Управление кибербезопасностью

ISO 27001 — это международный стандарт, описывающий лучшие практики системы управления информационной безопасностью (ISMS).

Получение аккредитованной сертификации по стандарту ISO 27001 свидетельствует о том, что наша организация следует передовой практике информационной безопасности и проводит независимую экспертную проверку того, что управление информационной безопасностью осуществляется в соответствии с передовой международной практикой и бизнес-целями.

Cybersecurity Governance для Siemens сертифицирована по стандарту ISO 27001 с ноября 2017 года.

С ноября 2023 года мы сертифицированы по новому стандарту ISO 27001:2022.

• Загрузить сертификат
• Подробнее о системных сертификатах

Мы стремимся обеспечить надежную кибербезопасность на основе данных с помощью надежной архитектуры для защиты Siemens.

Для этого мы внедряем в проект нашу стратегию кибербезопасности и используем недавно созданный сервис Enterprise Architecture, чтобы воплотить наши стратегические цели в целевую архитектуру, которая будет направлять все усилия по кибербезопасности в их реализацию.

Основные цели проекта: оптимизация использования ресурсов с помощью мер автоматизации и повышения эффективности, повышение видимости и прозрачности рисков кибербезопасности в Siemens и использование решений на основе данных для усиления реактивного и упреждающего снижения рисков.

Структура нашего проекта состоит из пяти рабочих потоков:

• Концепция и процессы:

  Наша цель — описать и поддерживать архитектурный процесс в Siemens Cybersecurity, обеспечивая его интеграцию с нашей стратегией и портфелем. А также описать структурные элементы нашей архитектуры кибербезопасности, основанной на данных, включая возможности, приложения, входы, выходные данные и зависимости.

• Governance:

  Мы стремимся определить, как можно объединить данные о кибербезопасности для автоматической идентификации и оценки рисков кибербезопасности, принятия решений по их снижению и повышения соответствия политикам.

• Ситуационная осведомленность:

  Наша цель — оставаться в авангарде и быть голосом проекта EA, оправдывая ожидания пользователей и обеспечивая целостную систему управления рисками для улучшения повседневной работы конечных пользователей.

• Security Intelligence:

  Мы стремимся внедрить систему принятия решений на основе данных, поддерживаемую искусственным интеллектом и позволяющую автоматически выявлять и снижать риски кибербезопасности Siemens, расширяя возможности принятия решений.

• Данные:

  Workstream Data помогает кибербезопасности внедрить подход, основанный на данных, обеспечивая прозрачность данных, предотвращая дублирование данных и предоставляя командам рекомендации по стратегиям работы с данными.

Основы политики кибербезопасности применимы к Siemens и ее дочерним компаниям. В частности, он содержит требования кибербезопасности, изложенные в конкретных политиках, стандартах и исходных условиях.

Все политики основаны на соответствующих отраслевых стандартах, таких как ISO 2700x или IEC 62443. Для обеспечения соответствия другим важным стандартам ссылки на них также обрабатываются. Список соответствующих стандартов включает, например, NIST 800-53, Руководство по ИКТ и управлению рисками безопасности от EBA и другие.

Продукты, решения и услуги Siemens содержат значительное количество программного обеспечения и связанных с ИТ компонентов, которые во многих случаях используются в контексте критически важных инфраструктур и могут стать более подверженными киберугрозам. Нормативные требования и требования к безопасности, специфичные для клиентов, растут, и Siemens должна их соблюдать.

Чтобы оставаться конкурентоспособными и надежными, в масштабах всей компании Siemens была создана инициатива PSS, призванная обеспечить, чтобы продаваемые нами продукты, решения и услуги позволяли нашим клиентам управлять своими объектами в безопасной среде.

Для этого существуют обязательные требования к PSS и рекомендации по их внедрению. Непрерывное совершенствование и непрерывное обучение являются фундаментальными предпосылками для успешной реализации.

