Основные принципы обеспечения информационной безопасности
4.1. Осведомленность о риске информационной безопасности
Процессы обеспечения информационной безопасности затрагивают каждого работника, использующего его информационные активы, и накладывают на него соответствующие обязанности и ограничения.
4.2. Персональная ответственность
Ответственность за нарушения требований информационной безопасности возлагается непосредственно на работников, допустивших нарушения, и руководителя структурного подразделения, отдела, службы, в котором нарушения допущены.
4.3. Ограничение полномочий
Любому сотруднику доступ к информационным активам предоставляется только в том объеме, который необходим ему для выполнения служебных обязанностей. Все операции по предоставлению доступа или назначению полномочий осуществляются строго в соответствии с установленными процедурами (Процедура получения индивидуального доступа).
4.4. Комплексность защиты
Меры по обеспечению безопасности информационных активов принимаются по всем идентифицированным видам угроз с учетом результатов оценки рисков информационной безопасности.
4.5. Адекватность защиты
Принимаемые меры обеспечения информационной безопасности эффективны и соразмерны имеющим место рискам информационной безопасности.
4.7. Контроль со стороны руководства
Руководство на регулярной основе рассматривает отчеты о состоянии информационной безопасности в структурных подразделениях, отделах, службах и фактах нарушений установленных требований, а также общие и частные вопросы информационной безопасности, связанные с использованием технологий повышенного риска или существенно влияющие на бизнес-процессы.
РЕШЕНИЯ ДЛЯ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Специализированные решения позволят организациям предвидеть и минимизировать киберриски, угрозы, уязвимости и многочисленные требования соответствия. Решения оптимизируют усилия по кибербезопасности для достижения киберустойчивости, позволяя компаниям обеспечивать непрерывность бизнеса и аварийное восстановление.
Компания CloudNetworks занимается реализацией технических средств, которые позволяют повысить качество процессов управления информационной безопасности через контроль всех процессов внутренних сетей. Ознакомиться подробнее можно на страницах решений:
EDR — обнаружение и реагирование на угрозы конечной точки
Endpoint Detection and Response (EDR) относительно новая технология, решающая проблему постоянного мониторинга и реагирования на сложные угрозы. С ее помощью осуществляется мониторинг событий конечной точки и сети. Информация записывается в центральную базу данных, где происходит дальнейший анализ и составление отчетности.
PIM/PAM/PUM — контроль привилегированных пользователей
PAM-система – самая быстрорастущая область кибербезопасности и решений по управлению рисками. Она предоставляет строгую аутентификацию пользователей, то есть контроль доступа к паролям, службам и учетным записям.
SIEM — управление событиями и инцидентами ИБ
SIEM автоматически находит корреляции между данными и помогает защитить систему от киберугроз. Включите исторический анализ в вашу стратегию безопасности. Решение SIEM даст аналитикам свободу и возможность сосредоточиться на более насущных проблемах.
SOC, CERT — решения для построения центров управления безопасностью
Центр безопасности операций (SOC) отвечает за постоянный, оперативный компонент информационной безопасности предприятия. Группа реагирования на компьютерные инциденты (CERT) работает для обнаружения, анализа, реагирования, составления отчетов и предотвращения инцидентов кибербезопасности.
Security Awareness — программы повышения осведомленности
Создайте крепкий барьер от хакеров с помощью осведомленных сотрудников. Сегодня ни один поставщик услуг не может гарантировать 100% полную киберзащиту. Пройдя программы повышения осведомленности, ваши сотрудники станут надежной защитой компании. Программы обучения сотрудников позволят привить индивидуальную ответственность за политику безопасности компании, а также доработать меры по аудиту этих усилий.
Threat Intelligence — киберразведка
Получайте информацию об угрозах, включая контекст, механизмы, индикаторы, последствия и ориентированные на действия рекомендации относительно существующей или возникающей угрозы, или опасности для активов. Этот интеллект может использоваться для принятия решений относительно реакции субъекта на эту угрозу или опасность. Киберразведка повысит ценность функций безопасности для организаций всех размеров.
