Управління кібербезпекою

ISO 27001 - це міжнародний стандарт, який описує найкращі практики системи управління інформаційною безпекою (ISMS).

Отримання акредитованої сертифікації за стандартом ISO 27001 демонструє, що наша організація дотримується найкращих практик інформаційної безпеки та забезпечує незалежну експертну перевірку того, що інформаційна безпека управляється відповідно до найкращих міжнародних практик та бізнес-цілей.

Cybersecurity Governance для компанії Siemens сертифіковано за стандартом ISO 27001 з листопада 2017 року.

Ми пройшли сертифікацію за новим стандартом ISO 27001:2022 з листопада 2023 року.

• Завантажити сертифікат
• Докладніше про системні сертифікати

Ми прагнемо забезпечити стійку кібербезпеку, керовану даними, завдяки надійній архітектурі для захисту Siemens.

Щоб досягти цього, ми впроваджуємо нашу стратегію кібербезпеки в проекті та використовуємо новостворену службу Enterprise Architecture для відображення наших стратегічних цілей у цільову архітектуру, щоб керувати всіма силами кібербезпеки в їх впровадженні.

Основними цілями проекту є: оптимізація використання ресурсів за допомогою заходів автоматизації та ефективності, підвищення видимості та прозорості ризиків кібербезпеки в Siemens та використання прийняття рішень на основі даних для посилення реактивного та проактивного зменшення ризиків.

Налаштування нашого проекту структуровано на п'ять робочих напрямків:

• Концепція та процеси:

  Наша мета полягає в тому, щоб описати та підтримувати архітектурний процес у рамках Siemens Cybersecurity, переконавшись, що він інтегрується з нашою стратегією та портфелем. І описати будівельні блоки нашої архітектури кібербезпеки, керованої даними, включаючи можливості, програми, входи, виходи та залежності.

• Governance:

  Ми прагнемо визначити, як можна об'єднати дані кібербезпеки, щоб забезпечити автоматичну ідентифікацію та оцінку ризиків кібербезпеки, розширити можливості прийняття рішень для їх зменшення та підвищення відповідності політиці.

• Ситуаційна обізнаність:

  Наша мета - стояти на передньому плані та бути голосом проекту EA, збираючи очікування користувачів та забезпечуючи цілісну позицію ризику для покращення щоденної роботи кінцевих користувачів.

• Розвідка безпеки:

  Ми прагнемо впровадити точку прийняття рішень, що підтримується штучним інтелектом та керується даними, яка забезпечує автоматичну ідентифікацію та зменшення ризиків кібербезпеки Siemens шляхом розширення можливостей прийняття рішень.

• Дані:

  Workstream Data допомагає кібербезпеці прийняти підхід, орієнтований на дані, встановлюючи прозорість даних, запобігаючи дублювання даних та надаючи керівництво командам щодо їхніх стратегій передачі даних.

Рамки політики кібербезпеки застосовуються до Siemens та її афілійованих компаній. Зокрема, він містить вимоги до кібербезпеки, закладені в конкретних політиках, стандартах та базових лініях.

Усі політики базуються на відповідних галузевих стандартах, таких як ISO 2700x або IEC 62443. Щоб забезпечити дотримання інших важливих стандартів, також керуються посиланнями на них. До переліку відповідних стандартів входять, наприклад, NIST 800-53, Керівні принципи з управління ІКТ та ризиками безпеки від Європейської Бізнес Асоціації та інші.

Продукти, рішення та послуги Siemens містять значну кількість програмного забезпечення та компонентів, пов'язаних з ІТ, які в багатьох випадках використовуються в контексті критичної інфраструктури та можуть стати більш схильними до кіберзагроз. Нормативні вимоги та вимоги щодо безпеки для клієнтів зростають, і Siemens потребує їх вирішення.

Щоб залишатися конкурентоспроможними та надійними, була створена загальнонаціональна ініціатива PSS у Siemens, щоб допомогти гарантувати, що продукти, рішення та послуги, які ми продаємо, дозволяють нашим клієнтам керувати своїми підприємствами в безпечному середовищі.

Для цього існують обов'язкові вимоги до ПСС та рекомендації щодо впровадження. Постійне вдосконалення та постійне навчання є основними передумовами успішної реалізації.

