіться з нами