Все чаще мы слышим не столько об информационной безопасности, сколько о кибербезопасности и ее важности для каждого, как частного лица, так и для организации, для государства и т.д.
Все ли хорошо понимают, что такое кибербезопасность?
Согласно определению, данному в Законе о национальной системе кибербезопасности Польши, кибербезопасность — это сопротивление информационных систем действиям, нарушающим конфиденциальность, целостность, доступность и подлинность обрабатываемых данных или связанных с ними услуг, предлагаемых этими системами. Очень похожее определение можно найти в стандарте ISO/IEC 27032: кибербезопасность — поддержание конфиденциальности, целостности и доступности информации в киберпространстве.
Обеспечение кибербезопасности — довольно сложная задача, особенно когда мы говорим об организациях. Существует множество стандартов, норм и правовых положений, касающихся информационной безопасности и кибербезопасности, в которые время от времени вносятся поправки, и регулярно появляются новые положения. Мы стараемся постоянно быть в курсе и информировать вас, поэтому рекомендую вам подписаться на информационный бюллетень IKMJ и следить за нашими новостями.
Наиболее популярным и признанным стандартом является ISO/IEC 27001 Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования. Стандарт ISO/IEC 27001 подлежит сертификации, существуют стандарты из семейства ISO 27000, которые помогают во внедрении 27001, дают различные советы и хорошие практики (ISO/IEC 27002, ISO/IEC 27005, ISO/IEC 27007 и т.д.). IKMJ поможет вам на каждом этапе внедрения, сопровождения или улучшения систем управления информационной безопасностью и кибербезопасностью.
Однако существуют стандарты, которые в большей степени ориентированы на организации, применяющие определенные технологические решения, например, серия стандартов IEC 62443 «Безопасность в системах промышленной автоматизации и управления» (IACS). Серия стандартов IEC 62443 устанавливает требования соответствия для всех организаций, поддерживающих владельцев активов в реализации технических и процедурных мер безопасности для защиты операционных объектов от киберугроз, уделяя особое внимание ОТ — операционным технологиям, а не ИТ.
Эти стандарты охватывают многие области и могут широко использоваться, что подтверждено Международной Электротехнической Комиссией (МЭК). Серия стандартов IEC 62443 может быть определена как всеобъемлющая, поскольку они охватывают различные структурные аспекты стратегии безопасности, такие как люди, процессы и технологии. Стандарты данной серии сгруппированы в четыре группы, в том числе:
- общие понятия, определения и темы, общие для серии;
- политики и процедуры безопасности IACS, включая требования к программам безопасности для владельцев активов, поставщиков услуг и поставщиков решений, а также методологию оценки уровня защиты, обеспечиваемого действующей IACS;
- технические требования и методология оценки риска кибербезопасности на общесистемном уровне;
- требования к безопасному жизненному циклу компонентов системы и требования безопасности к ним на техническом уровне.
Система управления кибербезопасностью (CSMS), предложенная стандартом IEC 62443, состоит из шести основных элементов:
- инициировать программу CSMS (для предоставления информации, необходимой для получения поддержки со стороны руководства);
- высокоуровневая оценка рисков (выявление и приоритизация угроз);
- детальная оценка рисков (детальная оценка технических уязвимостей);
- установление правил безопасности, организации и осведомленности;
- выбор и реализация контрмер (для снижения рисков для организации);
- поддержка CSMS (чтобы убедиться, что CSMS остается эффективной и поддерживает цели организации).
Вы планируете внедрить в своей организации систему управления информационной безопасностью или систему управления кибербезопасностью? У вас есть вопросы о стандартах, которые лучше всего подходят для вашей организации? Не стесняйтесь, связажитесь с нами!
Использованные источники:
Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, Польский Закон от 5 июля 2018 г. о национальной системе кибербезопасности
ISASecure: “IEC 62443 – SDLA Certification;” https://www.isasecure.org/en-US/Certification/IEC-62443-SDLA-Certification-(1).
ISA/IEC-62443-3-2: “Security for Industrial Automation and Control Systems: Security Risk Assessment and System Design,” 2015.