Дуже важливо створити загальну обізнаність та розуміння серед усіх працівників щодо основних аспектів кібербезпеки та забезпечити спеціальне навчання для ролей, що стосуються кібербезпеки. Щоб задовольнити очікування наших клієнтів щодо найсучасніших продуктів, рішень та послуг від Siemens з точки зору технологій та безпеки, а також забезпечити можливість забезпечити таку якість шляхом постійного підвищення обізнаності про кібербезпеку в нашій компанії та дозволяючи нашим співробітникам враховувати кібербезпеку на кожній діяльності, етапі та процесі всього ланцюжка створення вартості, ми створили кілька заходів. Наприклад:

• Обов'язкова глобальна інформаційна кампанія з метою надання всім співробітникам інформації щодо загальних та важливих тем кібербезпеки. Ці тренінги ведуться веб-сайтом, безбар'єрними та багатомовними. Крім того, для рольової групи ми проводимо навчання «Посвідчення водія». Цей тренінг є обов'язковим і дає змогу групі для конкретних ролей застосовувати всі рекомендації Siemens IT/OT безпеки. Після успішного завершення учасники отримують сертифікат, який діє протягом двох років.
• Ми також надаємо кілька постійно оновлюваних навчальних курсів та можливостей навчання для всіх співробітників Siemens. До них можна отримати доступ на добровільній основі. Цей тренінг призначений не тільки для базових знань, але й для конкретних та спеціалізованих областей, таких як Product and Solution Security.
• Ми віримо, що постійне навчання є ключем до успіху, і тому ми постійно шукаємо нові способи навчання та оновлення наших співробітників.

Завжди підтримуйте огляд: Щоб допомогти досягти цього, ми пропонуємо внутрішню платформу кібербезпеки під назвою «CyberMart», яка дає цілісний погляд на дані та процеси кібербезпеки в Siemens.

Це дає змогу приймати обґрунтовані та цілеспрямовані бізнес-рішення, надаючи

• платформа для захищених додатків, що обробляють актуальну інформацію про кібербезпеку,
• безпечний пул даних для даних, що стосуються кібербезпеки, а також
• звітність про погашення та стан процесів безпеки (наприклад, захист активів, обробка винятків).

Частиною цієї платформи є інформаційна панель кібербезпеки, яка дає огляд операційного стану кібербезпеки, а також стратегічних точок даних. Ця інформація є основою для регулярної внутрішньої звітності керівництва перед Правлінням Siemens та Наглядовою радою Siemens.

Основна мета управління ризиками кібербезпеки, що входить до складу Siemens Enterprise Risk Management (ERM), полягає в тому, щоб дати Siemens змогу отримати прозорість щодо своїх ризиків кібербезпеки та адекватно керувати ними на прийнятному рівні.
Структура управління ризиками кібербезпеки Siemens базується на міжнародних стандартах (ISO/IEC 27005 та ISF IRAM2), враховуючи всі рівні, від операційного до корпоративного, а також використовуючи встановлені процеси та ролі ERM.
Ризики кібербезпеки, про які повідомляються та керуються до рівня ERM, ідентифікуються в наступних процесах та керуються у відповідних інструментах:

• Загальний процес управління ризиками кібербезпеки
• Процес класифікації та захисту активів для ІТ та документів та інформаційних активів
• Аналіз загроз і ризиків для продуктів, рішень і послуг
• Процес обробки винятків для тимчасових відхилень від системи кібербезпеки Siemens
• Управління ризиками постачальника кібербезпеки

Управління ризиками постачальника кібербезпеки:

Ризики кібербезпеки повинні управлятися по всьому ланцюжку поставок. Siemens розглядає цю тему цілісно, включаючи IT, OT та PSS для закупівлі горизонтальних та вертикальних компонентів, продуктів та послуг. З цієї причини основні заходи щодо підвищення рівня кібербезпеки вздовж ланцюга поставок включають:

• Прозорість щодо ризику кібербезпеки вздовж ланцюга поставок
• Систематичні методи управління ризиками, що підтримуються методологією оцінки сторонніх постачальників, відповідними інструментами та шаблонами контрактних вимог щодо кібербезпеки до постачальників
• Активна участь у Хартії довіри, що керує 2-м принципом: «Відповідальність у всьому цифровому ланцюжку поставок», а також різних експертних спільнот
• Регулярні тренінги та інформаційні кампанії для різних цільових груп та кейсів використання

Що таке інцидент з інформаційної безпеки?

