Количество киберпреступлений растет с каждым днем по всему миру. Жертвами атак становятся не только промышленные предприятия, но и органы местной и региональной власти, неправительственные организации, а также компании сферы здравоохранения, туризма, перевозок, розничной торговли и других.
По данным израильской компании Check Point, работающей в сфере IT-безопасности, в 2021 году было совершено рекордное количество киберпреступлений. По сравнению с 2020 годом, в 2021 году недельные показатели числа преступлений выросли на 50%. Сложнее всего пришлось организациям сферы образования и науки – количество кибератак возросло на 75%. Атаки на госпредприятия и военно-промышленные организации участились на 47%, организации здравоохранения – на 71%.
Уязвимостей слишком много
Почему же организации настолько уязвимы? Причин этому много. Одна из них — недостаточная осведомленность сотрудников о мерах безопасности. Открывая письма от незнакомых адресатов, используя простые логины и пароли, оставляя на видном месте записки с данными для входа, люди сами облегчают жизнь преступникам.
Второе — использование устаревшего программного обеспечения и антивирусов, а также незащищенных мобильных устройств.
По данным журнала Computer Weekly, во многом кибератаки имеют место из-за человеческих ошибок. Это признают 84% процента жертв подобных преступлений.
Однако безопасность подрывают не только люди и компьютеры. И обеспечивать ее нужно во всей компании, всех ее процессах, работах и отделах. В действительности безопасность начинается с самого входа в офис.
Чтобы обеспечить оптимальный уровень защиты организации, нужно задать сразу ряд вопросов:
- Как оценивается безопасность помещения? Закрываются ли они на ключ, используется ли биометрия?
- У кого есть доступ к помещениям? Есть ли места с доступом для ограниченного круга лиц?
- В каком случае в офис допускаются сотрудники сторонних фирм, например, клининга?
- Как на входе проверяют посетителей? Установлены ли камеры наружного наблюдения?
- Как обеспечивается защита информации на устройствах?
- Как организована утилизация бумажных и электронных документов?
И многие другие. Эти вопросы не самые сложные, но им нужно уделить внимание в каждой организации.
Ответ всему – в менеджменте информационной безопасности
Лучшим ответом на вышеприведённые вопросы – внедрение комплексной системы менеджмента информационной безопасности (СМИБ). Именно благодаря ей руководство компании может быть спокойно, что никакая важная информация не будет повреждена, уничтожена или не попадет в чужие руки.
СМИБ включает совокупность мер и процедур, обеспечивающих защиту конфиденциальных данных. В ней предусмотрено и использование технологий, и мониторинг поведения сотрудников, и их обучение.
Только благодаря полноценному внедрению СМИБ возможно обеспечение защиты информации на достаточно высоком уровне.
Обеспечение информационной безопасности с ИСО/МЭК 27001
Разработанный экспертами двух известнейших организаций по стандартизации, стандарт ИСО/МЭК 27001 устанавливает требования к созданию, внедрению, поддержке и постоянному совершенствованию системы управления информационной безопасностью в организации, а также к оценке и обработке рисков информационной безопасности с учетом потребностей компании. Требования являются общими и могут применяться в любой организации, независимо от ее типа, размера или направления деятельности.
ИСО/МЭК 27001 – не просто стандарт о том, как защищать информацию. С его помощью можно научиться управлять информацией, не только внутренней, но и полученной из внешних источников – например, от клиентов или поставщиков. В нем также содержится информация, как предупреждать предумышленные кибератаки.
Сертификация IECQ по стандарту ISO/IEC 27001
Проходя сертификацию по стандарту ИСО/МЭК 27001, компания демонстрирует высокий уровень защиты конфиденциальной информации и способность обеспечить безопасность собственных и поступающих извне данных. Иными словами, показывает, что ей можно доверять.
Хотя сертификация по стандарту ИСО/МЭК 27001 проводится с 2013 года, т.е. с момента его публикации, единого порядка оценки соответствия установлено не было. Довольно часто, обращаясь в органы по сертификации, организации сталкивались с тем, что эксперты интерпретировали требования стандарта по-разному, соответственно, устанавливая к заявителю неодинаковые требования и выдавая сертификаты по собственной форме.
Все это привело к потребности в единой схеме сертификации, которую недавно и представила МЭК в рамках своей Системы оценки соответствия электронных компонентов (IECQ). Согласно новым требованиям, все органы по сертификации, действующие в рамках IECQ, должны придерживаться единого алгоритма оценки соответствия по стандарту ISO/IEC 27001, а также выдавать сертификаты о соответствии только единого установленного образца. Выданные документы можно будет проверить на сайте IECQ. Это в свою очередь позволит вернуть доверие к самой процедуре сертификации и выдаваемым документам.
Перевод с английского языка: ООО «Открытый сертификат»
Источник:www.etech.iec.ch/