Наръчник за информационна сигурност за малки и средни предприятия

Наръчник за информационна сигурност на малки и средни предприятия

Докато очакваме официалното въвеждане на директивата за защита на личните данни, известна като GDPR, темата за информационната сигурност е една от най-горещите и най-неясните, особено при малките и средните предприятия. Пазим ли информацията си добре, адекватни ли сме на настоящите и бъдещите законови изисквания и как да се съобразим с тях с наличния капацитет и ресурси, с които разполагаме?

Европейския алианс на малките и средните предприятия от ИКТ сектора – най-голямата мрежа от малки и средни предприятия в този сектор в рамките на ЕС, предлага наръчник за информационна сигурност на малките и средните предприятия. Целта на наръчника е да посочи добрите практики в информационната сигурност и да помогне за изпълняването на стандарт ISO/IEC 27001, свързан с управлението на информационната сигурност. Стандартът, както всички стандарти ISO, не са задължителни, но са препоръчителни в рамките на ЕС и помагат за постигането на по-добра конкурентоспособност на предприятията.

Малките и средните предприятия са сред най-рисковите групи по отношение на кибер сигурността по няколко причини. Първо, те представляват масата от предприятия в Европа. Но в същото време системите им за сигурност са далеч по-ограничени от тези на големите компании. Много от малките и средни предприятия подценяват кибер рисковете като смятат, че информацията, която притежават, не е толкова съществена и желана за открадване. Но кибер престъпниците далеч не смятат така, а лесните жертви винаги са желани.

Наръчникът предлага основни процедури и практики, които би следвало да подобрят информационната сигурност на предприятията. Те са написани специално за компании с голям обем технологични активи, но може да бъдат прилагани и в останалите сектори.

Стъпка 1: Поставяне на основите на информационната сигурност

Преди са се започне с каквито и да било действия, е важно да се уочни формата, времевите рамки и участието на служителите. В първите стъпки е необходимо участието на висшия мениджмънт и експерт по темата. Изпълнението на задачите трябва да бъде поверено на мениджър по сигурността на информацията.

След установяването на стратегията за кибер сигурност, следва разпределянето на задачите и ролите на отговорните за целта лица. При компаниите с по-голям мащаб е препоръчително създаването на комисия, съставена от ръководителите на различните звена в компанията, която да следи за изпълняването на задачите и препоръките за кибер сигурност. Назначаването на отговорно лице по информационната сигурност също е добра идея. Следващите стъпки са информиране на целия персонал за предприетите действия по кибер сигурността и обучения с цел опазването на тази сигурност.

 

Стъпка 2: Разбиране на ценността на активите и това, което трябва да бъде защитено

На първо място трябва да се направи анализ на активите на компанията – материални и нематериални – и кои от тях са от най-съществено значение за нея и се нуждаят от защита.

Може са се създаде карта на активите, като се започне от нематериалните – информацията. За целта могат да бъдат използвани различни подходи:

  • По процеси и дейности.

Звено връзки с клиенти: Оперира с данни за клиентите, заявки на клиентите, оплаквания от клиенти и др.

Звено развитие и изследвания: Работи с данни за дизайна на продуктите, програмни кодове, чувствителна продуктова информация и др.

И т.н., според вина на организацията.

 

  • По тип информация:

А. Лични данни

Б. Чувствителни лични данни – вкл. здравни диагнози, политическа насоченост, номера на банкови сметки

В. Стратегически фирмени данни като бизнес планове, прогнози, финансови отчети

Г. данни за продукти, дизайн, проекти, производство

Д. Други фирмени данни – анализи, статистики, данъчна информация

 

Важно е да се идентифицират и всички останали активи на компанията, които се използват при съхранението и обработката на информацията, включително техническа инфраструктура, персонал и др. Следващата логична стъпка е разбирането на връзката между ключовите материални и нематериални активи – напр. през какви служители, процеси и носители преминава всяка от различните видове информация. След този анализ може да се определи в кои звена и области има нужда от най-голяма защита и кое звено от каква степен на защита се нуждае. Например, информация като лични данни и заявки от потребители най-вероятно е достъпна от компютрите на всички служители, но не и в сървърите, предназначени за тестове, или пък в споделените папки. На тях, обаче, вероятно се пази не по-малко ценна информация като програмни кодове и дизайни на продукти. Изясняването на тези връзки е ключово за определянето на правилните подходи за защита на всички видове информация.

