В области кибербезопасности, в информационной безопасности / IT-безопасности, а также в базовой IT-защите зачастую используется Excel, поскольку данный инструмент, как правило, удобен для использования и, как правило, отвечает требованиям нормативных документов, в т.ч. ISO 27001 Приложение A. Но насколько эффективен Excel в качестве инструмента контроля в информационной безопасности во времена сложных и быстро меняющихся условий, новых глобальных рисков и динамичных бизнес-процессов?
В настоящее время многие компании используют самостоятельно созданные решения по информационной безопасности на основе Excel или других инструментов управления электронными таблицами. Мы рассматриваем СУИБ как центральную задачу в рамках систем управления рисками и соответствия государственным и корпоративным стандартам и исполлзуем высокоавтоматизированные решения на платформе TopEase®. Мы твердо убеждены, что интегрированные решения должны применяться не только в крупных корпорациях, но и в каждой компании, которая имеет дело с киберрисками, кибератаками, сценариями цифровых угроз или в целом с внедрением базовой IT-защиты или ISO 27000. Здесь необходимы такие решения, которые могут быть внедрены независимо от размера компании, масштабируются вместе с компаниями и их требованиями — от стартапов до крупных корпораций.
Мы сравнили типовое решение Excel для внедрения ISO2700 с нашим решением по управлению информационной безопасностью на базе TopEase®, используя следующие 5 категорий:
Обеспечение информационной безопасности должно распространяться на все основные процессы и их вспомогательные активы. Здесь между процессами и их активами часто возникают отношения m:n. Кроме того, модели процессов меняются все быстрее и быстрее, особенно в связи с изменениями потребительского ландшафта, что может оказать значительное влияние на цели защиты отдельных процессов и их активов.
Nach der initalen Einführung, der digitalisierung der ISO 27001 sowie des Anhangs A, oder weiterer branchenspezifischer Standards und Vorgaben, soll weiter mit dem Informationssicherheitssystem gearbeitet werden. Der Chief Information Security Officer (CISO) erstellt und analysiert Bedrohungsszenarien, führt Risikobewertungen durch, definiert Maßnahmen und Schutzkonzepte, beantragt auf Kosten- /Nutzenbasis Budgets für die Umsetzung der Cybersicherheit, und berichtet regelmäßig an die Geschäftsführung.
Критерий соответствия нормативным требованиям в области информационной безопасности описывает, насколько легко или сложно обеспечить соблюдение норм при реализации того или иного решения, а также связанные с этим риски
Затраты на внедрение оцениваются как первоначальные затраты на создание системы информационной безопасности. При этом учитываются затраты на оборудование и кадры.
В будущем информационная безопасность будет играть более значительную роль в сетевых системах управления рисками и соблюдения норм и будет иметь более высокую степень сетевого взаимодействия. Риски информационной безопасности должны указываться в отчете об общих рисках компании. Тесное взаимодействие с системами управления процессами, а также системами внутреннего контроля (СВК) и аудиторскими решениями упрощает управление и проведение аудитов.
В решениях на базе Excel часто создаются отдельные электронные таблицы для каждого вида анализа, например, для аудита отдельного процесса и лежащих в его основе потребностей в защите и активов. Отдельные показатели определяются в каждой электронной таблице, либо они перечисляются в целом в сводной электронной таблице и вручную разбиваются на подтаблицы по отдельным критериям оценки.
Для такого подхода представления процессов А с процессами В и соответствующими мерами С характерна существенная избыточность.
Установление связей с рисками и их представление в СУИБ в графической форме (например, в виде стандартизированной матрицы рисков) может быть реализовано лишь со значительными усилиями.
Оценка целей защиты (конфиденциальность, целостность, доступность) происходит непосредственно в процессе. При привязке (отображении) процесса к соответствующим активам связь устанавливается на уровне базы данных — таким образом, все связи с процессами могут быть просмотрены и на уровне активов. В дополнение к чистой СУИБ, связь между процессами и активами также дает значительные преимущества в отношении управления непрерывностью бизнеса.
Защитные меры вводятся только один раз, они могут быть назначен нескольким активам или рискам — больше нет необходимости вручную указывать один и тот же способ обеспечения защиты для различных активов, как в Excel. Сложность внедрения и отслеживания мер также минимизируется благодаря постоянной поддержке рабочего процесса.
