Governance на киберсигурността

ISO 27001 е международен стандарт, който описва най-добрите практики за система за управление на информационната Security (ISMS).

Постигането на акредитиран сертификат по ISO 27001 показва, че нашата организация следва най-добрите практики в областта на информационната сигурност и предоставя независима експертна проверка, че информационната сигурност се управлява в съответствие с най-добрите международни практики и бизнес цели.

Управлението на киберсигурността за Siemens е сертифицирано по ISO 27001 от ноември 2017 г.

Ние сме сертифицирани съгласно новия стандарт ISO 27001:2022 от ноември 2023 г.

• Изтегляне на сертификат
• Научете повече за системните сертификати

Ние сме страстни да дадем възможност за устойчива, базирана на данни Cybersecurity чрез стабилна архитектура за защита на Siemens.

За да постигнем това, ние прилагаме нашата стратегия за Cybersecurity в проекта и използваме новосъздадената услуга Enterprise Architecture, за да картографираме нашите стратегически цели в целева архитектура, която да ръководи цялата Cybersecurity в усилията им за изпълнение.

Основните цели на проекта са: Рационализиране на използването на ресурсите чрез мерки за автоматизация и ефективност, повишаване на видимостта и прозрачността на рисковете за киберсигурността в Siemens и използване на вземането на решения, основани на данни, за укрепване на реактивното и проактивно намаляване на риска.

Настройката на нашия проект е структурирана в пет работни потока:

• Концепция и процеси:

  Нашата цел е да опишем и поддържаме архитектурния процес в рамките на Siemens Cybersecurity, като се уверим, че той е интегриран с нашата стратегия и портфолио. И да опишем градивните елементи на нашата архитектура за киберсигурност, управлявана от данни, включително възможности, приложения, входове, изходи и зависимости.

• Governance:

  Целта ни е да определим как данните за киберсигурността могат да бъдат комбинирани, за да се даде възможност за автоматично идентифициране и оценка на риска от киберсигурността, да даде възможност за вземане на решения за тяхното смекчаване и да се увеличи спазването на политиките.

• Ситуационна осведоменост:

  Нашата цел е да застанем на преден план и да бъдем гласът на проекта EA, събирайки очакванията на потребителите и осигурявайки цялостна рискова позиция за подобряване на ежедневната работа на крайните потребители.

• Разузнаване за сигурността:

  Стремим се да приложим поддържана от ИИ точка за вземане на решения, базирана на данни, която осигурява автоматично идентифициране и смекчаване на риска от киберсигурността на Siemens чрез овластяване на вземането на решения.

• Данни:

  Работните данни помагат на киберсигурността да възприеме подход, базиран на данни, чрез установяване на прозрачност на данните, предотвратяване на дублирането на данни и предоставяне на насоки на екипите за техните стратегии за данни.

Рамката на политиката за Cybersecurity е приложима за Siemens и свързаните с него компании. По-специално, той съдържа изискванията за киберсигурност, установени в специфични политики, стандарти и базови линии.

Всички политики се основават на съответните индустриални стандарти като ISO 2700x или IEC 62443. За да се гарантира спазването на други важни стандарти, се управляват и препратките към тях. Списъкът на съответните стандарти включва например NIST 800-53, Насоките за управление на ИКТ и риска за сигурността от ЕБО и др.

Продуктите, решенията и услугите на Siemens съдържат значително количество софтуер и свързани с ИТ компоненти, които в много случаи се използват в контекста на критични инфраструктури и биха могли да станат по-изложени на киберзаплахи. Регулаторните изисквания и изискванията за сигурност на клиента се увеличават и трябва да бъдат адресирани от Siemens.

За да останем конкурентоспособни и надеждни, е създадена инициативата PSS в целия свят на Siemens, за да гарантира, че продуктите, решенията и услугите, които продаваме, позволяват на нашите клиенти да управляват своите съоръжения в сигурна среда.

