April 2015 Download this article as a PDFAbstract

В статье рассматривается, каким образом Организация может принять информацию ориентированный подход для защиты своей информации в одной или нескольких цепочек поставок; четкое информирование ожиданий, что имеет для прямого поставщика (Tier 1) для защиты информации; и использование контрактов и измерение для поддержания защиты. Опираясь на этот фундамент, концепция устойчивости и что кибер устойчивости, обсуждается, и как информация ориентированный подход может помочь в создании более кибер устойчивой цепочки поставок. И наконец, в статье завершается пять шагов Организация может предпринять для улучшения защиты информации: i) Карта цепочки поставок; II) создания потенциала; III) обмен информацией и опытом; IV) государственные требования по всей цепочки поставок с использованием стандартов, общих рамок и языков; и v) измерения, оценки и аудита.

Введение

Поставка цепей – и организаций, участвующих в них-теперь цели для хакеров. Есть несколько причин: один является производственно-сбытовых цепочек, которые содержат большой объем информации, которые могут быть проданы или может смутить одной или нескольких организаций в цепочке поставок; другой является, что одна организация может использоваться в качестве маршрута для нападения другой организации в цепочке поставок, как это было в 2013 году нападение на розничной цели в Соединенных Штатах (Кребса, 2014).

Информация, как и физические компоненты производственно-сбытовые цепочки, имеет жизненно важное значение для дальнейшего эффективного функционирования производственно-сбытовых цепочек. Действительно для некоторых цепочек поставок для работы Организации может потребоваться поделиться коммерческой тайны, данных и другой конфиденциальной информации. Однако роль и защита информации в цепочках поставок получил меньше внимания, чем физические аспекты тех цепочек поставок. Эта ситуация меняется.

Много усилий было вложено в снижение рисков связанных с физических аспектов производственно-сбытовых цепочек – и повышение их устойчивости в целом- но меньше внимания было уделено общей устойчивости и безопасности связанных с кибер аспектов производственно-сбытовых цепочек. Эта статья рассмотрит этот ключевой вопрос: каким образом Организация может защитить свою информацию в одном или более цепочек поставок и использовать его в качестве основы для создания кибер устойчивости через один или несколько из своих цепочек поставок.

Информация ориентированный подход, который предусматривает организацию с мощным инструментом для защиты информации, она и не разделяет, представляются в виде решения этого ключевого вопроса. Рассматривается как подход может быть принят и использовать direct – или Tier 1-поставщики. Из этого фонда, статья посвящена концепции устойчивости и как можно определить кибер стойкость: роль информации ориентированный подход будет выделен в качестве компонента кибер устойчивости. И наконец пять шагов, которые Организация может предпринять для создания информации ориентированный подход и кибер устойчивости перечислены и описаны.

Защита информации в цепочке поставок

Повсеместное распространение информационных технологий (ИТ) и доступность информации ставит все организации в дилеммой. Для цепи поставок работать эффективно и действенно информация-некоторые из его чувствительной или конфиденциальной-должны совместно использоваться многими организациями. Тем не менее в то же время, один или несколько из этих организаций не хотят делиться этой информацией или могут иметь внешние обязательства, такие, как предусмотренные в законодательстве или регулировании, для защиты же информации. Некоторые виды информации, например, лично identifiable информацию и медицинской документации, являются при условии соблюдения юридических или нормативных обязательств, касающихся их защиты и использования. Эти обязательства могут препятствовать делить- но такой обмен имеет важное значение для успеха цепи поставок. Это требование для обмена является ключевым риском в сегодняшней цифровой связи, информации зависимой производственно-сбытовой цепочке. Обмен информацией стало проще с появлением его и Интернет, но как это ни парадоксально, также стало труднее с распространением технологий и услуг, и Интернет. В результате информация может использоваться во многих формах и в различных форматах (в том числе бумаги), умножая число копий в существовании и в некоторых случаях, умножая вероятность ошибок.

По всей цепочке поставок возможности и желание поставщиков тратить ресурсы на кибербезопасность и cyber устойчивость будет существенно различаться. Некоторые поставщики будут обладать опытом, знаниями и возможности для решения вопросов, связанных с кибер в последовательной и всеобъемлющей основе. Другие поставщики не будут. С точки зрения приобретения Организации (далее «Покупатель» в соответствии с ISO/IEC 27036-1:2014 [ISO, 2014; Часть 1]), ключевым вопросом является, несмотря на много напряженной работы и значительные расходы, покупатель не может вести переговоры, согласиться, измерить и оценки кибербезопасности и связанные с ними риски своих поставщиков и по всей цепи поставок. Для приобретателя различные факторы могут сочетаться, чтобы сделать этот вопрос, включая неспособность:

  1. Государственные кибербезопасность требования к поставщикам, используя общие рамки и языка.
  2. Интегрируйте кибербезопасности в процесс закупок приобретателя.
  3. Выделить ресурс для изучения макияжа цепочки поставок (то есть, какие поставщиков Организации составляют цепочки поставок).
  4. Понимаете, как поставщик отвечает требованиям покупателя, когда не используя общие, общие рамки и язык.
  5. Определение приобретателя информации между приобретателя и его прямыми поставщиками и приобретателя информацией между прямыми и косвенными поставщиками.
  6. Укажите требования к кибербезопасности для косвенных поставщиков (например, поставщики для прямых поставщиков).
  7. Измерьте эффективность механизмов кибербезопасности на поставщиков и всей цепочки поставок с помощью согласованного набора показателей.
  8. Определение и количественная оценка рисков, связанных с кибер по всей цепочке поставок.
  9. Определение использования технологии (например, облако) и поставщиков технологий приобретателя и поставщиками по всей цепочке поставок.
  10. Контролировать конфиденциальность, целостность и доступность (ЦРУ) информации, как только совместно с поставщиками и цепочки поставок.

