Разбираемся со стандартами Кибер Безопасности

Введение

Обеспечение информационной безопасности в организации, довольно комплексная задача, требующая немало времени и ресурсов. В особенности если у компании нет первоначального плана о том, как лучше всего это сделать. Именно для таких ситуаций существуют различные стандарты информационной безопасности, позволяющие облегчить нашу жизнь и даёт вам единый, эффективный подход к решению этой задачи.

Какие существуют стандарты

В зависимости от того, чем занимается та или иная организация будет зависеть выбор стандарта, по которому необходимо действовать для обеспечения максимальной безопасности информации и минимизировать риски. Пришло время разобраться с самими стандартами и рассмотреть каждый из них по отдельности.

ISO/IEC 27001, 27002

Данные стандарты являются государственным стандартом в управлении информационной безопасности Республики Узбекистан. Стандарт ISO/IEC 27001 предоставляет организациям методологию для формирования процесса управления информационной безопасностью, ориентируюсь на возможные риски. Так как стандарт ISO/IEC 27001 основывается в зависимости от существующих рисков, центральной фигурой в стандарте является чёткой выявление всевозможных угроз и их оценка. Ориентируясь на них, компания разрабатывает соответствующую политику безопасности и протоколы реагирования.

В то время как ISO/IEC 27001 координирует компанию в выстраивании эффективного процесса управления информационной безопасностью. ISO/IEC 27002 является последующим звеном во внедрении и поддержании ISO/IEC 27001, содержащий в себе инструкции и практики для дальнейшего контроля безопасности.

NIST CSF (NIST Cyber Security Framework)

Стандарт NIST CSF был изначально разработан для защиты критических инфраструктур и борьбы со сложными киберугрозами, когда обычные методы защиты становятся недостаточными. NIST CSF позволяет компаниям более гибко выстраивать процесс управления информационной безопасностью и часто применяется в индустриях энергетики, транспорт, здравоохранения, которые зачастую становятся главной целью государственно-поддерживаемых хакеры. Следуя фреймворку NIST CSF, компании получают возможность быть готовыми к изощрённым попыткам атак и разработать план реагирования и восстановление системы при инцидентах различной степени критичности.

PCI DSS (Payment Card Industry Data Security Standard)

Данный стандарт необходим для тех, кто так или иначе связан с процессингом платёжных карт и имеет дела с платежами. Стандарт PCI DSS позволяет наладить процесс обработки платежей безопасным путём и исключить риски потенциальной утечки конфиденциальных данных платёжных карт и обеспечить необходимый уровень защиты всей платёжной системы. Именно стандарт PCI DSS позволяет людям со всего мира оплачивать свои покупки онлайн, совершать транзакции и ещё многое другое единым образом, не переживая за безопасность своих средств.

GDPR (General Data Protection Regulation)

GDPR представляет собой закон и одну из самых строгих сводок правил по защите персональных данных. Любая организация, собирающая и хранящая данные жителей Европы, обязана следовать политике безопасности GDPR. Помимо политики сбора и хранения персональных данных, GDPR также устанавливает список наказаний и штрафов за нарушение правил различной степени критичности.

FISMA (The Federal Information Security Management Act)

FISMA является актом, состоящим из нескольких ключевых стандартов и методологий обеспечения кибербезопасности. Данный акт чаще всего применяется в Государственных секторах для защиты критических государственных данных. Следование FISMA заключает в себе внедрение средств контроля безопасности, регулярная оценка рисков безопасности и разработка плана реагирования. Акт FISMA требует активное обучение персонала кибербезопасности и защите данных, минимизировав риски атак с использованием социальной инженерии. Для поддержания минимального уровня рисков и угроз, все инциденты кибербезопасности должны тщательно отслеживаться для своевременной идентификации и реагирования на инциденты.

Заключение

Конечно, список перечисленных стандартов и законов не является исчерпывающим и помимо них существуют ещё множество различных методов и фреймворков в обеспечении кибербезопасности в организациях. Также, стоит отметить, что каждый из этих стандартов не является гарантированным способом защиты от всевозможных угроз. Однако соблюдение этих правил, является верным путём к минимизации негативных последствий киберинцидентов.