Знали ли вы, что 71% потребителей заявляют, что с высокой вероятностью прекратят сотрудничество с компанией, если данные будут обработаны ненадлежащим образом? Стандарт ISO 27001 помогает компаниям достигать бизнес-целей и поддерживать непрерывность работы в случае внезапной потери данных.
ISO 27001 — это стандарт, основанный на управлении рисками, для создания и поддержания системы управления информационной безопасностью в компании. Он определяет требования к управлению и защите данных с точки зрения конфиденциальности, целостности и доступности, чтобы снизить риски и повысить уровень безопасности.
Организации должны выявлять чувствительные корпоративные данные, оценивать риски и разрабатывать планы по их защите от растущей угрозы программ-вымогателей, чтобы обеспечить уверенность и непрерывность деятельности.
Важность соответствия стандарту ISO 27001
Несмотря на то, что соблюдение ISO 27001 не является обязательным, этот стандарт широко признан как набор рекомендаций, поскольку он определяет требования к поддержанию, управлению и защите корпоративных данных. Если компания не следует ISO 27001, риски значительно возрастают. Это может напрямую повлиять на операционную деятельность, репутацию компании и даже привести к финансовым или юридическим последствиям.
Компании, сертифицированные по стандарту ISO 27001, воспринимаются как более надежные и заслуживающие доверия. Поскольку наличие сертификата ISO 27001 требуется многими партнёрами и бизнесами, несоответствие этому стандарту может привести к судебным искам. Это, в свою очередь, может повлечь за собой штрафы или потерю деловых возможностей.
В случае атаки программ-вымогателей или внезапной потери данных повседневная деятельность компании и даже её источники дохода могут пострадать. Партнёры или клиенты могут начать задавать вопросы. В более серьёзных случаях это может привести к ущербу для репутации бренда и потере доверия со стороны клиентов.
Обеспечьте непрерывность работы с помощью специализированного устройства резервного копирования
Несмотря на то, что ISO 27001 задаёт основу для защиты данных, организациям необходимо предпринимать практические шаги для соответствия этим требованиям. Synology ActiveProtect помогает компаниям внедрять необходимые меры благодаря централизованному управлению, надёжным механизмам безопасности и возможностям резервного копирования и восстановления.
| ISO 27001 требования |
Как обеспечить соответствие требованиям ISO 27001 |
| A.8.2: Доступ к информации и данным должен контролироваться на основе бизнес-требований и требований безопасности. A.8.3: Права доступа должны быть ограничены только авторизованными пользователями. |
|
| A.8.13: Организации должны внедрять, поддерживать и регулярно тестировать процессы резервного копирования, чтобы обеспечить возможность восстановления данных после их потери, повреждения или удаления. |
|
| A.8.14: Внедряйте избыточные средства обработки информации для повышения доступности. |
|
| A.8.24: Шифрование (и другие криптографические меры) должно применяться при необходимости для защиты конфиденциальной информации. |
|
| A.12.4: Вести журналы аудита действий пользователей, системных событий и операций, связанных с безопасностью. |
|
Доступ к данным: Согласно ISO 27001, пользователи должны иметь доступ к информации на основе своих прав авторизации. Synology ActiveProtect поддерживает ролевое разграничение доступа, при котором права на просмотр, резервное копирование и восстановление предоставляются только уполномоченному персоналу.
Кроме того, управление пользователями может быть централизовано с помощью интеграции с Windows AD и LDAP. ActiveProtect также поддерживает SSO. Идентификация пользователей может быть дополнительно подтверждена за счёт включения SSO и использования существующих методов MFA, настроенных на вашем сервере SSO/MFA.
Целостность данных: Поскольку ISO 27001 требует, чтобы данные могли быть восстановлены в случае потери, повреждения или удаления, ActiveProtect оснащён рядом механизмов безопасности. Это включает встроенную неизменяемость данных, предотвращающую их изменение или удаление, а также автоматическую проверку резервных копий, обеспечивающую их точность. Кроме того, ActiveProtect включает средства защиты целостности данных, позволяющие выявлять ошибки или повреждения и устранять их с помощью функций самовосстановления.
Пользователи могут хранить «чистые» копии резервных данных в защищённой и изолированной среде, что позволяет защититься от программ-вымогателей благодаря функции изолированных (air-gap) резервных копий в ActiveProtect.
Благодаря встроенному гипервизору ActiveProtect пользователи могут регулярно тестировать и проверять свой план аварийного восстановления в изолированной среде (sandbox), не влияя на рабочую инфраструктуру.
Резервирование данных: Поскольку ISO 27001 предусматривает избыточность для обеспечения доступности данных, ActiveProtect оснащён механизмами резервирования данных. Настройте политики хранения данных в ActiveProtect, чтобы сохранять их в течение определённого периода времени, а также хранить неизменяемые копии резервных данных или размещать их дублирующие копии в выбранном локальном или облачном удалённом хранилище. Узнайте больше
Безопасность данных: Поскольку ISO 27001 предусматривает защиту конфиденциальных данных, ActiveProtect использует различные методы для обеспечения их безопасности. Для хранения данных применяется сквозная защита передачи данных. При передаче данных на удалённое хранилище используется шифрование AES-256.
Отчёты по данным: Для соответствия требованиям ISO 27001 в части аудита ActiveProtect позволяет пользователям просматривать, отслеживать и экспортировать журналы, связанные с операциями резервного копирования и восстановления. Пользователи могут получать сводку своей активности по электронной почте для своевременного выявления и предотвращения потенциальных проблем. Кроме того, благодаря функциям пересылки журналов в ActiveProtect можно централизовать логи, чтобы организация всегда была в курсе событий и могла обеспечить безопасность данных.
Достаточно ли вы делаете для защиты своих данных? Ознакомьтесь с контрольным списком безопасности защиты данных Synology.
Нажмите здесь, чтобы узнать больше о Synology ActiveProtect.
Материал ориентирован на аудиторию стран СНГ.