Список крупнейших утечек данных 2014-2015 годов возглавляют компании не имеющие сертификацию по ISO 27001

Список крупнейших утечек данных 2014-2015 годов возглавляют компании не имеющие сертификацию по  ISO 27001

В 2015 утечки данных, киберпреступления и взломы стали главной проблемой корпораций, что привлекло к себе внимание средств массовой информации и поставило под угрозу неприкосновенность многих компаний. Что изменилось в 2017 году?!

Сертификация по ISO 27001 предоставляет конкретные преимущества

Корпоративные отчеты о нарушениях, постоянно попадающие на первые страницы газет, служат напоминанием о том, что сегодня наша информация находится в большей опасности, чем когда либо ранее. В 2015 утечки данных, киберпреступления и взломы стали главной проблемой корпораций, что привлекло к себе внимание средств массовой информации и поставило под угрозу неприкосновенность многих компаний.

PECB провел исследование касательно крупнейших утечек данных в 2014-2015 годах. Согласно с полученными данными, ни одна отрасль -  сервисы для онлайн знакомств, страховые компании, производители игрушек, поставщики услуг,органы власти, а также другие промышленные сектора - не были застрахованы от кибератак/ или не могли противостоять кибератакам. Из 20 наибольших утечек данных в среднем каждая из них затронула около 35 миллионов человек. Компанией, которая пострадала больше остальных, была eBay, второй в списке пострадавших является  Anthem и JP Morgan.

Ни одина  из взломанных компаний не  были сертифицированы по  ISO/IEC27001 в момент утечки данных.

Когда количество инцидентов в кибербезопасности возросло и нарушения стали более существенными, это привело  к серьезным финансовым последствиям. Приблизительно 191 миллион $  был потрачен компаниями в 2014 на покрытие расходов на  утечки данных. Убытки крупных организаций составили в среднем 93 миллиона $. Следовательно, потребность в защите информации становится не только желательной, но и необходимой. 

По данным Global State of Information Security Survey 2015  число обнаруженных инцидентов в области информационной безопасности увеличилось на 66% с 2009 года. Согласно данным опроса 2014 года - общее число инцидентов в области безопасности увеличилось до 42,8 млн по всему миру, что на 48% больше, по сравнению с 2013 годом.

 

Что следует извлечь из опыта пострадавших компаний?

В ходе исследования было проанализировано 20 крупнейших утечек данных в периоде с  2014 по 2015, с целью выявления того, что компании делают неправильно и  какие меры следует предпринять для устранения данных проблем. Среди пострадавших(взломанных) компаний были также и те, которые предоставляют услуги в области информационной безопасности. Эти компании, безусловно, имели мощные технические средства контроля информации, такие как брандмауэры, антивирусы и другие защитные средства, которых, по-видимому, было недостаточно.

Но, только одна технология не сможет обеспечить безопасность ваших данных.

Компании должны следить за каждым аспектом рабочего процесса, включая процесс управления, для обеспечения надлежащего уровня информационной безопасности.В рамках 27001 ISO / IEC предлагается   обучение и соответствующие технические практикумы для более детального изучения.Из-за этих утечек данных, миллионы людей пострадали от потери личной информации: имена, адреса, даты рождения, номера телефонов и социального страхования, номера платежных карт, электронные письма и другие персональные данные.

Очень показательным является тот факт, что ни одна из компаний не была сертифицирована по ISO / IEC 27001 к моменту возникновения утечек. Они либо не внедряли  стандарт ISO / IEC 27001 Системы управления информационной безопасностью, либо не реализовывали его должным образом.

 

Возникает вопрос о том, каким образом можно избежать  утечек  данных или уменьшить их количество при условии  внедрения ISO / IEC 27001 в рамках организации. Ответ заключается в том, что он может улучшить системы управления информационной безопасностью, обеспечение качества, повысить уровень осведомленности в вопросах безопасности среди сотрудников, клиентов, поставщиков, а также предотвратить возникающие в сязи с этим нарушения и т.д. Это обеспечивает основу для реализации ИТ-безопасности, а также может помочь в определении состояния информационной безопасности и степени соблюдения политик безопасности, директив и стандартов.

