Інформаційна безпека для малого та середнього бізнесу

ЗМІСТ

• Інформаційна безпека для МСП
• Початок роботи з інформаційною безпекою: ISO 27001 для малого бізнесуs
• Покращення ІТ-безпеки для МСП завдяки новим засобам контролю
• NIS2: Чому МСП повинні посилити свою кібербезпеку
• Інформаційна безпека для МСП - висновок
• У надійних руках з DQS
• Порада для читання: Задокументована інформація

Інформаційна безпека для МСП

Часи змінилися, а з ними і вимоги до кібербезпеки для МСП. Багато малих і середніх підприємств швидко зростають і часто є лідерами ринку у своїх галузях. Тому вони мають відповідно високу потребу в захисті своїх зазвичай унікальних ноу-хау та комерційних таємниць - а в принципі, всіх своїх даних та інформації - від несанкціонованого доступу.

Однак через обмеженість ресурсів МСП рідко мають необхідні засоби для безперебійного забезпечення інформаційної безпеки на рівні підприємства - навіть якщо вони усвідомлюють ризики безпеки в загальній картині інформаційних технологій та безпеки даних. Нестача фахівців в ІТ-секторі та величезні витрати на утримання власного Центру управління безпекою (SOC - Security Operations Center) - це лише дві з багатьох проблем, які стоять на шляху оптимізації кібербезпеки МСП.

Це тим більше проблематично, що МСП стикаються зі зростаючою кількістю атак з боку кіберзлочинців, не в останню чергу через напружену геополітичну ситуацію та збільшення кількості атак на ланцюги поставок. Спектр атак варіюється від програм-вимагачів, що масово розсилаються, до цілеспрямованих професійних атак на окремі компанії. Зловмисники також все частіше використовують хмарні сервіси як вектор атак, які МСП змушені використовувати особливо часто з міркувань економії та ефективності.

Опитування, проведене німецькою страховою компанією HDI Versicherungen у 2024 році, показало, що 53% малих та середніх компаній вже були об'єктом кібератаки. Однак ця цифра не відображає повного масштабу атак, а лише документує ті інциденти, які компанії публічно визнають.

Таке враження підтверджується німецьким "Gothaer SME Study 2024", згідно з яким кіберзлочинність становить найбільший ризик для 48% малих та середніх підприємств. Згідно з дослідженням, 37% малих компаній також очікують, що ризик стати жертвою кібератаки ще більше зросте протягом наступних дванадцяти місяців. Сюди не входять ті ризики інформаційної безпеки, які взагалі не походять з мережі, а мають внутрішній, здебільшого особистий характер, і відіграють значну роль в контексті комплексної інформаційної безпеки.

ISO 27001 для малого бізнесу

Як відповідального за інформаційну безпеку (якщо ви ISO -  information security officer) та захист даних у малому або середньому бізнесі, у вас навряд чи є вибір: ви повинні забезпечити безпеку конфіденційних даних та інформації. Йдеться не лише про безпеку інформаційних технологій. Структурні заходи, організаційні процедури та процеси, а також вимоги до персоналу також повинні бути взяті до уваги. Людський фактор також відіграє центральну роль в інформаційній безпеці, і його необхідно враховувати відповідним чином.

Золотим стандартом системної інформаційної безпеки є міжнародний стандарт ISO/IEC 27001. Він забезпечує встановлену тестову базу та керівні принципи для впровадження систем управління інформаційною безпекою (СУІБ) - для компаній незалежно від їхньої організаційної структури, орієнтації або розміру. Додаток А до нового стандарту ISO/IEC 27001:2022, який в оновленому вигляді охоплює всі аспекти інформаційної безпеки - від організаційних заходів до персональних і фізичних заходів та заходів технічної безпеки - є гарною основою для впровадження СУІБ для малих компаній.

Покращення ІТ-безпеки для МСП завдяки новим засобам контролю

Прагматичний характер одного лише Додатку А робить ISO 27001 хорошим вибором для малих компаній. Він включає в себе 93 заходи інформаційної безпеки (засоби контролю), 11 з яких були введені в останньому оновленні в 2022 році.

Нові засоби контролю зосереджені насамперед на безпеці даних та структур у цифровому середовищі і, таким чином, пропонують цінні рекомендації, які можуть суттєво покращити інформаційну безпеку для МСП. Нижче наведено огляд деяких нових функцій і того, як малі компанії можуть отримати від них користь:

• 5.7 Розвідка загроз, 8.16 Моніторинг активності, 8.23 Веб-фільтрація
  Ці засоби контролю для виявлення, запобігання та своєчасного розпізнавання кібератак можуть мати майже екзистенційне значення для МСП з точки зору безпеки та управління безперервністю бізнесу. Малі компанії не тільки вразливі до кіберзлочинності через свої обмежені ресурси, але й можуть швидко досягти межі загальної неплатоспроможності у випадку кібератаки з вимогою викупу.

• 5.23 Інформаційна безпека при використанні хмарних сервісів
  Оскільки МСП часто використовують зовнішні хмарні сервіси, впровадження відповідних процесів для придбання, використання, управління та виходу з хмарних сервісів є особливо актуальним. Цей показник також враховує відповідальність між постачальником хмарних послуг та організацією-користувачем хмарних послуг за належну безпеку хмарних сервісів.

• 5.30 Готовність ІКТ до безперервності бізнесу
  Безперервність бізнесу також є важливою для малих компаній, оскільки вони є частиною іноді глибоко інтегрованих ланцюгів постачання, а також для того, щоб звести до мінімуму фінансові втрати. Елемент керування "Готовність ІКТ до безперервності бізнесу" допомагає створити відповідну організаційну структуру на випадок інциденту та плани безперервності ІКТ (інформаційно-комунікаційні технології), включаючи процедури реагування та відновлення.