Крайне важно обеспечить общую осведомленность и понимание всеми сотрудниками основных аспектов кибербезопасности и организовать специальное обучение для выполнения функций, связанных с кибербезопасностью. Чтобы оправдать ожидания наших клиентов в отношении новейших продуктов, решений и услуг Siemens с точки зрения технологий и безопасности, а также обеспечить такое качество за счет постоянного повышения осведомленности о кибербезопасности в нашей компании и предоставления нашим сотрудникам возможности учитывать кибербезопасность на каждом этапе, этапе и процессе всей цепочки создания стоимости, мы создали несколько мероприятий. Например:

• Обязательная глобальная информационная кампания с целью предоставления всем сотрудникам информации по общим и важным темам кибербезопасности. Эти учебные занятия проводятся в Интернете, безбарьерны и многоязычны. Кроме того, для ролевой группы у нас есть тренинг «Водительские права». Это обязательное обучение позволяет группе, занимающейся конкретными ролями, применять все рекомендации Siemens по обеспечению безопасности в сфере информационных и операционных технологий. После успешного завершения участники получают сертификат, действительный в течение двух лет.
• Мы также предлагаем несколько постоянно обновляемых учебных курсов и возможностей обучения для всех сотрудников Siemens. Доступ к ним возможен на добровольной основе. Этот тренинг предназначен не только для получения базовых знаний, но и для конкретных и специализированных областей, таких как безопасность продуктов и решений.
• Мы считаем, что непрерывное обучение является ключом к успеху, и поэтому постоянно ищем новые способы обучения и повышения квалификации наших сотрудников.

Всегда следите за ситуацией: для достижения этой цели мы предоставляем внутреннюю платформу кибербезопасности под названием CyberMart, которая дает целостное представление о данных и процессах кибербезопасности в Siemens.

Он позволяет принимать обоснованные и целенаправленные бизнес-решения, предоставляя

• платформа для защищенных приложений, обрабатывающих информацию, относящуюся к кибербезопасности,
• безопасный пул данных для кибербезопасности, релевантных данных, а также
• отчетность о зрелости и состоянии процессов безопасности (например, защита активов, обработка исключений).

Частью этой платформы является панель управления кибербезопасностью, которая предоставляет обзор операционного состояния кибербезопасности, а также стратегических точек данных. Эта информация служит основой для регулярной внутренней управленческой отчетности перед правлением Siemens и Наблюдательным советом Siemens.

Основная цель системы Cybersecurity Risk Management, входящей в программу Siemens Enterprise Risk Management (ERM), заключается в том, чтобы компания Siemens могла обеспечить прозрачность рисков кибербезопасности и адекватно управлять ими до приемлемого уровня.
Система управления рисками кибербезопасности Siemens основана на международных стандартах (ISO/IEC 27005 и ISF IRAM2) и охватывает все уровни, от операционного до корпоративного, а также использует установленные процессы и роли ERM.
Риски кибербезопасности, о которых сообщается и которыми можно управлять до уровня ERM, определяются в рамках следующих процессов и управляются с помощью соответствующих инструментов:

• Общий процесс управления рисками кибербезопасности
• Процесс классификации и защиты ИТ-активов, документов и информационных активов
• Анализ угроз и рисков для продуктов, решений и услуг
• Процесс обработки исключений в случае временных отклонений от концепции кибербезопасности Siemens
• Управление рисками поставщиков услуг по кибербезопасности

Управление рисками поставщиков услуг по кибербезопасности:

Рисками кибербезопасности необходимо управлять по всей цепочке поставок. Siemens рассматривает эту тему комплексно, включая информационные технологии, OT и PSS при закупке горизонтальных и вертикальных компонентов, продуктов и услуг. По этой причине основные мероприятия по повышению уровня кибербезопасности в цепочке поставок включают:

• Прозрачность рисков кибербезопасности в цепочке поставок
• Систематические методы управления рисками, подкрепленные методологией оценки сторонних поставщиков, соответствующими инструментами и шаблонами контрактных требований к кибербезопасности поставщиков
• Активное участие в Хартии доверия, отстаивание второго принципа: «Ответственность во всей цифровой цепочке поставок», а также участие различных экспертных сообществ
• Регулярные тренинги и информационные кампании для различных целевых групп и сценариев использования

Что такое инцидент в сфере информационной безопасности?

