ISO 27001 и риски информационной безопасности при переходе на удаленную работу
Стандарт ISO 27001:2013 на системы управления информационной безопасностью устроен так же, как все современные стандарты на системы менеджмента. И в нем так же предусмотрено требование выявлять и оценивать риски, как и в любом другом стандарте ISO.
Оценка рисков для системы информационной безопасности — процесс непрерывный, требующий рассмотрение внутреннего и внешнего контекста. Сейчас контекст стремительно меняется: сотрудники вынуждены работать из дома. Соответственно, изменились и риски. Рассмотрим подробнее, как стандарт ISO 27001 помогает ими управлять.
Что входит в область управления стандарта
Стандарт ISO 27001 предназначен для обеспечения конфиденциальности, целостности и доступности информации компании (трех принципов управления информацией), а также направлен на соблюдение требований законодательства. Меры, предусмотренные стандартом, призваны защитить ваши данные от киберпреступлений, от неправомерного использования, кражи и других угроз.
- Конфиденциальность. Примером обеспечения конфиденциальности может быть онлайн-транзакция, проводимая с использованием безопасных методов, таких как использование шифрования, при котором информация защищается с помощью протокола HTTPS.
- Доступность. Например, портал онлайн-банкинга позволит клиентам банка получать доступ к своим счетам в любое время суток.
- Целостность. Примером может служить достоверность и полнота информации о финансовом счете клиента, например, банковского счета и личных данных, необходимых для совершения банковских операций.
Стандарт ISO 27001 охватывает эти три компонента.
Информационные активы компании
В выявлении рисков, которые могут повлиять на конфиденциальность, целостность и доступность информации, поможет список информационных активов. По оценкам специалистов, которые проводят аудиты систем управления информационной безопасностью, в среднем учитывается лишь 30-50% активов. Актив — это все, что может представлять ценность для организации и поэтому требует защиты. Для идентификации активов, нужно иметь в виду, что информационная система состоит не только из аппаратного и программного обеспечения. Например люди, работающие в компании, рассматриваются в стандарте как актив. Виды активов в рамках системы управления информационной безопасностью:
- инфраструктура (IT/оборудование)
- люди
- организация
- процессы
- информация
- приложения, программы
Что угрожает активам?
Угроза может нанести вред этим активам, например, нарушить информационные процессы и системы и, следовательно, причинить ущерб организации в целом. Угрозы могут быть естественного или человеческого происхождения и могут быть случайными или преднамеренными. Все случайные и преднамеренные источники угрозы должны быть идентифицированы. Угроза может возникнуть внутри или снаружи организации. Примеры угроз: кража, поломки, неправильное использование. Например, угрозы, связанные с использованием ноутбука:
- Кража
- Пролив воды
- Попадание частиц пищи во внутренние части ноутбука
- Падение
- Утеря
- Риск оставить в самолете
- Скачки электричества
Кроме того, следует учитывать уязвимости системы управления данными. Так, для компании в целом уязвимостью могут являться пробелы в политике управления данными. А применительно к устройству — ноутбуку — уязвимости следующие: предмет представляет интерес для воров; принадлежность предмета определенному лицу, например, генеральному директору. Некоторые угрозы могут затрагивать более одного актива. В таких случаях они могут оказывать различное влияние в зависимости от того, какие активы затронуты.
Оценка рисков с точки зрения возможных последствий.
Должны быть разработаны критерии оценки риска для информационной безопасности организации с учетом следующих моментов:
- стратегическая ценность деловой информации;
- критичность задействованных информационных активов;
- эксплуатационная и коммерческая важность доступности, конфиденциальности и целостности информации;
- ожидания и восприятие заинтересованных сторон;
- репутационные потери в связи инцидентами.
Оценку рисков следует проводить с учетом вероятности наступления риска и степени влияния возможных негативных последствий. Например, можно составить таблицу с параметрами: низкий, средний, высокий. Шкалу для оценки рисков каждая компания выбирает сама, исходя из потребностей. Более подробно об оценке рисков можно прочитать в нашей статье Риск-ориентированное мышление в стандартах ISO.
Особенности удаленной работы
В стандарте ISO 27001 есть раздел A.6.2.2 «Мобильные устройства и дистанционная работа» (Mobile devices and teleworking). В нем прописаны требования к управлению безопасностью процессов удаленной работы, начиная от политики, программы удаленной работы и заканчивая измерениями этих процессов.
Для удаленной работы существует три сценария:
- Люди работают из дома или из места, которое не является их домом или организацией (например, кафе, гостиницы, самолеты и т. д.)
- Люди используют стационарные или мобильные устройства (например, ПК, ноутбуки, планшеты, смартфоны и т. д.)
- Люди используют публичные или частные сети связи (например, интернет и экстранет).
Знание этих сценариев имеет решающее значение для выявления наиболее вероятных ситуаций, которые могут поставить вашу информацию под угрозу. В связи с переходом многих сотрудников на удаленную работу на первый план выходят угрозы, связанные с:
- хранением и управлением данных в облачных хранилищах;
- утечкой и кражей данных;
- несанкционированным доступом к информационным системам;
- устаревшими устройствами веб-защиты;
- устаревшими механизмами удаленного доступа.
Необходимо рассматривать риски с точки зрения появления новых сценариев и проводить переоценку рисков в связи с увеличением вероятности событий.
Так, если в компании отсутствует электронный документооборот или применяется от случая к случаю, могут возникнуть риски не получить своевременно доступ к информации, например, к договорам с клиентами, операционным планам и записям, которые хранятся в виде бумажных документов в офисе.
Массовый переход на системы для онлайн-конференций выявили их уязвимости — а именно отсутствие должной защиты конфиденциальных данных, что может представлять угрозу для организаций. Конфиденциальность также подвержена новым рискам: ведь данные, с которыми работают сотрудники в домашних условиях, с большей вероятностью могут быть раскрыты посторонним лицам.
Может нарушиться и целостность информации — она может быть повреждена и изменена из-за незнания сотрудниками новых инструментов, с которыми им пришлось работать вне офиса.
Если к переходу на удаленную работу организация не обеспечила достаточный ресурс для обеспечения средств хранения информации (серверов, облачной среды), а также не внедрила меры по защите хранящейся информации, не провела обучение сотрудников, могут возникнуть риски для:
- целостности информации (она может быть по ошибке изменена)
- конфиденциальности (такая система не обеспечивает защиту от несанкционированного доступа)
- доступности (сотрудники не могут получить доступ к нужным документам удаленно).
Таким образом, изменение контекста и процессов компании при переходе на удаленную работу требует пересмотра рисков, связанных с информационной безопасностью.
Понравилась эта статья? Интересуют стандарты ISO и системы менеджмента? Подпишитесь на нашу рассылку и регулярно получайте полезную информацию об изменениях в стандартах, разъяснения от аудиторов SGS и примеры лучших практик.
О КОМПАНИИ SGS
Группа SGS является мировым лидером в области независимой экспертизы, контроля, испытаний и сертификации. Основанная в 1878 году, сегодня SGS признана эталоном качества и деловой этики. В состав SGS входят свыше 2 600 офисов и лабораторий по всему миру, в которых работает 94 000 сотрудников.