Эти факторы могут различаться в их значимости по цепи поставок. Стоит отметить, что покупатель может иметь несколько цепочек поставок и что проблемы и факторы могут меняться в их значения по каждой цепи поставок. Если мы посмотрим на упрощенной цепочки из информации или перспективы кибербезопасности, мы можем выделить, где десять факторов, перечисленных выше, часто происходят.

На рисунке 1 показано, что факторы можно разделить на два типа:

  1. Основное внимание приобретателя
  2. Основное внимание цепи поставок

Ориентированные на приобретателя факторы (пронумерованы 1-4 в списке и на рисунке 1) являются внутренними приобретателя и степени, активно обрабатываются и рассмотрены приобретателя руководства и персонала. Как правило, эти факторы подпадают под информационной безопасности, третьих сторон (например, поставщик) безопасности и программ конфиденциальности данных и проектов ведении сотрудников Организации или консультанты.

Основное внимание цепи поставок факторов (пронумерованные 5 – 10) находятся за пределами контроля покупателя. После того, как приобретателя информация передается поставщику, то что информация может использоваться, копировать, хранить, изменены, удалены, и так далее без ведома или разрешения покупателя. Приобретателя таким образом не имеет представление как его информации защищен, кто его информацию совместно с, где эта информация – физически и в электронном виде – и кто может видели или используется общая приобретателя информации. Как только эта ситуация возникает, это очень трудно восстановить (или получить) любой контроль над защитой информации и оценки рисков для этой информации. Поскольку покупатель, как правило, имеет мало или нет возможности работать с, или влияние, ее косвенных поставщиков (например, если на месте нет никакого контракта), покупатель не может установить свои требования для защиты своей информации на этих косвенных поставщиков, что делает его трудно измерить эффективность механизмов кибербезопасности по всей цепи поставок и может существенно повлиять на общий кибербезопасности риск, связанный с общим. Субподряда поставщиком-особенно для технологий или услуг поставщиков, предлагающих облако, мобильное устройство и социальные медиа услуг – может также существенно снизить риск обмена, защиты информации и контроля ЦРУ приобретателя информации.

Рисунок 1

Рисунок 1. Факторы, которые могут повлиять на способность приобретателя защитить свою информацию, используя модель цепочки поставок упрощенной

Защита информации в цепи поставок

Учитывая требования для совместного использования и защиты информации и проблемы и факторы, рассмотренных выше, приобретателей были предприняты усилия по адресу как лучше для обмена и защиты информации, которую они предоставляют для поставщиков. Как правило, эти усилия сосредоточены на поставщиков Tier 1, происходят в конце цикла закупок и применить «один размер подходит всем» подходов к информационной безопасности. Таким образом покупатель будет указывать сертификацию или соответствие системы менеджмента информационной безопасности (например, ISO/IEC 27001:2013 [ISO, 2013a]), «право на аудит» и требующих поставщика для удовлетворения требований покупателя внутренней политики документов, независимо от информации общего доступа или товаров и услуг поставляется. Такой подход не может обеспечить наилучшую защиту для общей информации, поскольку информация, риски не могут быть надлежащим образом устранены, и поэтому риск лечения может быть слишком сильным в одной области и слабых в другом. Приобретателей также пытались определить, какую информацию они фактически разделяют, далее диспергирования свои усилия с точки зрения защиты.

Для защиты информации, совместно с поставщиками первого уровня в порядке, покупатель ожидает, что требуется информация ориентированный подход. При таком подходе покупатель определяет в начале цикла закупок, какая информация должна использоваться для покупки особенно хорошо или услуги. Зная, какая информация является для совместного использования позволит приобретателя понять вред, который может пострадать должна быть снижена информацию у поставщика и риск лечения поставщик должен создать на минимальном уровне. Эта информация ориентированный подход позволяет эквайером для обозначения:

  • какая информация передается
  • его значение для приобретателя (Организация обмена информацией)
  • чувствительность этой информации, когда она совместно
  • вред приобретателя должны эту информацию у ее конфиденциальности, целостности или доступности скомпрометирован
  • защиту, которые требуются для этой информации – и требования, которым должен соответствовать поставщик

Таким образом покупатель может заявить поставщику, что совместно, что может произойти, если эта информация будет потеряна, и как эта информация должна быть защищены. Такой подход является применение оценки рисков информации, но теперь он был использован в внешнем контексте. Защите могут включать процессы, технологии (например, шифрование) и возможность оценки и аудита, что поставщик активно реализует защиту, которые требуются. На рисунке 2 показано, как информация – и ее защита – может быть встроен в типичном закупочного цикла.