 

Кроме того, приложение A к ISO / IEC 27001 имеет 114 средств управления, которые помогают организациям защищать информационные активы, даже если не все из них связаны с технологией,все они связаны с информационной безопасностью. Специалисты рекомендуют многоуровневый подход к информационной безопасности, предлагая следующие шаги, соответствующие стандарту ISO / IEC 27001 средства управления.

“Независимая сертификация третьей стороной позволяет компаниям подтвердить, что все требования ISO / IEC 27001 реализуются”.

Принимая во внимание тот факт, что некоторые атаки начались сфишинговыхэлектронных писем, отправленных сотрудникам, организации желающие соответствовать стандарту  ISO / IEC 27001 должны по крайней мере:

  1. Определить навыки, необходимые для обеспечения надлежащего функционирования СУИБ.
  2. Реализовать программу обучения для персонала, выполняющего работу, связанную с СУИБ.
  3. Реализовать программу связи для информирования заинтересованных сторон  об изменениях в СУИБ, которые могут повлиять на них.
  4. Оценить эффективность мер, принимаемых для ведения учета.

Вот некоторые положения ISO / IEC 27001, которые могут помочь в решении выше упомянутых вопросов:

 

ISO / IEC 27001, пункт 7.3 Осведомленность

Персонал, выполняющий работу в рамках системы управления организации, должен знать: политику в области информационной безопасности,

их вклад в результативность системы менеджмента информационной безопасности, включая выгоды от улучшения деятельности по обеспечению

информационной безопасности, и последствия несоответствий требованиям системы менеджмента информационной безопасности.

Организации следует рассматривать вопрос осведомленности заинтересованных сторон в качестве основной цели по укреплению или изменению своего режима работы(функциональных возможностей)и позиций, и поощрять их придерживаться ценностей организации. Сообщения, повышающие осведомленность, должны быть сосредоточены на правильном обращении с информацией и поведении пользователей.

ISO / IEC 27001, пункт 7.2 Компетентность

Организация должна:

a) определять необходимую компетентность персонала, который выполняет работу под управлением организации, и который влияет на ее информационную безопасность;

b) гарантировать, что этот персонал компетентен в силу соответствующего образования, подготовки или опыта.

ISO / IEC 27001, пункт 7.4 Коммуникация

Организация должна определить потребность во внутренних и внешних коммуникациях, существенных для функционирования системы менеджмента

информационной безопасности, включая:

a) на какой предмет обмениваться информацией,

b) когда обмениваться информацией;

c) с кем обмениваться информацией;

d) кто должен обмениваться информацией; и т.д.

В этом вопросе, организация должна обеспечить надлежащее вовлечение повышающего квалификацию персонала в процесс обучения, что улучшит качество управления и ответственность при работе с процессами.

 

Управление хранением данных

ISO/IEC 27001, пункт 7.5.3 Управление документированной информацией (Защита, распределение, хранение, архивирование и удаление)

Задокументированная информация должна контролироваться и и поддерживаться организацией, и носителем, на котором она хранится.

Он может быть в любом формате, как медиа, так и из любого источника, такого как бумага, магнитный, электронный или оптический диск компьютера, фотографии  и т.д.

ISO / IEC 27001, A.11.1.2 Контроль физического ввода - Безопасные зоны должны быть защищены соответствующей записью контроля в целях обеспечения того, чтобы доступ был разрешен только уполномоченному персоналу.

В безопасных зонах обеспечивается управление защитой от несанкционированного физического доступа, повреждений и вмешательств в помещения, оборудование и информацию, например, специально выделенные компьютерные залы и центры обработки данных. Есть целый ряд соображений, касающихся организации надлежащей безопасности в соответствующих зонах.