UAM — мониторинг действия пользователей
Цель мониторинга активности пользователей – это защита информации при обеспечении доступности и соблюдения требований конфиденциальности и безопасности данных. Решение для мониторинга активности пользователей позволит отслеживать рабочее поведение сотрудников и предупреждать администратора при обнаружении любых угроз безопасности.
Vulnerability Scanners — аудит и анализ защищенности
Сканеры уязвимостей – это инструменты, которые постоянно отслеживают приложения и сети для выявления уязвимостей безопасности. С помощью систем анализа можно просканировать всю корпоративную сеть для выявления уязвимостей, ошибок конфигурирования, ухода от корпоративных и мировых стандартов и практик.
UEBA, User and Entity Behavior Analytics — системы поведенческого анализа
Общая концепция управления рисками ИБ
ВеличинаРиска=ВероятностьСобытия*РазмерУщербаВероятностьСобытия=ВероятностьУгрозы*ВеличинаУязвимости
- Идентифицировать активы и оценить их ценность.
- Идентифицировать угрозы активам и уязвимости в системе защиты.
- Просчитать вероятность реализации угроз и их влияние на бизнес (англ. business impact).
- Соблюсти баланс между стоимостью возможных негативных последствий и стоимостью мер защиты, дать рекомендации руководству компании по обработке выявленных рисков.
прямымнепрямымПрямойНепрямойкачественныекосвенныеКачественнымиКосвенныетотальный рискостаточный рискколичественнымкачественнымколичественногоSLE=AssetValue*EFALE=SLE*ARO(Ценность мер защиты для компании) = (ALE до внедрения мер защиты) — (ALE после внедрения мер защиты) — (Ежегодные затраты на реализацию мер защиты)качественногосписок различных методологий риск-менеджмента
Лучшие средства защиты активов
Теперь, когда вы знакомы с наиболее распространенными структурами защиты активов, давайте рассмотрим, какие средства лучше всего подходят для защиты определенных типов активов.
Если у вас есть профессиональная практика или бизнес, ваш риск потерь и ответственности по претензиям особенно высок, что делает этот вид бизнеса опасным активом. Включение вашего бизнеса или практики когда-то считалось лучшим способом оградить ваши личные активы от ответственности и конфискации в результате претензий к вашему бизнесу. Однако компания с ограниченной ответственностью быстро заменила стандартный бизнес или корпорацию C в качестве предпочтительной организации по защите активов, поскольку она предлагает более удобную, гибкую, эффективную и менее дорогую альтернативу корпорации C, обеспечивая при этом тот же уровень защиты..
Поскольку LLC созданы в соответствии с законодательством штата, требования к подаче документов и меры защиты, которые они предлагают, могут отличаться от штата к штату. Но по большей части закон штата по существу разделяет владельцев ООО и их личные активы по ответственности, возникающей в результате деятельности ООО.
Тем не менее, во многих штатах определенные типы бизнес-профессионалов не могут позволить себе все средства защиты, предлагаемые LLC. Профессионалы, такие как врачи, юристы, стоматологи и психиатры, и это лишь некоторые из них, не могут защитить себя от ответственности ни с LLC, ни с корпорацией за претензии, непосредственно возникающие в результате их действий или бездействия.
Если предприятие не может защитить вас лично, рассмотрите возможность укрытия ваших личных активов в других организациях, таких как семейное партнерство с ограниченной ответственностью (FLP), траст или LLC. Тогда, даже если вам предъявят иск лично, по крайней мере, некоторые из ваших личных активов защищены в рамках одной или нескольких этих организаций, что отпугивает кредиторов от преследования их.
