­­­­

«ЕЙ-БІ-СІ ГРУП» ТОВ

“A-B-C GROUP” LLS
Важливість управління безпекою сторонніх постачальників
Зміст
  • Вступ
  • Чому важлива безпека сторонніх постачальників
  • Перевірка ваших сторонніх постачальників
  • Що таке ISO 27001?
  • Керуйте своїми постачальниками за допомогою Реєстру постачальників ISO 27001
  • Захист ланцюга поставок у стандарті ISO 27001
  • ISO 27001 Гарантія якості послуг стороннім постачальникам
  • Завантажте найкращі шаблони постачальників ISO 27001 у галузі
  • Вимоги ISO 27001 до реєстру постачальників ISO 27001
  • Контролюйте своїх сторонніх постачальників за допомогою Інструментарію від АВС GROUP
Адаптація нового постачальника? Чи знаєте ви, що ці відносини з третіми сторонами становлять найбільший ризик для вашої організації, коли йдеться про інформаційну безпеку?
Проведення виснажливих оцінок ризиків та заповнення багатокілометрових анкет сторонніх постачальників звучить як виснажлива робота, ми це розуміємо. Але якщо ви не ставитеся серйозно до безпеки вашого стороннього постачальника, вас чекає пекло витоку даних .
Ми тут, щоб запропонувати вам  райське відчуття ISO 27 (001) . (Це стане зрозуміло пізніше.)
Вступ
Згідно з  новим дослідженням  SecurityScorecard, світового лідера в рейтингах кібербезпеки, та Cyentia Institute, незалежної дослідницької фірми з кібербезпеки,  98% організацій мають відносини принаймні з одним стороннім постачальником, у якого протягом останніх двох років стався витік даних. Дивовижна справа, чи не так?
Мораль цієї історії?  Безпека вашої компанії настільки ж сильна, як і її найслабша третя сторона . Якщо щось і підкреслює важливість управління ризиками з боку третіх сторін, то ЦЕ ВОНО!
Я Станіслав Бичков: містер ISO 27001, спеціаліст з інформаційної безпеки. Я прагну ділитися своїми знаннями та пропонувати галузеві консультації таким компаніям, як ваша, у сфері інформаційної безпеки. Продовжуйте читати, щоб дізнатися все, що вам потрібно знати про  важливість безпеки третіх сторін, і як ISO 27001 може стати відповіддю на ваші молитви . 
Чому важлива безпека сторонніх постачальників
Інститут Ponemona опублікував у 2021 році дослідження під назвою « Криза безпеки віддаленого доступу третіх сторін ». Це дослідження показало, що протягом попереднього року  порушення безпеки  сталися у  44%  з 627 опитаних фірм. У  74%  цих організацій порушення сталися через те, що третім сторонам було надано  занадто широкий доступ до конфіденційної інформації.
Дослідники виявили, що  51%  цих фірм заявили, що вони не ретельно перевіряли протоколи безпеки та конфіденційності кожної сторонньої компанії, перш ніж надавати їм доступ до конфіденційних даних.
Ого… Давайте зупинимося на хвилинку. БЛІН?! Хто ці люди!?
Не будьте такими людьми. Витік даних коштує дорого! Тож що ми можемо зробити, щоб уникнути його, коли йдеться про сторонніх постачальників? 
Перевірка ваших сторонніх постачальників
Під час залучення нового постачальника обов’язково потрібно провести комплексну перевірку та перевірити, чи має він (чи ні) надійну систему інформаційної безпеки. Недоліком є ​​те, що це може бути тривалий процес. 
Що таке анкета безпеки стороннього постачальника?
Анкета для оцінки ризиків постачальника (також відома як анкета для оцінки ризиків третьої сторони або анкета для управління ризиками постачальника) розроблена для збору інформації про потенційного постачальника, виявлення слабких місць, які можуть призвести до витоку даних, а також для оцінки його можливостей, практик та відповідності вимогам вашої організації. 
Анкета зазвичай охоплює низку тем, пов'язаних з діяльністю постачальника, зокрема:
  1. Загальна інформація:  У цьому розділі зібрано основну інформацію про постачальника, таку як його ім'я, адреса та контактна інформація.
  2. Ділові операції:  Ці питання стосуються ділової діяльності постачальника, років роботи та будь-яких відповідних сертифікатів, які він має.
  3. Фінансова стабільність:  Ці питання оцінюють фінансове здоров'я постачальника, включаючи його річний дохід, фінансову звітність та фінансову стійкість.
  4. Управління якістю:  У цьому розділі аналізуються системи та процеси управління якістю постачальника, включаючи будь-які наявні у них сертифікати.
  5. Інформаційна безпека:  Ці питання зосереджені на практиках інформаційної безпеки постачальника, заходах захисту даних, контролі доступу, процедурах реагування на інциденти та будь-яких сертифікаціях або системах відповідності, яких вони дотримуються, таких як ISO 27001.