За тази цел са налице обвързващи изисквания за PSS и препоръки за прилагане. Непрекъснатото усъвършенстване и непрекъснатото обучение са основни предпоставки за успешна реализа

От жизненоважно значение е да се създаде обща информираност и разбиране сред всички служители по отношение на основните аспекти на киберсигурността и да се осигури специално специално обучение за роли, свързани с киберсигурността. За да отговорим на очакванията на нашите клиенти за най-съвременните продукти, решения и услуги от Siemens по отношение на технологиите и сигурността и да гарантираме способността да предоставяме такова качество чрез непрекъснато повишаване на осведомеността за киберсигурността в нашата компания и даване на възможност на нашите служители да обмислят киберсигурността във всяка дейност, стъпка и процес на цялата верига на стойността, създадохме няколко дейности. Например:

• Задължителна глобална кампания за осведоменост с цел предоставяне на всички служители информация по общи и важни теми за киберсигурността. Тези обучителни сесии са уеб-базирани, безпрепятствени и многоезични. Освен това за група, специфична за ролята, имаме обучение „Шофьорска книжка“. Това обучение е задължително и дава възможност на специфичната за ролята група да прилага всички насоки за сигурност на Siemens IT/OT. След успешно завършване участниците получават сертификат, който е валиден за две години.
• Също така предоставяме няколко непрекъснато актуализирани курсове за обучение и възможности за обучение за всички служители на Siemens. Те могат да бъдат достъпни на доброволна основа. Това обучение е не само за основни познания, но и за специфични и специализирани области като Security на продуктите и решенията.
• Ние вярваме, че непрекъснатото обучение е ключът към успеха и затова непрекъснато търсим нови начини за обучение и актуализиране на нашите служители.

Винаги поддържайте преглед: За да помогнем за постигането на това, ние предоставяме вътрешна платформа за киберсигурност, наречена „CyberMart“, която дава цялостен поглед върху данните и процесите за киберсигурност в Siemens.

Тя дава възможност за информирани и целенасочени бизнес решения, като предоставя

• платформа за защитени приложения, обработващи информация, свързана с киберсигурността,
• защитен басейн от данни за данни, свързани с киберсигурността, както и
• отчитане на падежа и състоянието на процесите на сигурност (напр. защита на активите, обработка на изключения).

Част от тази платформа е табло за киберсигурност, което дава преглед на оперативния статус на киберсигурността, както и на стратегическите данни. Тази информация е основа за редовно вътрешно отчитане на ръководството пред Управителния съвет на Siemens и Надзорния съвет на Siemens.

Основната цел на управлението на риска в киберсигурността, което е част от Siemens Enterprise Risk Management (ERM), е да даде възможност на Siemens да получи прозрачност по отношение на рисковете си в киберсигурността и да ги управлява адекватно до приемливо ниво.
Рамката за управление на риска в киберсигурността на Siemens се основава на международни стандарти (ISO/IEC 27005 и ISF IRAM2), като се вземат предвид всички нива, от оперативни до предприятия, а също така се използват установени ERM процеси и роли.
Рисковете за киберсигурността, докладвани и управлявани до ниво ERM, се идентифицират в рамките на следните процеси и се управляват в рамките на съответните инструменти:

• Цялостен процес на управление на риска от киберсигурността
• Процес на класификация и защита на активи за ИТ и документи и информационни активи
• Анализ на заплахите и риска за продукти, решения и услуги
• Процес на обработка на изключения за временни отклонения от рамката за киберсигурност на Siemens
• Управление на риска на доставчиците на Cybersecurity

Управление на риска на доставчиците на Cybersecurity:

Рисковете за киберсигурността трябва да бъдат управлявани по цялата верига на доставки. Siemens разглежда тази тема цялостно, включително ИТ, OT и PSS за закупуване на хоризонтални и вертикални компоненти, продукти и услуги. Поради тази причина основните дейности за подобряване на нивото на киберсигурност по веригата на доставки включват:

• Прозрачност по отношение на риска от киберсигурността по веригата на доставки
• Систематични практики за управление на риска, подкрепени от методологията за оценка на доставчиците на трети страни, съответните инструменти и шаблони за договорни изисквания за киберсигурност към доставчиците
• Активно участие в рамките на Хартата на доверието, движещо втория принцип: „Отговорност в цялата цифрова верига на доставки“, както и различни експертни общности
• Редовни обучения и кампании за осведоменост за различни целеви групи и случаи на употреба

Какво е инцидент със сигурността на информацията?