Последнее замечание для профессиональной практики или владельцев бизнеса: все же стоит вашего времени зарегистрироваться либо в корпорации C, либо в LLC. Хотя эти субъекты хозяйствования не могут защитить вас от исков о злоупотреблении служебным положением, они защитят вас от финансовых обязательств корпорации, если вы лично не гарантируете долг. Вы также можете быть защищены от большинства других претензий со стороны бизнеса, не связанных напрямую с вашими действиями как профессионала, таких как претензии сотрудников, поставщиков, арендодателей или арендаторов.
Термины и определения
- Риск — возможность возникновения финансовых потерь (убытков), незапланированных расходов или возможность снижения планируемых доходов.
- Операционные риски — это риски, связанные с финансово-экономической деятельностью (без учета рыночных и кредитных рисков), потери по которым связаны с результатами некомпетентного управления человеческими, технологическими факторами или внешними событиями.
- Служба автоматизации — Департамент ИТ и отдельные сотрудники, ответственные за обеспечение IT-сервиса (в том числе и организации, выполняющие данные работы по договору).
- Автоматизированная система обработки информации (АС) — организационно-техническая система, представляющая собой совокупность следующих взаимосвязанных компонентов: технических средств обработки и передачи данных (средств вычислительной техники и связи), методов и алгоритмов обработки в виде соответствующего программного обеспечения, массивов (наборов, баз) данных на различных носителях, персонала и пользователей, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки данных с целью удовлетворения информационных потребностей государственных органов, коммерческих или некоммерческих организаций (юридических лиц), граждан (физических лиц) и иных потребителей информации.
- Информационные средства — средства, предназначенные для хранения, обработки и передачи компьютерной информации, а именно: компьютеры и комплексы, терминалы доступа к ним, оборудование локальных вычислительных сетей и узлов связи, специальное оборудование на основе компьютеров, криптографическое оборудование.
- Информационный актив — различные виды информации (платежной, финансово-аналитической, служебной, управляющей, справочной и пр.) на всех этапах ее жизненного цикла, обеспечивающей деятельность и представляющей ценность с точки зрения достижения поставленных бизнес-целей.
- Владелец информационного актива — структурное подразделение, отдел, служба, реализующее полномочия владения, пользования и распоряжения информацией в соответствии со своими функциями и задачами. Владелец информационного актива определяется на этапе его создания.
- Информация — это сведения о фактах, событиях, процессах и явлениях, о состоянии объектов (об их свойствах, характеристиках) в некоторой предметной области, необходимые для оптимизации принимаемых решений в процессе управления данными объектами.
- Инцидент информационной безопасности — действительное, предпринимаемое или вероятное нарушение информационной безопасности. Нарушение может быть вызвано ошибками персонала, неправильным функционированием технических средств, природными факторами, преднамеренными злоумышленными действиями, приводящими к нарушению доступности, целостности, конфиденциальности информации.
- ЛВС — локальная вычислительная сеть.
- Firewall (межсетевой экран) — программно-аппаратный комплекс, применяемый для разграничения доступа между сетями.
- НГМД — накопитель на гибких магнитных дисках.
- СУБД — система управления базами данных.
- Notebook — переносной персональный компьютер небольших размеров.
- ПРД (Правила разграничения доступа) — совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
- Доступ к информации — ознакомление с информацией, ее обработка, в частности: копирование, модификация или уничтожение информации.
- Санкционированный доступ к информации — доступ к информации, не нарушающий правила разграничения доступа.
- НСД (Несанкционированный доступ к информации) — доступ к информации, нарушающий правила разграничения доступа.
- Доступность информации — свойство системы, в которой циркулирует информация (средств и технологии ее обработки), характеризующееся способностью обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия.
- Целостность информации — свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию).
- Конфиденциальность информации — субъективно определяемая (приписываемая) информации характеристика (свойство), указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на право доступа к ней.
Тактика обороны в эпоху Индустрии X.0
Трудно добиться надлежащего уровня кибербезопасности, когда нарушения ИБ-периметра остаются незамеченными.
