Skip to Menu Skip to Search Напишите нам Russia Выбрать веб-сайт и язык Skip to Content

Стандарт ISO 27001:2013 на системы управления информационной безопасностью устроен так же, как все современные стандарты на системы менеджмента. И в нем так же предусмотрено требование выявлять и оценивать риски, как и в любом другом стандарте ISO.

Оценка рисков для системы информационной безопасности — процесс непрерывный, требующий рассмотрение внутреннего и внешнего контекста. Сейчас контекст стремительно меняется: сотрудники вынуждены работать из дома. Соответственно, изменились и риски. Рассмотрим подробнее, как стандарт ISO 27001 помогает ими управлять.

ISO 270001 и риски информационной безопасности при переходе на удаленную работу

Что входит в область управления стандарта

Стандарт ISO 27001 предназначен для обеспечения конфиденциальности, целостности и доступности информации компании (трех принципов управления информацией), а также направлен на соблюдение требований законодательства. Меры, предусмотренные стандартом, призваны защитить ваши данные от киберпреступлений, от неправомерного использования, кражи и других угроз.

  • Конфиденциальность. Примером обеспечения конфиденциальности может быть онлайн-транзакция, проводимая с использованием безопасных методов, таких как использование шифрования, при котором информация защищается с помощью протокола HTTPS.
  • Доступность. Например, портал онлайн-банкинга позволит клиентам банка получать доступ к своим счетам в любое время суток.
  • Целостность. Примером может служить достоверность и полнота информации о финансовом счете клиента, например, банковского счета и личных данных, необходимых для совершения банковских операций.

Стандарт ISO 27001 охватывает эти три компонента.

Информационные активы компании

В выявлении рисков, которые могут повлиять на конфиденциальность, целостность и доступность информации, поможет список информационных активов. По оценкам специалистов, которые проводят аудиты систем управления информационной безопасностью, в среднем учитывается лишь 30-50% активов. Актив — это все, что может представлять ценность для организации и поэтому требует защиты. Для идентификации активов, нужно иметь в виду, что информационная система состоит не только из аппаратного и программного обеспечения. Например люди, работающие в компании, рассматриваются в стандарте как актив. Виды активов в рамках системы управления информационной безопасностью:

  • инфраструктура (IT/оборудование)
  • люди
  • организация
  • процессы
  • информация
  • приложения, программы

Что угрожает активам?

Угроза может нанести вред этим активам, например, нарушить информационные процессы и системы и, следовательно, причинить ущерб организации в целом. Угрозы могут быть естественного или человеческого происхождения и могут быть случайными или преднамеренными. Все случайные и преднамеренные источники угрозы должны быть идентифицированы. Угроза может возникнуть внутри или снаружи организации. Примеры угроз: кража, поломки, неправильное использование. Например, угрозы, связанные с использованием ноутбука:

  • Кража
  • Пролив воды
  • Попадание частиц пищи во внутренние части ноутбука
  • Падение
  • Утеря
  • Риск оставить в самолете
  • Скачки электричества

Кроме того, следует учитывать уязвимости системы управления данными. Так, для компании в целом уязвимостью могут являться пробелы в политике управления данными. А применительно к устройству — ноутбуку — уязвимости следующие: предмет представляет интерес для воров; принадлежность предмета определенному лицу, например, генеральному директору. Некоторые угрозы могут затрагивать более одного актива. В таких случаях они могут оказывать различное влияние в зависимости от того, какие активы затронуты.

Оценка рисков с точки зрения возможных последствий.

Должны быть разработаны критерии оценки риска для информационной безопасности организации с учетом следующих моментов:

  • стратегическая ценность деловой информации;
  • критичность задействованных информационных активов;
  • эксплуатационная и коммерческая важность доступности, конфиденциальности и целостности информации;
  • ожидания и восприятие заинтересованных сторон;
  • репутационные потери в связи инцидентами.

Оценку рисков следует проводить с учетом вероятности наступления риска и степени влияния возможных негативных последствий. Например, можно составить таблицу с параметрами: низкий, средний, высокий. Шкалу для оценки рисков каждая компания выбирает сама, исходя из потребностей. Более подробно об оценке рисков можно прочитать в нашей статье Риск-ориентированное мышление в стандартах ISO.

Пример оценки рисков в ISO 27001

Особенности удаленной работы

В стандарте ISO 27001 есть раздел A.6.2.2 «Мобильные устройства и дистанционная работа» (Mobile devices and teleworking). В нем прописаны требования к управлению безопасностью процессов удаленной работы, начиная от политики, программы удаленной работы и заканчивая измерениями этих процессов.

Для удаленной работы существует три сценария:

  • Люди работают из дома или из места, которое не является их домом или организацией (например, кафе, гостиницы, самолеты и т. д.)
  • Люди используют стационарные или мобильные устройства (например, ПК, ноутбуки, планшеты, смартфоны и т. д.)
  • Люди используют публичные или частные сети связи (например, интернет и экстранет).

Знание этих сценариев имеет решающее значение для выявления наиболее вероятных ситуаций, которые могут поставить вашу информацию под угрозу. В связи с переходом многих сотрудников на удаленную работу на первый план выходят угрозы, связанные с:

  • хранением и управлением данных в облачных хранилищах;
  • утечкой и кражей данных;
  • несанкционированным доступом к информационным системам;
  • устаревшими устройствами веб-защиты;
  • устаревшими механизмами удаленного доступа.

Необходимо рассматривать риски с точки зрения появления новых сценариев и проводить переоценку рисков в связи с увеличением вероятности событий.

Так, если в компании отсутствует электронный документооборот или применяется от случая к случаю, могут возникнуть риски не получить своевременно доступ к информации, например, к договорам с клиентами, операционным планам и записям, которые хранятся в виде бумажных документов в офисе.

Массовый переход на системы для онлайн-конференций выявили их уязвимости — а именно отсутствие должной защиты конфиденциальных данных, что может представлять угрозу для организаций. Конфиденциальность также подвержена новым рискам: ведь данные, с которыми работают сотрудники в домашних условиях, с большей вероятностью могут быть раскрыты посторонним лицам.

Может нарушиться и целостность информации — она может быть повреждена и изменена из-за незнания сотрудниками новых инструментов, с которыми им пришлось работать вне офиса.

Если к переходу на удаленную работу организация не обеспечила достаточный ресурс для обеспечения средств хранения информации (серверов, облачной среды), а также не внедрила меры по защите хранящейся информации, не провела обучение сотрудников, могут возникнуть риски для:

  • целостности информации (она может быть по ошибке изменена)
  • конфиденциальности (такая система не обеспечивает защиту от несанкционированного доступа)
  • доступности (сотрудники не могут получить доступ к нужным документам удаленно).

Таким образом, изменение контекста и процессов компании при переходе на удаленную работу требует пересмотра рисков, связанных с информационной безопасностью.

О КОМПАНИИ SGS

Группа SGS является мировым лидером в области независимой экспертизы, контроля, испытаний и сертификации. Основанная в 1878 году, сегодня SGS признана эталоном качества и деловой этики. В состав SGS входят свыше 2 600 офисов и лабораторий по всему миру, в которых работает 94 000 сотрудников.