Инцидент със сигурността на информацията се определя като: Пряк или косвен компромис на поверителността, целостта или наличността на информацията съгласно нейната класификация (въз основа на ISO27001 и NIST 800-61 rev2) .Примерите за инциденти включват, но не се ограничават до:

1. Успешни опити за получаване на неоторизиран достъп до система или нейните данни
2. Прекъсване или отказ на услуга
3. Неоторизирано използване на система за обработка или съхранение на данни
4. Промени в характеристиките на системния хардуер, фърмуер или софтуер без знанието, инструкциите или съгласието на собственика

Реакция на инцидента

Извършваме задълбочен анализ на инциденти в киберсигурността. За да постигнем това, ние се ангажираме с отговорни за бизнеса, вътрешни и външни репортери за инциденти и заинтересовани страни, за да координираме дейностите по реагиране и да гарантираме подходящо ограничаване и започване на задачи за отстраняване на средства. Освен това, ние предоставяме мениджър на проекти за инциденти, подкрепящ организационни и комуникационни аспекти на тежки и сложни инциденти.

Процес на обработка на инциденти

• Откриване

  Компромис с поверителността, целостта и/или наличността на информацията.

• Отговорете

  Анализирайте атаката и инициирайте контрамерки.

• Поправка

  Съдържа: Ограничаване на злонамерената дейност, Смекчаване: Предотвратяване на допълнителни щети, Поправка: Поправка и предотвратяване на повторното възникване

• Възстановяване

  Възстановяване на целостта на засегнатите системи до неразрушено работно състояние.

Заплахите за сигурността принуждават индустрията да предприеме действия.

Атаките от киберпрестъпници, които могат да манипулират цели вериги на стойност, често водят не само до прекъсване на производството, но и до значителни щети на вашия имидж. За да защитите оперативната си технология (OT) по най-добрия възможен начин, е необходимо да получите прозрачност относно рисковата експозиция на вашите активи. Това позволява заплахите за киберсигурността да бъдат идентифицирани и елиминирани, преди да причинят значителни щети. Ние осигуряваме повече киберсигурност за вашите производствени процеси. Нашият холистичен подход е предназначен да идентифицира процедурните пропуски в сигурността и техническите уязвимости, преди те да бъдат използвани от лоши участници.

Повече информация

ИИ изпълнява решаваща функция в усилията на Siemens за киберсигурност. Той динамично идентифицира и противодейства на заплахите за сигурността, като открива аномалии в нашата мрежа и системи. Това незабавно действие срещу нарушения на сигурността помага да се ограничи потенциалната вреда.

Освен това AI повишава ефективността на нашите процедури за киберсигурност чрез автоматизиране на светските задачи. Тази автоматизация позволява на нашите екипи за сигурност да се концентрират върху по-сложни и належащи проблеми. Освен това AI създава персонализирани протоколи за сигурност въз основа на анализ на поведението на потребителите, насърчавайки точна стратегия за сигурност за всяко подразделение в рамките на Siemens.

Въпреки предимствата, важно е да се отбележи, че AI може да бъде и инструмент за кибернападателите, увеличавайки сложността на техните злонамерени действия. Тези нападатели могат да използват AI, за да автоматизират атаките си, да избягват конвенционалните системи за сигурност или дори да симулират човешкото поведение, за да избягат от откриването.

Въпреки това Siemens е добре подготвен за този сложен сценарий. Създадохме строги протоколи за сигурност, за да гарантираме безопасното и отговорно приложение на AI. Нашият перспективен подход помага за поддържането на целостта на нашите системи и ни предпазва от потенциални рискове, като по този начин ни позволява да използваме предимствата на изкуствения интелект в нашите операции по киберсигурност.

Ползите, които Siemens извлича от изкуствения интелект, решаващо надхвърлят рисковете. Чрез щателно внедряване и непрекъснато наблюдение ние минимизираме тези рискове и усилваме ползите от изкуствения интелект. Следователно изкуственият интелект се очертава като безценен инструмент, който значително подобрява способността ни да предотвратяваме заплахите за сигурността.