Инцидент информационной безопасности определяется как прямое или косвенное нарушение конфиденциальности, целостности и/или доступности информации в соответствии с ее классификацией (на основе стандартов ISO27001 и NIST 800-61 rev2). Примеры инцидентов включают, помимо прочего, следующее:

1. Успешные попытки получить несанкционированный доступ к системе или ее данным
2. Перебои в обслуживании или отказ в обслуживании
3. Несанкционированное использование системы для обработки или хранения данных
4. Изменения характеристик аппаратного обеспечения, микропрограммного обеспечения или программного обеспечения системы без ведома, инструкций или согласия владельца

Реакция на инциденты

Мы проводим углубленный анализ инцидентов Cyber Security. Для этого мы взаимодействуем с ответственными деловыми кругами, внутренними и внешними журналистами по инцидентам и заинтересованными сторонами для координации мер реагирования и обеспечения надлежащего сдерживания и начала выполнения задач по устранению последствий. Кроме того, мы предоставляем услуги менеджера проектов по инцидентам, который оказывает поддержку по организационным и коммуникационным аспектам серьезных и сложных инцидентов.

Процесс обработки инцидентов

• Обнаружить

  Посягательство на конфиденциальность, целостность и/или доступность информации.

• Ответить

  Анализируйте атаку и принимайте ответные меры.

• Исправить

  Содержит: ограничивает вредоносную активность, смягчает: предотвращает дальнейший ущерб, устраняет: устраняет и предотвращает повторение

• Восстановить

  Восстановите целостность затронутых систем до недеградированного рабочего состояния.

Угрозы безопасности вынуждают отрасль принимать меры.

Атаки киберпреступников, которые могут манипулировать целыми цепочками создания стоимости, часто приводят не только к перебоям в производстве, но и к значительному ущербу вашему имиджу. Чтобы наилучшим образом защитить ваши операционные технологии (ОТ), необходимо обеспечить прозрачность рисков, связанных с вашими активами. Это позволяет выявлять и устранять угрозы кибербезопасности до того, как они нанесут значительный ущерб. Мы обеспечиваем повышенную кибербезопасность ваших производственных процессов. Наш комплексный подход направлен на выявление процедурных пробелов в системе безопасности и технических уязвимостей до того, как они будут использованы злоумышленниками.

Дополнительная информация

Искусственный интеллект играет важную роль в усилиях Siemens по кибербезопасности. Он динамически выявляет угрозы безопасности и противодействует им, обнаруживая аномалии в нашей сети и системах. Эти немедленные меры по борьбе с нарушениями безопасности помогают снизить потенциальный ущерб.

Кроме того, искусственный интеллект повышает эффективность наших процедур кибербезопасности, автоматизируя повседневные задачи. Эта автоматизация позволяет нашим службам безопасности сосредоточиться на более сложных и неотложных проблемах. Кроме того, искусственный интеллект разрабатывает специальные протоколы безопасности на основе анализа поведения пользователей, что позволяет каждому подразделению Siemens разработать точную стратегию безопасности.

Несмотря на преимущества, важно отметить, что искусственный интеллект также может быть инструментом для киберпреступников, повышая сложность их вредоносных действий. Эти злоумышленники могут использовать искусственный интеллект для автоматизации своих атак, обходить обычные системы безопасности или даже имитировать поведение людей, чтобы избежать обнаружения.

Тем не менее, Siemens хорошо подготовлен к этому сложному сценарию. Мы разработали строгие протоколы безопасности для обеспечения безопасного и ответственного применения искусственного интеллекта. Наш дальновидный подход помогает сохранить целостность наших систем и защитить нас от потенциальных рисков, что позволяет нам использовать преимущества искусственного интеллекта в наших операциях по кибербезопасности.

Преимущества искусственного интеллекта, которые Siemens извлекает из искусственного интеллекта, значительно перевешивают риски. Благодаря тщательному внедрению и постоянному надзору мы минимизируем эти риски и усиливаем преимущества искусственного интеллекта. Таким образом, искусственный интеллект становится бесценным инструментом, который существенно расширяет наши возможности по противодействию угрозам безопасности.