Інцидент інформаційної безпеки визначається як: прямий або непрямий компромет конфіденційності, цілісності та/або доступності інформації відповідно до її класифікації (на основі ISO27001 та NIST 800-61 rev2). Приклади інцидентів включають, але не обмежуються ними:

1. Успішні спроби отримати несанкціонований доступ до системи або її даних
2. Порушення або відмова в обслуговуванні
3. Несанкціоноване використання системи для обробки або зберігання даних
4. Зміни системного обладнання, мікропрограмного забезпечення або характеристик програмного забезпечення без відома власника, інструкцій або згоди

Реакція інциденту

Ми проводимо глибокий аналіз інцидентів з кібербезпеки. Щоб досягти цього, ми співпрацюємо з відповідальними для бізнесу, внутрішніми та зовнішніми репортерами інцидентів та зацікавленими сторонами для координації заходів реагування та забезпечення належного стримування та ініціювання завдань з усунення проблем. Крім того, ми надаємо менеджера проекту Incident, підтримуючи організаційні та комунікаційні аспекти серйозних та складних інцидентів.

Процес обробки інцидентів

• Виявити

  Компроміс конфіденційності, цілісності та/або доступності інформації.

• Відповісти

  Проаналізуйте атаку та ініціюйте контрзаходи.

• Виправляти

  Містить: Обмеження шкідливої діяльності, Пом'якшення: Запобігання подальшим пошкодженням, Ремонт: Виправлення та запобігання повторному виникненню

• Відновити

  Відновити цілісність уражених систем до недеградованого робочого стану.

Загрози безпеки змушують галузь вжити заходів.

Атаки кіберзлочинців, які можуть маніпулювати цілими ланцюгами створення вартості, часто призводять не тільки до перебоїв у виробництві, але й до значної шкоди вашому іміджу. Щоб захистити вашу операційну технологію (ОТ) найкращим чином, потрібно отримати прозорість щодо ризику ваших активів. Це дозволяє ідентифікувати та усунути загрози кібербезпеки, перш ніж вони завдадуть значної шкоди. Ми забезпечуємо більшу кібербезпеку для ваших виробничих процесів. Наш цілісний підхід призначений для виявлення процедурних прогалин у безпеці та технічних вразливостей, перш ніж вони будуть використані поганими суб'єктами.

Більше інформації

AI виконує вирішальну функцію в зусиллях Siemens щодо кібербезпеки. Він динамічно ідентифікує та протидіє загрозам безпеці, виявляючи аномалії в нашій мережі та системах. Ця негайна дія проти порушень безпеки допомагає зменшити потенційну шкоду.

Крім того, штучний інтелект підвищує ефективність наших процедур кібербезпеки, автоматизуючи повсякденні завдання. Ця автоматизація дозволяє нашим командам безпеки зосередитися на більш складних і нагальних питаннях. Крім того, штучний інтелект створює індивідуальні протоколи безпеки на основі аналізу поведінки користувачів, створюючи точну стратегію безпеки для кожного підрозділу Siemens.

Незважаючи на переваги, важливо зазначити, що AI також може бути інструментом для кібер-зловмисників, посилюючи складність їх шкідливих дій. Ці зловмисники можуть використовувати AI для автоматизації своїх атак, ухилятися від звичайних систем безпеки або навіть імітувати поведінку людини, щоб уникнути виявлення.

Тим не менш, Siemens добре підготовлений до цього складного сценарію. Ми встановили суворі протоколи безпеки, щоб забезпечити безпечне та відповідальне застосування штучного інтелекту. Наш перспективний підхід допомагає підтримувати цілісність наших систем і захищати нас від потенційних ризиків, тим самим дозволяючи нам використовувати переваги штучного інтелекту в наших операціях з кібербезпеки.

Переваги, які Siemens отримує від штучного інтелекту, рішуче переважають ризики. Завдяки ретельному впровадженню та постійному спостереженню ми мінімізуємо ці ризики та посилюємо переваги штучного інтелекту. Отже, штучний інтелект стає безцінним інструментом, який суттєво покращує нашу здатність запобігати загрозам безпеці.