• 8.9 Управління конфігурацією
  Високопродуктивна та безпечна робота сучасних ІТ-ландшафтів значною мірою залежить від правильної конфігурації всіх задіяних систем, компонентів та додатків. Це добре для ІТ-безпеки малих компаній: Після конфігурації процеси моніторингу здебільшого можуть бути реалізовані автоматично, що майже не потребує додаткових витрат на персонал. Безпечне управління конфігурацією в інформаційних технологіях належить до сфери технологічних або технічних заходів.

• 8.10 Видалення інформації, 8.11 Маскування даних, 8.12 Запобігання витоку даних
  МСП часто створюють свою нішу на ринку завдяки унікальному досвіду. Ці спеціальні знання є ключем до їхнього успіху, а тому їх варто захищати. Технічні заходи з інформаційної безпеки допомагають компаніям уникнути небажаного витоку та втрати даних, а також мінімізувати поле для атак хакерів та промислового шпигунства.

Засоби контролю, наведені в Додатку А до ISO 27001, мають велику цінність для МСП, особливо в світлі майбутньої директиви NIS 2 про промислову кібербезпеку в ЄС.

NIS2: Чому МСП повинні посилити свою інформаційну безпеку

Наприкінці 2022 року Європейський Союз опублікував нову версію Директиви про мережеву та інформаційну безпеку (NIS - Network and Information Security Directive). NIS2 висуває нові вимоги до інформаційної безпеки для компаній у критично важливих секторах, а також торкнеться багатьох МСП щодо захисту даних та ІТ-структур.

Згідно з директивою NIS2, компанії з 50 і більше співробітниками і оборотом від 10 мільйонів євро з відповідних секторів повинні відповідати вимогам. МСП - це компанії з кількістю працівників до 249 осіб та оборотом до 50 мільйонів євро, тому вони безпосередньо підпадають під дію цієї директиви. Однак важливо розуміти, що навіть менші компанії також можуть зазнати опосередкованого впливу NIS2 через ланцюжок поставок, тобто як постачальники компаній, на які він поширюється. В рамках імплементації для конкретної країни, яка набуде чинності 17 жовтня 2024 року, ці межі можуть бути зміщені ще далі вниз.

У МСП залишилося не так багато часу, щоб підготуватися до нових вимог. Хороша новина: завдяки ISO 27001 малі компанії можуть зробити великий крок у правильному напрямку, оскільки стандарт вже охоплює значну частину (приблизно 95%) вимог NIS 2.

Інформаційна безпека для МСП - висновок

У світлі поточних сценаріїв загроз малі та середні підприємства (МСП), державні адміністрації та органи місцевого самоврядування також повинні впровадити систему управління інформаційною безпекою відповідно до міжнародно визнаного стандарту ISO 27001 і розглянути можливість її сертифікації. Перевага ефективної системи управління полягає не лише у всеосяжному та глибокому каталозі вимог, але й - і це особливо цікаво для МСП - у чітко орієнтованому на практику Додатку А, який у новій редакції 2022 року містить 93 заходи безпеки (контролю) у чотирьох розділах.

Що стосується інформаційної безпеки для МСП, то не тільки зростає потреба у впровадженні та сертифікації повноцінної СУІБ відповідно до ISO 27001 - досить поглянути на NIS-2 - але й структурні вимоги в деяких випадках також фундаментально змінилися. Це пов'язано з тим, що сьогодні багато МСП вже мають сертифіковану систему менеджменту якості відповідно до ISO 9001, а це означає, що основи для інтегрованої системи менеджменту разом з ISO 27001 вже створені, що дозволяє заощадити час, персонал і витрати. Таким чином, ISO 27001 для малих підприємств знаходиться в межах досяжності.

З DQS ви в надійних руках

Наші сертифікаційні аудити забезпечать вам ясність. Цілісний, нейтральний зовнішній погляд на людей, процеси, системи і результати показує, наскільки ефективною є ваша система менеджменту, як вона впроваджена і контролюється. Для нас важливо, щоб ви сприймали наш аудит не як перевірку, а як збагачення вашої системи менеджменту.

Наш підхід завжди починається там, де закінчуються контрольні списки аудиту. Ми спеціально запитуємо "чому", тому що хочемо зрозуміти причини, чому ви обрали той чи інший спосіб впровадження. Ми зосереджуємося на потенціалі для вдосконалення і заохочуємо зміну точки зору. Такий ретельний підхід гарантує, що ви визначите реальні сфери для постійного вдосконалення вашої системи менеджменту.

Порада для читання: Задокументована інформація

Швидкість, з якою поширюється та обробляється інформація, є основним викликом для сучасних організацій. Різноманітність інформації робить все більш складним визначення найважливішої інформації, яка має відношення до організації та її системи управління.

У той же час, використання сучасних засобів комунікації для контролю за документованою інформацією породжує абсолютно нові аспекти. Тому доступність, цілісність і конфіденційність стають все більш важливими. Однак зі збільшенням ступеня доступності знижується рівень інформаційної безпеки, якщо не вживати відповідних заходів захисту.

Довіра та досвід

Наші тексти та брошури написані виключно нашими експертами зі стандартів або аудиторами з багаторічним стажем. Якщо у вас виникли запитання щодо змісту тексту або наших послуг автору, будь ласка, зв'яжіться з нами.