Поэтому первое, что необходимо сделать — повысить внутреннюю прозрачность ИТ-систем для понимания текущей ситуации. Это реализуется с помощью комплексного операционного, ИТ/ИБ и физического мониторинга критической инфраструктуры. Информация по всем этим направлениям должна стекаться в единый ситуационный центр мониторинга для совместного использования, корреляции и управления на комплексной основе в рамках всей организации.
По большому счету безопасность Индустрии X.0 — это вопрос интеграции ИТ и ОТ (операционных технологий) на современном уровне. Это подразумевает создание интегрированной системы безопасности ИТ-инфраструктуры как в ее локальной, так и облачной составляющей для защиты управления доступом и безопасности приложений.
Если разбить шаги по укреплению кибербезопасности в рамках парадигмы Индустрии X.0 на блоки в порядке срочности, то в раздел «реализовать немедленно» попадут:
- формирование единого органа управления безопасностью ИТ/ОТ;
- организация тренингов и повышение осведомленности персонала в вопросах ИБ;
- инвентаризация, классификация и категорирование ОТ-активов, включая оборудование, процессы, ПО, сети, людей и взаимосвязи;
- определение требований ИБ к различным категориям ОТ-активов;
- внедрение быстрых и практических мер защиты ОТ в соответствии с приоритетами;
- мониторинг рисков в соответствии с определенной методологией и измерение эффективности мер ИБ.
Цель — получить интегрированный Security Operations Center, охватывающий облачную и локальную ИТ-инфраструктуру, а также сферу операционных технологий, генерирующий продвинутую аналитику по безопасности с использованием Threat Intelligence — подхода к выявлению новых и наиболее актуальных киберугроз на базе реальных кейсов и отслеживания релизов новых типов угроз в реальном времени.
Главным отличием промышленного предприятия является необходимость обеспечивать безопасность автоматизированных систем управления технологическим процессом, уязвимость которых может повлечь за собой нарушения технологического процесса, считает Евгений Артюхин. Также он указывает, что нельзя забывать о работе с персоналом, причем речь не только об офисных сотрудниках. Необходимо повышение осведомленности работников в вопросах информационной безопасности, это поможет предприятию быть устойчивыми к атакам методами социальной инженерии, не только с использованием корпоративной техники, но и таргетированных атак через социальные сети.
Цели и задачи системы обеспечения информационной безопасности
3.1. Цель системы обеспечения информационной безопасности — создание и постоянное соблюдение условий, при которых риски, связанные с нарушением безопасности информационных активов, постоянно контролируются и исключаются, либо находятся на допустимом (приемлемом) уровне остаточного риска.
Процессы обеспечения информационной безопасности являются составной и неотъемлемой частью процессов управления информационными технологиями и сопутствующими операционными рисками и осуществляются на основе циклической модели: «планирование — реализация — проверка совершенствование — планирование -…».
3.2. Безопасность информационных активов оценивается и обеспечивается по каждому из следующих аспектов:
- доступность,
- целостность,
- конфиденциальность.
При этом критерием оценки является вероятность, размер и последствия нанесения Организации любого вида ущерба (невыполнение имеющихся перед партнерами обязательств, финансовые потери, потеря репутации и пр.).
Состояние информационной безопасности оказывает непосредственное влияние на операционные риски деятельности в связи с чем любой факт (инцидент) нарушения информационной безопасности рассматривается как существенное событие.
3.3. Задачами системы обеспечения информационной безопасности являются:
- снижение операционных рисков, связанных с использованием информационных технологий;
- оптимизация затрат на обеспечение информационной безопасности;
- своевременное выявление новых угроз;
- контроль состояния информационной безопасности на всех этапах жизненного цикла автоматизированных систем;
- минимизация потерь Организации при возникновении угроз информационной безопасности;
- обеспечение жизнедеятельности и безопасности его информационных активов в условиях неблагоприятных событий (экономические и политические кризисы, природные и техногенные катастрофы, террористические угрозы и пр.).