Управление сетевой безопасностью

 

ISO/IEC 27001, A.13.1.1 Управление сетями - сети должны управляться и контролироваться, чтобы защитить информацию в системах и приложениях.

Средства контроля должны быть внедрены для гарантирования защиты информации в сетях и поддерживающих сети средств обработки информации от неавторизированного доступа:

  • должны быть установлены обязанности и процедуры для управления сетевым оборудованием;
  • ведение журнала и осуществление мониторинга для получения возможности обнаружения действий, которые имеют отношение к информационным технологиям или могут повлиять на них;
  • системы в сети должны быть аутентифицированы;
  • системы подключения к сети должны быть ограничены.

Для получения более полной информации: ISO/IEC 27002 и ISO/IEC 27033.

 

Передача информации

ISO/IEC 27001, A.13.2.2 Соглашения по передаче информации - Соглашения должны регламентировать безопасную передачу бизнес-информации между организацией и внешними сторонами.

Для поддержания безопасности информации, передаваемой в рамках организации, а также любым внешним объектом, следует придерживаться официальной политики передачи, процедур и мер, чтобы защитить передачу информации посредством использования всех видов средств связи.

Некоторые из проанализированных компаний реализовали требования ISO 27001, но без независимой сертификации третьей стороной. Этот факт делает невозможным определение того, насколько они соответствуют требованиям ISO / IEC 27001. Получение сертификации независимой третьей стороны, такой как PЕCB, для заинтересованных сторон и клиентов служит доказательством, что все требования и средства управления осуществляются правильно.

Сертификация ISO/IEC 27001

Обзор сертификаций стандарта ISO системы управления в  2014 году показал, что количество сертифицированных по  ISO/IEC 27001 компаний возросло на 7%.В 2013 году 22,349 компаний были сертифицированы по ISO/IEC 27001, и это количество в 2014 увеличилось на 1,623 компании. Вместе с тем важно отметить, что в Великобритании наблюдаются наиболее значительное снижение инцидентов в области информационной безопасности                                     

                                                          

"Количество сертифицированных компаний по  ISO/IEC 27001 возросло на 7%  в 2014 году "

Это означает, что компаниям следует обращать больше внимания на сертификацию по ISO/IEC 27001, которая позволит им уменьшить и/или устранить утечки данных, приводящие к потере миллионов пользовательских записей.

О PECB

PECB предоставляет свои услуги по обучению и оцениванию,аудиту и сертификации, а также широкий спектр услуг по внедрению, управлению и аудиту систем управления информационной безопасностью;  вспомогательные элементы управления.

PECB предлагает услуги сертификации по различным стандартам, включая ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27005, ISO/IEC 27032, ISO/IEC 27034, ISO/IEC 27035, ISO/IEC 20000, и т.д.

PECB стремиться предоставить своим клиентам комплексную оценку и услуги сертификации, обеспечивающие доверием общества и приносящие пользу в целом. Мы разработали программу обучения по предоставлению защиты организациям, основанную на лучшем опыте.На сегодняшний день в PECB получили сертификацию   по стандарту уже более чем 5000 специалистов.Наша цель - помочь обществу принять лучшие промышленные стандарты, что позволит повысить производительность и уменьшить убытки.

Для получения более полной информации: PECB ISO/IEC 27001Сертификация физических лиц, и ISO/IEC 27001Аудит и сертификация для организаций.

                                                          

Присоединяйтесь к кругу, состоящему из более чем 5000 специалистов, сертифицированных по  ISO/IEC 27001 при участии PECB.

 Более детальную информацию о предстоящих тренингах, пройти регистрацию Ві сможете на нашем сайте www.pecb.com.ua.

Мы всегда рады встречи с Вами!



Залишити коментар
Будь ласка, введіть ваше ім’я
Будь ласка, введіть коментар.
1000 символів

Будь ласка, введіть email
або Відмінити

Інші статті в категорії IT, програмування, розробка Менеджмент, керування, KPI Фінанси, кредит, банківська справа