 

Стъпка 3: Оценка на рисковете пред информационната сигурност

В тази стъпка трябва да се предположи предварително какво може да се обърка, за да се вложат необходимите ресурси за предотвратяването на нежелани ситуации. Обикновено трябва да се анализират ситуациите, които ще доведат до най-тежки загуби за компанията, и да се оптимизира защитата срещу такива случаи.

По отношение на информацията, на първо място може да се направи прост анализ на база достъпност и конфиденциалност – две от най-сериозните качества, свързани с кибер сигурността. Първо, информацията трябва да се раздели на две групи – такава с голяма стойност и такава с малка стойност. След това за двете групи да се отговори на два въпроса:

  1. Може ли и доколко недостъпността на тази информация да навреди на дейностите и репутацията на компанията?
  2. Може ли неоторизираното използване и разпространение на тази информация да причини сериозни конкурентни вреди на организацията или да доведе до нарушения на законови изисквания и задължения?

Получените резултати след това се асоциират с всеки от основните типове информация в компанията и се получава таблица с най-рисковите ситуации и типове информация. След като свържем тези резултати с анализираните по-горе връзки между типовете информация и останалите активи, ще се видят по-ясно рисковите точки на бизнеса.

Следващата стъпка е оценка на средата и рисковете, произтичащи от нея – например рискове от природни бедствия, безредици, физически атаки, кибер атаки, повреди, шпионаж и др. Оценката може да се направи на база минали събития и опит на персонала за справяне с такива ситуации. Трябва да се отговори и на въпросите доколко бизнесът е зависим от доставчици, какво е доверието към персонала, каква е вероятността за човешки грешки, колко уязвима е репутацията на компанията.

Последният процес е идентифицирането на мерките, които вече са взети за сигурността на информацията.

 

Стъпка 4. Създаване, прилагане и контролиране на мерки за сигурност на информацията

Разписването на новите мерки за сигурност трябва да стане на база анализираните по-горе типове информация, използвани активи и процеси, както и рисковете, свързани с тях. Подразбира се, че за всеки актив и вид информация ще са необходими различни мерки за защита. Например информация, съдържаща лични данни и заявки на клиенти, може да е достъпна както от компютрите, така и от смартфоните на служителите. Но всеки от тези активи е изложен на различни рискове – напр. Смартфонът е по-лесно да бъде откраднат или загубен, но пък компютърът може да пострада от електрически срив, вирус или хакерска атака.

При създаването на стратегията и набора от мерки, е важно рисковите точки да бъдат подредени по приоритети, както и мерките, свързани с тях. Подробен списък с примерни ситуации и мерки можете да намерите в пълния документ тук.

Следващите логични стъпки са свързани с изпълнението на плана за информационна сигурност и контролирането на правилното изпълнение на задачите. За целта е добре да се правят периодични одити.

 

Важно да се знае:

Въвеждането на мерки за сигурността на информацията е от ключово значение за успешното съществуване на компаниите, но не е достатъчно, за да се елиминират на 100 % рисковете и заплахите, както и произтичащите от тях последици. За създаването на сигурна бизнес среда ключово значение имат и застраховките, особено на чувствителни активи като информация. Кибер застраховката не е лукс, нито излишен разход, и е не по-малко важна от всички обичайни задължителни и доброволни застраховки, които една организация сключва. Не е преувеличено да се каже, че рисковете за сигурността на информацията в последните години са дори по-големи от рисковете по задължителни полици като „Професионална отговорност“ и др. Но това рядко се възприема, тъй като по закон застраховката кибер отговорност не е задължителна.

Застраховка Кибер отговорност помага на всяка компания за минимизиране на вредните последици от нарушаването на сигурността както на нематериалните активи, така и на техническа инфраструктура, засегната при такива атаки. Не на последно място, застраховката е най-верният помощник при преминаването през всички последващи процеси като съдебни дела, възстановяване на репутация и справяне с недоволството на клиентите и засегнатите лица.

Научете повече за застраховка Кибер отговорност и защита на лични данни.

Свържете се с нас за подробна информация и оферта за застраховка Кибер сигурност.

Изтеглете тук целия Наръчник за информационна сигурност за малки и средни предприятия – SME-Guide-for-the-implementation-of-ISOIEC-27001-on-information-security-management-min.

  Онлайн услуги
x