Типы активов
Так называемые опасные активы по самой своей природе создают значительный риск ответственности. Примеры опасных активов включают арендуемую недвижимость, коммерческую недвижимость, коммерческие активы, такие как инструменты и оборудование, а также автомобили. С другой стороны, безопасные активы не способствуют возникновению высокой степени неотъемлемой ответственности. Владение акциями, облигациями и индивидуальными банковскими счетами не включает в себя риск самого своего существования.
Безопасные активы, как правило, могут принадлежать вам индивидуально или одному и тому же лицу, поскольку они несут с собой низкую вероятность риска. Однако вы не хотите смешивать опасные активы ни с другими опасными активами, ни с безопасными активами. Отдельное владение опасными активами ограничивает риск убытков для каждого отдельного актива.
Например, медицинская практика имеет очевидный неотъемлемый риск ответственности. Но знаете ли вы, что если вы владеете зданием, в котором работает практика, это имущество также может считаться опасным активом? Если и практика, и здание принадлежат вам или одному и тому же предприятию, ответственность, возникающая в связи с одним из активов, может распространяться на другой и включать в себя другой, подвергая как ваши средства к существованию, так и имущество риску потерь.
Внутренние и внешние требования к активам
Внутренние требования возникают от кредиторов, средства правовой защиты которых ограничиваются активами определенного лица, например корпорации. Например, если у вас есть корпорация, которая владеет недвижимостью, и кто-то поскользнулся и упал на собственность, принадлежащую корпорации, потерпевшая сторона ограничивается преследованием активов корпорации (т. Е. Недвижимости). Это предполагает, что вы не причинили травму.
Внешние претензии не ограничиваются активами организации и могут распространяться на ваши личные активы
Например, если той же корпорации принадлежал грузовик, который вы по неосторожности въехали в толпу пешеходов, пострадавший может подать в суд не только на корпорацию, но и на вас, и удовлетворить любое судебное решение в отношении корпоративных активов, а также ваших личных активов
Знание типа требований, которые могут быть предъявлены, позволит вам лучше спланировать и защитить вашу собственность от конфискации, а вашу заработную плату – от конфискации
Также важно понимать, какие типы активов более подвержены искам
Важность защиты активов
Целью комплексного плана защиты активов является предотвращение или значительное снижение риска путем защиты вашего бизнеса и личных активов от требований кредиторов. К сожалению, большинство владельцев малого бизнеса не осведомлены обо всех потенциальных рисках, которые могут нанести вред их бизнесу, и о доступных вариантах защиты. В плане защиты активов используются правовые стратегии, применяемые до возникновения судебного процесса или иска, которые могут удержать потенциального истца или помочь предотвратить конфискацию ваших активов после вынесения судебного решения. Если вы еще не разработали план защиты активов, не ждите. Чем дольше существует план, тем сильнее он будет.
Стратегии, используемые при планировании защиты активов, включают отдельные юридические структуры или договоренности, такие как корпорации, товарищества и трасты. Структуры, которые будут работать для вас лучше всего, в значительной степени зависят от видов активов, которыми вы владеете, и типов кредиторов, которые, скорее всего, будут предъявлять к вам претензии.
Об общих понятиях
Чтобы успешно разобраться со всеми представленными данными, необходимо знать несколько моментов:
- Информационный актив. Это данные с реквизитами, которые позволяют провести идентификацию. Имеют ценность для определенной организации и находятся в ее распоряжении. Представлены на любом материальном носителе в форме, которая позволяет обрабатывать ее, хранить, или передавать.
- Классификация информационных активов. Это разделение имеющихся данных организации по типам, которые соответствуют степени тяжести возникающих последствий как результат потери их важных свойств.