Все записи делаются вручную. Отчеты могут быть генерироваться путем ввода формул или использования макросов, что требует больших трудовых затрат, в т.ч. для последующей актуализации в случае изменения содержания.
TopEase® предлагает широкий спектр функций автоматизации, позволяющий существенно снизить нагрузку на сотрудников службы информационной безопасности: к примеру, все необходимые элементы управления из приложения ISO27001 могут быть приписаны активу на основе его характеристик. Чеклисты на соответствие нормативным требованиям могут создаваться автоматически и передаваться соответствующим исполнителям автоматически. Кроме того, дэшбоард предоставляет автоматизированные отчеты в режиме реального времени. Управление рисками помогает директору по информационной безопасности выявлять актуальные тренды, концентрируя внимание только на значимых рисках.
Помимо Excel, для обеспечения необходимого уровня соблюдения нормативных требований часто требуются дополнительные инструменты: в рамках управления документами часто используются инструменты для отслеживания различных редакций нормативных документов. Отслеживание изменений на уровне каждого пользователя подчас невозможно, поэтому рабочие процессы и процедуры согласования должны обеспечиваться дополнительными программными решениями.
TopEase® предлагает автоматизированный контроль: вся информация, в т.ч. чеклисты и сами риски, контролируется в рамках дублированных процессов. Пользователи и роли пользователей контролируются централизованно, что повышает эффективность системы контроля информации. Автоматизированное сравнение различных редакций нормативных документов или анализов риска упрощает отслеживание изменений.
Решения на базе Excel часто приходится адаптировать к потребностям компании, на что уходит много времени и затрат. Поскольку не всегда все подводные камни известны на этапе внедрения, якобы «простой» проект превращается в долгосрочный с высокими расходами, которые превышают первоначальный бюджет. В последние годы сложность реализации экспоненциально возрастает из-за количества киберрисков и новых сценариев угроз, таких как например управление «домашним офисом».
TopEase® поставляется в виде эффективной среды — облачной или локальной. Вместе с производителем компания ThiemeBieg & Associates оказывает поддержку компаниям при конфигурировании платформы, а также в рекомендациях необходимых мер и в разработке комплексной документации ISO27001.
При желании вы можете получить оцифрованную базу законов и норм и тем самым снизить нагрузку на персонал.
Благодаря нашему опыту, особенно в инфраструктурном секторе, в области внедрения и управления системами информационной безопасности, вы сможете воспользоваться нашими передовыми ноу-хау в области СУИБ и, таким образом, избежать повышенных затрат.
Из-за отсутствия интерфейсов Excel обладает ограниченной совместимостью с другими системами на основе электронных таблиц.
Будучи интегрированной платформой (корпоративное управление, управление рисками и соблюдение нормативных требований), TopEase® обеспечивает полное взаимодействие с другими решениями TopEase®, такими как управление рисками, управление процессами или системами контроля информации. Кроме того, другие системы могут быть подключены через современные интерфейсы, такие как REST; имеется возможность интеграции данных из других систему (например по управлению процессами), что позволяет использовать их в рамках управления информационной безопасностью. Также возможен экспорт данных, который часто используется для ввода позиций финансовых рисков в ERP-системы, такие как Microsoft Dynamics или SAP.
Идентификация рисков в области информационной безопасности и их минимизация — эта, казалось бы, простая задача требует интегрированных систем ввиду все более комплексных угроз. Кибербезопасность / информационная безопасность должна работать как минимум на том же технологическом уровне, что и киберпреступность.
В связи с повышением требований в области СУИБ и, соответственно, увеличением затрат директора по информационной безопасности и его подчиненных, СУИБ должна включать как можно больше средств автоматизации повторяющихся действий, таких как подготовка отчетов, вплоть до сложных задач по расчету тенденций рисков. Системы, подобные TopEase®, могут значительно снизить рабочую нагрузку в сфере информационной безопасности. Благодаря автоматизации, а также многолетнему использованию в области критической инфраструктуры, стандартные решения, в т.ч. TopEase®, позволяют избежать «подводных камней» при внедрении СУИБ, сократить технические и финансовые затраты по ее внедрению и обеспечить соответствие нормативным требованиям.
Использование интерфейсов, а также облачная интеграция позволяют быстро обмениваться информацией не только внутри компании, но и с программными решениями в СУИБ, такими как управление непрерывностью бизнеса и анализ воздействия на бизнес.
Обеспечение взаимосвязей между процессами, рисками и активами представляет собой значительное управленческое преимущество для компаний.