Найти в Дзене
Разработка, внедрение, обучение ИСО, ХАССП, ИНТИ
1088 подписчиков

Кибербезопасность в СМК: как защитить данные

8
3 мин
В цифровую эпоху значительная часть документации, записей хранится и передаётся в электронном виде. Это создаёт новые риски: утечка конфиденциальной информации, несанкционированный доступ, потеря данных. Планируемая новая версия стандарта ISO 9001:2026 возможно будет включать более строгие требования к защите данных и конфиденциальной информации, а также поощрение использования цифровых инструментов, что в свою очередь также влечет более серьезное управление кибербезопасностью. На данный момент проектная версия стандарта включает следующие изменения, связанные с кибербезопасностью: Защита данных и кибербезопасность
Есть упоминания о необходимости учитывать киберриски для обеспечения целостности и доступности ключевых данных и знаний. Цифровые инструменты и аналитика
Введено определение «цифровые процессы» , которые должны быть определены, внедрены и управляемы наравне с обычными процессами. Рассмотрим типичные риски утечки информации: Несанкционированный доступ — взлом учётных записей,
Оглавление

В цифровую эпоху значительная часть документации, записей хранится и передаётся в электронном виде. Это создаёт новые риски: утечка конфиденциальной информации, несанкционированный доступ, потеря данных.

Планируемая новая версия стандарта ISO 9001:2026 возможно будет включать более строгие требования к защите данных и конфиденциальной информации, а также поощрение использования цифровых инструментов, что в свою очередь также влечет более серьезное управление кибербезопасностью.

На данный момент проектная версия стандарта включает следующие изменения, связанные с кибербезопасностью:

  1. Защита данных и кибербезопасность
    Есть упоминания о необходимости учитывать киберриски для обеспечения целостности и доступности ключевых данных и знаний.
  2. Цифровые инструменты и аналитика
    Введено определение «цифровые процессы» , которые должны быть определены, внедрены и управляемы наравне с обычными процессами.

Рассмотрим типичные риски утечки информации:

  • Несанкционированный доступ — взлом учётных записей, подбор паролей, использование чужих прав.
  • Утечка через сотрудников — случайная отправка файлов не тем адресатам, копирование на личные носители, передача паролей.
  • Вредоносное ПО — вирусы, трояны, шифровальщики , крадущие или блокирующие данные.
  • Атаки на инфраструктуру — DDoS, эксплуатация уязвимостей ПО.
  • Потеря данных — сбои серверов, повреждение носителей, ошибки при обновлении систем.
  • Нарушение целостности данных — подмена записей, фальсификация протоколов, изменение истории изменений.

Последствия: репутационные потери, штрафы, срыв контрактов, утрата коммерческой тайны.

Практические меры защиты данных в СМК

1. Организационные меры

  • Политика информационной безопасности — документ, определяющий правила работы с данными СМК, роли, ответственность, порядок реагирования на инциденты.
  • Разграничение доступа — принцип «минимальных привилегий»: сотрудник видит только те данные, которые нужны для его работы.
  • Обучение персонала — регулярные тренинги по:
  • распознаванию фишинга;
  • правилам парольной политики;
  • порядку работы с конфиденциальными файлами.
  • Регламент работы с документами — как хранить, передавать, архивировать и уничтожать электронные записи СМК.

2. Технические меры

  • Аутентификация и авторизация:
  • сложные пароли (или многофакторная аутентификация);
  • блокировка учётных записей после неудачных попыток входа.
  • Шифрование:
  • данных на дисках и серверах;
  • трафика при передаче.
  • Резервное копирование:
  • регулярное (ежедневно/еженедельно);
  • хранение копий в отдельном защищённом месте (офлайн или облаке с шифрованием);
  • проверка возможности восстановления.
  • Антивирус и защита конечных точек — на всех устройствах, где обрабатываются данные СМК.
  • Обновление ПО — своевременное устранение уязвимостей ОС, СУБД, прикладных систем.

3. Процедуры и мониторинг

  • Журналирование действий — фиксация:
  • входа/выхода пользователей;
  • изменений в документах;
  • попыток доступа к запрещённым ресурсам.
  • Регулярные аудиты безопасности — проверка:
  • настроек доступа;
  • актуальности политик;
  • работоспособности резервных копий.
  • План реагирования на инциденты — чёткие шаги при:
  • утечке данных;
  • заражении вирусом;
  • потере доступа к системе.
  • Тестирование на проникновение — периодическая проверка уязвимостей внешними экспертами.

4. Работа с внешними поставщиками

Если данные СМК передаются подрядчикам или облачным сервисам:

  • включите требования по кибербезопасности в договоры;
  • проверьте сертификаты поставщиков (ISO 27001 и др.);
  • ограничьте объём передаваемых данных (только необходимое);
  • определите порядок уведомления об инцидентах.

5. Документирование и соответствие

  • Реестр информационных активов — список систем, баз данных, документов СМК с указанием:
  • категории данных (ПДн, коммерческая тайна и т. п.);
  • места хранения;
  • ответственного лица.
  • Журнал инцидентов — фиксация всех случаев нарушения безопасности и мер реагирования.

Чек‑лист для проверки защиты данных

  1. Разграничен ли доступ к электронным документам по ролям?
  2. Используются ли шифрование и резервное копирование?
  3. Проходят ли сотрудники обучение по кибербезопасности?
  4. Ведётся ли журнал событий безопасности?
  5. Есть ли план реагирования на утечку данных?
  6. Проверяются ли поставщики на соответствие требованиям безопасности?
  7. Проводятся ли регулярные аудиты и тестирования на уязвимости?

Вывод

Защита данных должна быть:

  • комплексной (организационные + технические меры);
  • документированной (политики, регламенты, журналы);
  • актуальной (регулярные обновления и аудиты).

Начните с аудита текущих процессов — и поэтапно внедряйте меры защиты, соответствующие уровню угроз вашей организации.

Безопасность и правопорядок
95,2 тыс интересуются