  6. Конфіденційність та захист даних:  У ньому досліджується, як постачальник обробляє персональні дані, його дотримання правил захисту даних, таких як GDPR, та будь-які договірні гарантії, які він має для захисту даних та конфіденційності.
  7. Безперервність бізнесу та аварійне відновлення:  У цьому розділі оцінюється готовність постачальника до перебоїв, включаючи плани забезпечення безперервності бізнесу, стратегії аварійного відновлення та процедури резервного копіювання.
  8. Відповідність та етика:  Ці питання визначають дотримання постачальником правових та нормативних вимог, етичних стандартів, а також його підхід до заходів боротьби з корупцією та хабарництвом.
  9. Управління ризиками:  У цьому розділі зазначено підхід постачальника до виявлення, оцінки та пом'якшення ризиків у його діяльності, включаючи процеси управління ризиками постачальників.
  10. Рекомендації та минула діяльність : У цьому розділі можна запитувати рекомендації від попередніх клієнтів постачальника або шукати інформацію про їхню минулу діяльність, включаючи будь-які випадки невідповідності чи юридичні проблеми.
«Ми з вами – це довгий і складний процес!». Але якщо ваш постачальник  вже  сертифікований за стандартом ISO 27001, це змінює правила гри для вас. Чому? Щоб відповідати стандарту, організація повинна довести, що вона виконує  все вищезазначене . 
Це заощаджує  ваш  час і зусилля, пов'язані з тривалим процесом автентифікації для затвердження їх як надійного постачальника, тому в інтересах постачальника отримати сертифікат ISO 27001.
Чи стверджуємо ми, що ви можете заощадити час  і  захистити свою організацію від дорогих інцидентів безпеки, залучаючи лише сторонні компанії,  акредитовані за стандартом ISO 27001  ? Так, ми маємо рацію.
Що таке ISO 27001?
ISO 27001  – це провідний  міжнародний стандарт інформаційної безпеки. Простіше кажучи, це набір рекомендацій та найкращих практик, необхідних для створення, підтримки та постійного розвитку ефективної системи управління інформаційною безпекою (СУІБ).
СУІБ – це структура політик, процедур та контролю, розроблених для моніторингу та захисту конфіденційної інформації організації за допомогою ефективного управління ризиками.
СУІБ гарантує  конфіденційність ,  цілісність та  доступність  інформації шляхом виявлення та зменшення ризиків безпеки в організаціях.
Належна кібергігієна та управління інформаційною безпекою – це невелика ціна, яку потрібно заплатити, враховуючи фінансові наслідки катастрофічного інциденту безпеки, тому впровадження та сертифікація за стандартом ISO 27001, ймовірно, є наймудрішим рішенням, яке  ви  можете прийняти як власник бізнесу, і яке  постачальники  можуть прийняти, демонструючи свою відданість управлінню ризиками та захисту ваших конфіденційних даних.
Керуйте своїми постачальниками за допомогою Реєстру постачальників ISO 27001
Тепер час дослідити, як ви можете ефективно керувати безпекою третіх сторін. Давайте заглибимося в реєстр постачальників . Він складається зі списку всіх постачальників, продавців та партнерів, які зберігають, обробляють або передають ваші дані.
Важливо, щоб треті сторони гарантували, що вони дотримуються найкращих практик інформаційної безпеки.
Найпростіший спосіб досягти цього – перевірити, чи є актуальна та актуальна версія:
  • договір  , що містить пункти про інформаційну безпеку та захист даних.
  • сертифікація галузевого рівня  , яка охоплює продукти та/або послуги, які ви отримуєте – наприклад,  сертифікація ISO 27001  може надати нам достатню гарантію.
Контракт та галузева сертифікація реєструються в реєстрі постачальників . Ви також можете записати, що вони для вас роблять і наскільки ваша організація залежить від них.
Реєстр постачальників містить ключову інформацію про постачальника та використовується для управління процесами перевірки постачальників та підтвердження їхньої якості. Це визначатиме, як ви їх керуватимете.
Ви знатимете:
  • Хто ваші постачальники
  • Які послуги вони надають вашій організації
  • Якщо є чинний договір
  • Якщо у них є сертифікати інформаційної безпеки
  • Якими даними ви їм ділитеся
  • Коли ви востаннє їх переглядали і коли ви будете переглядати їх наступного разу
Захист ланцюга поставок у стандарті ISO 27001
Постачальники становлять найбільший ризик для вашої організації. Вони надають цінні продукти, послуги та ресурси, але повністю перебувають поза вашим контролем.
Ви довіряєте їм свою найціннішу інформацію, а також інформацію своїх клієнтів – і очікуєте, що вони діятимуть правильно… але в сучасному світі очікування – це не найкращий варіант.
Неможливо захистити те, що не можна контролювати, і саме тут на допомогу приходить ефективне управління сторонніми постачальниками.
Політика  сторонніх постачальників  визначає, як управляти ризиками, пов’язаними з вашими постачальниками.
Реєстр  сторонніх постачальників  – це інструмент для активного управління ними.
