Ввиду сложного механизма взаимодействия, (относительно низкие штрафы, разрозненные подходы к отмыванию денег и потенциально массовых выплат), киберпреступность для хакеров имеет особенную привлекательность. Ключевыми задачами являются подготовка и выявление уязвимых мест, а также повышение стабильности с точки зрения взаимодействия с общими системами управления, и именно в данной ситуации вступает в силу стандарт ISO/IEC 27001, Системы управления информационной безопасностью (ISMS).
Данный стандарт является флагманом серии стандартов ISO/IEC 27000, он был впервые опубликован более 20 лет назад. Разработанный СТК 1, совместным техническим комитетом ИСО и Международной электротехнической комиссии (МЭК), он создан для гарантии формальной стандартизации в области информационных технологий, постоянно обновляется и расширяется. Существует более 40 международных стандартов начиная с общего словаря (ISO/IEC 27000), в том числе касающиеся риск-менеджмента (ИСО/МЭК 27005), облачной безопасности (ISO/IEC 27017 и ISO/IEC 27018), методов судебной экспертизы, используемых для анализа цифровых доказательств и расследования инцидентов (соответственно ISO/IEC 27042 и ISO/IEC 27043).
Стандарты не только помогают управлять информационной безопасностью, но также помогают выявлять и привлекать преступников к ответственности. Например, ISO/IEC 27043 содержит руководящие принципы, описывающие процессы и принципы, применяемые к различным видам расследований, включая несанкционированный доступ, повреждение данных, сбои системы или корпоративные нарушения информационной безопасности, а также любые другие цифровые расследования.
На шаг впереди
Адаптация серии стандартов к потребностям малого и среднего бизнеса в процессе постоянной эволюции является серьезной ответственности задачи подкомитета ПК 27 комитета ИСО/МЭК СТК 1 в области информационной безопасности, во многом благодаря вкладу таких людей, как профессор Эдвард Хамфрис (Edward Humphreys), который возглавляет рабочую группу, ответственную за разработку Систем управления информационной безопасностью (ISMS), одного из наиболее эффективных инструментов управления рисками для борьбы с миллиардами атак ежегодно2), происходящих ежегодно и непрерывно совершенствующихся.
Мне удалось взять интервью у проф. Хамфриса, специалиста в области информационной безопасности и управления рисками, с более чем 37-летним опытом работы в сфере консалтинга и научных исследований. Я начал с того, что спросил об основах ISMS и о том, как они могут предупреждать действия преступников, чтобы защищать бизнес и потребителей. «Это правда, что риски, которые являются угрозой для бизнес-процессов, приложений и услуг, нарастают. ISO/IEC 27001 непрерывно совершенствуется, что означает управление рисками, позволяющее компаниям быть в курсе своей борьбы с киберпреступностью».
По словам проф. Хамфриса, постоянное совершенствование ISO/IEC 27001 означает, что организация может оценивать свои риски, внедрять средства контроля для их снижения, а затем отслеживать и анализировать ситуацию, улучшая свою защиту по мере необходимости. Таким образом, возможно быть всегда готовыми к потенциальным угрозам: «При правильном внедрении ISMS позволяют организациям опережать события, реагируя на меняющуюся среду риска, которую формируют Интернет и киберпространство».
От угроз к возможностям
На бизнес-уровне по-прежнему остается сложной задачей моделирование и смягчение угроз. Существует явная потребность в использовании единой, интегрированной системы безопасности во всем бизнесе, и, учитывая сложность взаимодействия, мы спросили проф. Хамфриса, могут ли ISMS применяться к малым и средним предприятиям (SME). «ISMS применяются ко всем типам организаций и всем видам предпринимательской деятельности, в том числе SME. Многие SME являются частью производственно-сбытовых цепочек, поэтому крайне важно, чтобы они управляли своей информационной безопасностью и киберрисками, чтобы защитить себя и других». Проф. Хамфрис объяснил, что обязательства бизнеса обычно прописаны в соглашении о качестве обслуживания (SLA), договорах, заключенных между партнерами в цепочке поставок, которые детализируют обязательства по обслуживанию и требованиям, а также устанавливают юридические обязательства, что для ISMS часто является неотъемлемой частью таких соглашений.
Конечно, существуют проблемы, связанные с организацией онлайн-бизнеса для SME, но открытые Интернетом возможности гораздо шире. «Можно было бы утверждать, что именно малые предприятия в наибольшей степени внедряют новые технологии», – отметил посол Всемирной торговой организации Алан Вольф (Alan Wolff). Выступая на Генеральной ассамблее ИСО в 2018 году, г-н Вольф отметил, что «любой, у кого есть дизайн, у кого есть компьютер, кто может попасть в Интернет или имеет доступ к платформе, может стать частью международной торговли».
Перспективы социально-экономического развития страны колоссальны. Интернет охватывает все большее число ранее изолированных лиц и сообществ. Однако для смягчения негативных последствий необходим проверенный и осмотрительПраво на неприкосновенность личной жизни и меры по укреплению доверияный подход, такой как ISMS. В доказательство проф. Хамфрис напомнил о том, что кибератака на одну часть цепи поставок может нарушить всю цепь, а последствия могут выйти за рамки вашего собственного бизнеса или клиентов. Данное утверждение верно как для ремесленников с Бали, так и для государственных национальных служб здравоохранения в Европе.
Право на неприкосновенность личной жизни и меры по укреплению доверия
Наша частная жизнь может быть менее сложной, чем функционирование глобального бизнеса, но на карту поставлено столько же. Для многих из нас простое следование рекомендациям по паролям и обновлению безопасности (и напоминание о том, что если ситуация вызывает подозрение и выглядит слишком оптимистично, то наверняка так и есть) должно помочь нам от киберпреступников в большинстве случаев.
Я спросил проф. Хамфриса, содержит ли серия стандартов ISO/IEC 27000 ответы на существующие вопросы? «Недавно подкомитет ПК 27 приступил к новой разработке – ISO/IEC 27552, который конкретизирует ISO/IEC 27001 относительно решения конкретных вопросов, касающихся конфиденциальности. В настоящее время на стадии разработки проекта документа сформулированы требования и даны рекомендации по установлению, внедрению, поддержанию и постоянному совершенствованию управления конфиденциальностью в пределах организации».
Когда конфиденциальность, финансы, личная или корпоративная репутация находятся под угрозой, подрывается доверие и изменяется поведение как в Интернете, так и в реальной жизни. Серия стандартов ISO/IEC 27000 позволяет нам продолжать выявлять первостепенные задачи. Поскольку все больше аспектов нашей жизни становятся цифровыми, существуют основания для беспокойства, но обнадеживает то, что разработан ряд стандартов по информационной безопасности, на которые можно рассчитывать, и группа всемирно известных экспертов, таких как проф. Хамфрис, работают, чтобы мы были на шаг впереди.
1) Стив Морган (Steve Morgan), “Cyber Crime Costs Projected To Reach $2 Trillion by 2019”, Forbes Online
2) «Отчет об угрозах безопасности в Интернете», том 23, Symantec, 2018
