Как справиться с современными рисками IT-безопасности 

По оценкам отраслевых экспертов, к следующему году ежегодные убытки от киберпреступлений могут возрасти до двух триллионов долларов США1). Каждый день добавляется бесчисленное количество новых целей, особенно мобильных устройств и подключенных «вещей», поэтому необходим объединенный подход.

Привлекательность киберпреступности для преступных хакеров очевидна: запутанная сеть взаимодействий, относительно низкие штрафы, разрозненные подходы к отмыванию денег и потенциально крупные выплаты. Ключевым моментом является подготовка и выявление уязвимостей, а также устойчивость с точки зрения взаимодействия с общими системами управления, и именно здесь на помощь приходит стандарт ISO/IEC 27001 для систем управления информационной безопасностью (ISMS) .

Это флагман семейства стандартов ISO/IEC 27000, впервые опубликованный более 20 лет назад. Разработанный ISO/IEC JTC 1, совместным техническим комитетом ISO и Международной электротехнической комиссии (IEC), созданным для обеспечения точки формальной стандартизации в информационных технологиях, он постоянно обновлялся и расширялся, чтобы включить более 40 международных стандартов, охватывающих все от создания общего словаря (ISO/IEC 27000), управления рисками (ISO/IEC 27005), облачной безопасности (ISO/IEC 27017 и ISO/IEC 27018) до криминалистических методов, используемых для анализа цифровых доказательств и расследования инцидентов (ISO/IEC 27018, ISO/IEC 27042 и ISO/IEC 27043 соответственно).

Эти стандарты не только помогают управлять информационной безопасностью, но также помогают выявлять преступников и привлекать их к ответственности. Например, ISO/IEC 27043 предлагает руководства, описывающие процессы и принципы, применимые к различным видам расследований, включая, помимо прочего, несанкционированный доступ, повреждение данных, сбои системы или корпоративные нарушения информационной безопасности, а также любые другие цифровые изучение.

ОПЕРЕЖАЯ ИГРУ

Сохранение этого семейства в соответствии с потребностями малого и крупного бизнеса посредством процесса постоянного развития является серьезной обязанностью подкомитета SC 27 ОТК 1 ИСО/МЭК по методам обеспечения безопасности ИТ. Во многом благодаря вкладу таких людей, как профессор Эдвард Хамфрис, который возглавляет рабочую группу, отвечающую за разработку СМИБ, он остается одним из наиболее эффективных инструментов управления рисками для отражения миллиардов атак, которые происходят каждый год. 2) которые также продолжают развиваться в своих целях и методах.

Я разговаривал с профессором Хамфрисом, специалистом по информационной безопасности и управлению рисками с более чем 37-летним опытом работы в консалтинге и научных кругах. Я начал с того, что спросил его об основах СМИБ. Как же они могут опередить преступников, чтобы защитить бизнес и потребителей? «Это правда, что риски, которые угрожают информации, бизнес-процессам, приложениям и услугам, постоянно развиваются. ISO/IEC 27001 — это стандарт постоянного улучшения, что означает, что встроенный процесс управления рисками позволяет предприятиям идти в ногу со временем в своей борьбе с киберпреступностью».

По словам профессора Хамфриса, аспект постоянного улучшения ISO/IEC 27001 означает, что организация может оценивать свои риски, внедрять средства контроля для их снижения, а затем отслеживать и анализировать свои риски и средства контроля, улучшая свою защиту по мере необходимости. Таким образом, она всегда готова к атакам: «При правильном использовании ISMS позволяет организации опережать события, реагируя на развивающуюся среду риска, которую представляют интернет и киберпространство».

ОТ УГРОЗ К ВОЗМОЖНОСТЯМ

На уровне бизнеса остается сложной задачей моделирование и устранение угроз со всех возможных точек зрения. Существует очевидная потребность в использовании единой интегрированной системы безопасности для всего бизнеса, и, учитывая сложность взаимосвязей, я спросил профессора Хамфриса, можно ли применять СМИБ к малым и средним предприятиям (МСП). «СМИБ применимы ко всем типам организаций и всем видам коммерческой деятельности, в том числе МСП. Многие МСП являются частью цепочек поставок, поэтому важно, чтобы они контролировали и управляли своей информационной безопасностью и киберрисками, чтобы защитить себя и других». Профессор Хамфрис объясняет, что обязательства бизнеса обычно определяются в соглашениях об уровне обслуживания (SLA),

Конечно, есть проблемы, связанные с онлайн-бизнесом для МСП, но они намного перевешиваются огромным потенциалом, открытым интернетом. Можно утверждать, что именно малые предприятия были наиболее активны благодаря технологиям, что недавно было отмечено послом Аланом Вольфом из Всемирной торговой организации. Выступая на Генеральной ассамблее ISO 2018 года, Вольф заметил, что «любой, у кого есть дизайн; у кого есть компьютер; кто может выйти в Сеть; имеет доступ к платформе — может стать частью международной торговли».

Потенциал социального и экономического развития огромен: интернет обеспечивает глобальный доступ к растущему числу ранее изолированных людей и сообществ. Однако для смягчения недостатков необходим проверенный и разумный подход, такой как СМИБ. Как напоминает мне профессор Хамфрис, «кибератака на одном звене цепочки поставок может разрушить всю цепочку», и последствия могут выйти далеко за пределы вашего собственного бизнеса или даже ваших непосредственных клиентов. Это верно как для производителей игрушек с Бали, так и для государственных национальных служб здравоохранения в Европе.

https://www.iso.org/news/ref2360.html