(Ви могли б витратити дні на написання цих поганих шаблонів самостійно, але навіщо це робити, якщо ми вклали два десятиліття геніального досвіду в галузі інформаційної безпеки в ці готові до редагування шаблони ISO 27001, щоб допомогти вам?)
ISO 27001 Гарантія якості послуг стороннім постачальникам
Необхідний рівень гарантії залежить від  ризику .
Ризик визначається низкою факторів, зокрема тим, наскільки вони критичні для вашої діяльності та наскільки ви можете бути впевнені, що вони роблять правильні речі для інформаційної безпеки.
Можливо, ви додасте їх до  реєстру ризиків  та керуватимете ними за допомогою  системи управління ризиками .
В рамках процесу гарантування переконайтеся, що кожен постачальник у реєстрі перевіряється щорічно.
Ми розглядаємо, як постачальник вписується в систему управління інформаційною безпекою, у «Посібнику з шаблонів документів ISO 27001» .
Завантажте найкращі шаблони постачальників ISO 27001
Ці  шаблони ISO 27001  є частиною  інструментарію ISO 27001  і їх можна завантажити окремо як частину управління вашими постачальниками.
Вимоги ISO 27001 до реєстру постачальників ISO 27001
Стандарт ISO 27001  вимагає ефективного управління сторонніми постачальниками та забезпечення безпеки ланцюга поставок. Стандарт ISO 27001 містить додаток під назвою Додаток А. 
Додаток А – це окремий стандарт під назвою ISO 27002. ISO 27001 Додаток А / ISO 27002 – це  перелік заходів контролю ISO 27001  , які організація повинна впровадити, і управління постачальниками є одним із них. ISO 27001 Додаток А /  ISO 27002 змінився у 2022 році .
Ви можете дізнатися більше в Остаточному посібнику з реєстру постачальників ISO 27001, але ось що ISO 27002 говорить про управління постачальниками та реєстр постачальників ISO 27001 :
ISO 27001 Додаток A 5.19 Інформаційна безпека у відносинах з постачальниками
Слід визначити та впровадити процеси та процедури для управління ризиками інформаційної безпеки, пов'язаними з використанням продуктів або послуг постачальника.
ISO 27001:2022 Додаток A 5.19 Інформаційна безпека у відносинах з постачальниками
Тут роль реєстру постачальників ISO 27001 полягає у виявленні та реєстрації ризиків, пов'язаних з постачальником. Він фіксує оцінку ризику, яка використовується як частина управління ризиками.
ISO 27001 Додаток A 5.20 Розгляд питань інформаційної безпеки в угодах з постачальниками
Відповідні вимоги до інформаційної безпеки слід встановити та узгодити з кожним постачальником залежно від типу відносин з постачальником.
ISO 27001:2022 Додаток A 5.20 Розгляд питань інформаційної безпеки в угодах з постачальниками
У реєстрі постачальників ISO 27001 ви фіксуєте, чи маєте ви контракт, який охоплює продукти або послуги, які ви отримуєте. Для цього у вас також буде локальна копія контракту, до якої ви матимете легкий доступ. Вам також потрібно буде перевірити, чи контракт містить вимоги інформаційної безпеки. Вкрай важливо мати актуальний контракт, який відповідає вимогам цього пункту, перш ніж проходити аудит сертифікації ISO 27001.
ISO 27001 Додаток A 5.21 Управління інформаційною безпекою в ланцюжку поставок ІКТ
Слід визначити та впровадити процеси та процедури для управління ризиками інформаційної безпеки, пов'язаними з ланцюгом постачання продуктів та послуг ІКТ.
ISO 27001:2022 Додаток A 5.21 Управління інформаційною безпекою в ланцюжку поставок ІКТ
Щоб застосувати до процесів та процедур, вам знадобиться список постачальників.
ISO 27001 Додаток A 5.22 Моніторинг, перегляд та управління змінами послуг постачальників
Організація повинна регулярно контролювати, переглядати, оцінювати та керувати змінами в практиках інформаційної безпеки постачальників та наданні послуг.
ISO 27001:2022 Додаток A 5.22 Моніторинг, перегляд та управління змінами послуг постачальників
Існує багато видів перевірок, які можна провести щодо ваших постачальників. Як мінімум, у вашій перевірці буде зазначено, що у вас є відповідний, актуальний контракт з відповідними пунктами, а також що у вас є страховка щодо практики інформаційної безпеки (актуальна копія відповідного сертифіката інформаційної безпеки, такого як ISO 27001), яка поширюється на продукти або послуги, які ви отримуєте. Ці перевірки фіксуються та записуються в реєстрі постачальників ISO 27001.
Контролюйте своїх сторонніх постачальників
Ось і все! Повне пояснення, чому управління безпекою сторонніх постачальників є надзвичайно важливим, коли йдеться про захист вашого бізнесу від дорого вартісних витоків даних
Як завжди, боріться у доброму бою!
Я, містер ISO 27001, Станіслав Бичков