Как можно понять, важны не только отдельные цифры и их пояснения, но и возможность оперативно использовать, защита от несанкционированного доступа и ряд других моментов. Когда выделены и сформированы информационные активы предприятия, остро встает вопрос их правильной классификации с последующим обеспечением безопасности. Почему именно так? Дело в том, что с помощью классификации можно оформить ключевые метрики для используемой информации – ее ценность, сила влияния на предприятие, требования к обеспечению/сопровождению/защите и тому подобное. Во многом от этого зависит, как данные будут обрабатываться и защищаться. Кроме этого, существует ряд нормативных стандартов, которые предусматривают проведение обязательной инвентаризации информационных активов организации. Хотя единой процедуры для этого и не существует.
Защита на уровне
Кибербезопасность в среде Индустрии X.0 — это не просто абстрактная технологическая проблема, она разделяется на несколько вполне конкретных уровней.
Первый — физический
Устройства промышленного интернета вещей (датчики) часто устанавливаются в удаленных местах, которые могут находиться за пределами контроля оператора, поэтому важно учитывать их физическую безопасность. Она может реализовываться простыми методами в виде запираемых на замок шкафов с оборудованием, а может усиливаться за счет интеграции цифровых механизмов безопасности, таких как системы сигнализации на панели управления, которые сообщают о несанкционированном доступе, или видеонаблюдение с распознаванием лиц
«Система информационной безопасности как живой организм, постоянно меняется в зависимости от внутренних и внешних факторов. Этим факторами являются изменения конъюнктуры рынка, изменения в требованиях законодательства РФ
Поэтому очень важно своевременно заметить эти изменения и в короткий срок отреагировать и перестроить систему информационной безопасности, — говорит Анатолий Маслов, директор по организационному развитию металлургического холдинга «Новосталь-М». — Появление Индустрии Х.0 не только расширит доступное злоумышленникам поле для маневра, но и сделает ущерб от кибератак более значимым для операционной деятельности Предприятия, из-за чего стоимость ущерба вырастет в абсолютных значениях»
Второй уровень — человеческий фактор. Любая кибербезопасность сильна настолько, насколько сильно ее самое слабое звено — человек. Хакеры научились использовать методы социальной инженерии, чтобы получать информацию от сотрудников, подрядчиков, заказчиков и других пользователей ИТ-систем предприятия. Злоумышленники эксплуатируют некомпетентных в области ИБ сотрудников, например, использующих один и тот же пароль для рабочих и личных аккаунтов.
Третий уровень — организационный. В прошлом защита промышленных процессов регулировалась различными командами и группами внутри организации. ИТ-безопасность в их ведение не включалась. В итоге сегодня на предприятиях, как правило, отсутствует комплексный подход к защите процессов и инфраструктуры, сочетающий практики кибербезопасности, обеспечения надежности систем и физической защиты.
Новая цифровая парадигма для бизнеса — Индустрия X.0 — вместе с идеологией постоянных технологических изменений несет в себе и новые риски. Фото: ru.depositphotos.com
Четвертый уровень — технологический. С одной стороны, более интеллектуальные технологии способны сдерживать, предотвращать и обнаруживать кибервторжения. С другой — киберугрозы тоже становятся «умнее и сложнее». Существующие технологические архитектуры и старые системы, которые были безопасны и надежны в течение многих лет, теперь могут обеспечить почти беспроблемный вход для хакеров в производственные системы компании.
При обеспечении кибербезопасности Предприятия Х.0, по мнению Анатолия Маслова, необходимо уделять равное внимание как операционной составляющей процесса (создавать продуманные реализации бизнес-процессов, составлять описания зон ответственности подразделений и каждого работника предприятия), так и технологической, которая управлять призвана ликвидировать уязвимости систем, закрывать бреши в системе зашиты Предприятия. «Случаи со Spectre и Meltdown иллюстрируют проблему ярче всего: 27 уязвимостей, которые были обнаружены в архитектурах процессоров AMD, ARM и Intel, использующихся в миллионах машин по всему миру
Они дают злоумышленникам дополнительные возможности по установлению контроля над практически каждым устройством, включая ноутбуки, мобильные устройства и промышленные системы, повышая риски их эксплуатации на порядок. Это аппаратные уязвимости и программными патчами их так просто не исправить», — отмечает серьезность вызовов руководитель практики информационной безопасности компании Accenture в России Андрей Тимошенко
«Случаи со Spectre и Meltdown иллюстрируют проблему ярче всего: 27 уязвимостей, которые были обнаружены в архитектурах процессоров AMD, ARM и Intel, использующихся в миллионах машин по всему миру. Они дают злоумышленникам дополнительные возможности по установлению контроля над практически каждым устройством, включая ноутбуки, мобильные устройства и промышленные системы, повышая риски их эксплуатации на порядок. Это аппаратные уязвимости и программными патчами их так просто не исправить», — отмечает серьезность вызовов руководитель практики информационной безопасности компании Accenture в России Андрей Тимошенко.
Общие положения
С целью минимизации рисков Департамент ИТ обеспечивает выполнение требований целостности, конфиденциальности и доступности информации.
Разработкой требований и контролем их выполнения занимается Департамент ИТ.
Данные требования обязательны к исполнению всеми работниками структурных подразделений, отделов и служб.
Все требования по обеспечению информационной безопасности применимы к каждому работнику, а также к любому третьему лицу, включая лиц, работающих по договорам гражданско-правового характера и прикомандированных работников, имеющих доступ к информации и ее информационным ресурсам.
Каждый работник, а также любое третье лицо, включая лиц, работающих по договорам гражданско-правового характера и прикомандированных работников, имеющих доступ к информации и ее информационным ресурсам признает право на осуществление контроля их деятельности при работе с информационными средствами и информацией.
Вся деловая информация в любой форме, приобретенная или полученная, используемая для поддержки его законной производственно-хозяйственной деятельности, либо разработанная его работниками в ходе производственно-хозяйственной деятельности, принадлежит Организации. Это право собственности распространяется на голосовую и факсимильную связь с использованием аппаратуры, на лицензионное и разработанное программное обеспечение и отдельные программы, на электронные почтовые ящики, а также на бумажные и электронные файлы всех бизнес-направлений, бизнес-функций, и на всех работников.
Запрещается использование информации и информационных средств в личных целях.
Больше метрик
Главные ключи к успеху в ИБ для Индустрии X.0 — превентивная оценка рисков и приоритет на безопасности в работе руководителей всех ключевых подразделений предприятия. Эти два аспекта следует «включать» от самых ранних стадий инсталляции любых технологических решений до окончания срока службы или вывода из эксплуатации.
Организациям необходимо применять подход «безопасность на уровне архитектуры», включающий анализ рисков и механизмы обеспечения безопасности конвергентных архитектур ИТ и ОТ. Для этого следует добавить метрики безопасности в аналитику.
Журнал событий межсетевых экранов и систем управления доступом, управление изменениями настроек ИТ платформ и средств защиты, статистика инцидентов и системы управления событиями ИБ (SIEM) могут помочь в совершенствовании этой работы.
Например, ошибки конфигурации могут привести к уязвимостям и киберинцидентам и вызвать простои. Добавление метрик и индикаторов (риска, компрометации) позволяет организациям отслеживать угрозы и действовать гибко и проактивно, чтобы различать операционные или кибер-проблемы. Это сократит время отклика и восстановления после сбоя в работе корпоративных и производственных систем или процессов.
Еще один важный момент — плотное сотрудничество с заинтересованными сторонами экосистемы Индустрии X.0 (поставщики, клиенты, регуляторы, ИТ/ИБ вендоры), для оптимального понимания, какие показатели и меры безопасности наиболее полезны в данный период.