Рисунок 2

Рисунок 2. Интеграция информации в типичных закупочного цикла

После информации для совместного использования, защиты информации могут быть разработаны во все документы закупки, используемые приобретателя (например, выражение интереса и приглашение на тендер) и принять решения. Важно то, какая информация является общим и вреда для приобретателя должна эта информация теряет свою конфиденциальность, целостность или доступность может использоваться для привода защиты требуется, используя подход на основе рисков. Стандарты, такие, как несколько частей ISO/IEC 27036 (ISO, 2014) может использоваться для обеспечения общей отправной точкой, общий набор терминов, а также общее понимание как каждая организация подходит к своей деятельности и его кибербезопасности.

Такой подход является ограниченным, поскольку он только сосредоточена на поставщиков Tier 1. Для защиты информации приобретателя вверх по течению (уровень 2 и не только) является гораздо более сложным, однако степень защиты может быть достигнуто с помощью сквозную предложений, технических подходов и аудита. Сквозная клаузул, которые помещаются в контракт приобретателя поставщика, представляют собой попытку обеспечить поставщиков поставщика ввести в действие такую же защиту как контракт требует поставщика сделать. Например если покупатель хочет, чтобы поставщик принять систему управления информационной безопасностью и поставщиков поставщика сделать то же самое, сквозную предложение могут быть включены в приобретателя поставщика контракт о том, «все поставщики контрактных поставщиков, которые могут обрабатывать информацию, представленную приобретателя должны иметь систему управления информационной безопасностью на месте. Контракту поставщик будет нести ответственность за обеспечение соблюдения этого положения.» Излишне говорить о том транзитные положения, не обязательно популярны с поставщиками, поскольку такие положения возлагают обязательства на них. Обычно транзитные положения только достигают уровня Tier 1 и Tier 2 поставщиков. Технические подходы, такие, как управление цифровыми правами, предлагают частичное решение, которое может распространяться вверх по течению поставщиков. Позволяя поставщикам подключаться к приобретателю инфраструктуры для доступа к информации является еще один механизм контроля, поскольку может осуществлять контроль над кто видит приобретателя информацию и что копируется, таким образом мы надеемся ограничить более широкого воздействия цепочки поставок. Однако существуют как управления, так и технических накладных расходов на эти подходы, которые покупатель может чувствовать себя перевешивают защиту. И наконец тщательный аудит поставщика и его связи позволит также эквайером понять, как его информацией. Ревизии такого рода отнимать много времени и дорого, а также полагаются на поставщика, сохранив записи таких сообщений и доброй воли поставщика в обмен ими. Ресурс, стоимость, время и другие ограничения часто означают, очень редко выполняются проверки такие. На рисунке 3 кратко, каким образом могут применяться подходы, обсуждаемые в этом разделе и иллюстрирует охват этих подходов через модель цепочки поставок.

Рисунок 3

Рисунок 3. Подходы к защите информации в цепочке поставок

Возможность защиты информации на Tier 1 поставщик, не говоря вверх по течению, является крупным шагом вперед, но для достижения истинной кибер устойчивости, необходимы другие шаги. Первый из них, чтобы понять, а затем создать устойчивость.

Устойчивость

Концепция устойчивости принимает много форм и применяется в производственно-сбытовые цепочки, организаций и. К сожалению есть много определений устойчивости, которые затем ассигновала по размеру специальностей. Качестве отправной точки мы будем использовать это определение устойчивости: “[…] способность системы для возврата в исходный [или желаемый] состояние после помех» (клюют соавт., 2003). Устойчивость можно рассматривать с нескольких широких перспектив, которые кратко обсуждаются здесь. Первый подход устойчивости представлений с организационной точки зрения и занимается вопросами подготовки и реагирования на инцидент и снижения вреда или воздействия. Второй подход, который является более узким, рассматривает стойкость как способность Организации его продолжить работу в случае ошибки, сбоя или инцидента. Эти два подхода много общего и взаимосвязаны, поскольку организации обычно зависят от его осуществления и поддержки их бизнес-операций: сбой в нем может значительно повредить Организации. Третья перспектива что непрерывность бизнеса, какие взгляды бизнес планы обеспечения непрерывности работы и аварийное восстановление в качестве важнейшего компонента устойчивости (Дэвис & Скелтон, 2014) и обеспечивает основу, на которой Организация может планировать и осуществлять свои ответы на инцидент. Важно отметить, что стойкость имеет компонент времени; например понятия «время восстановления» и «максимальный допустимый период простоя», взяты из непрерывности бизнеса (Типтон & Эрнандес, 2013). Эти три перспективы, как правило, организационно сосредоточены и замкнутости в значительной степени.

Устойчивость цепочки поставок является «способность цепочки поставок справляться с неожиданным беспорядков» (Кристофер, 2011) и одной из его особенностей является бизнес wide признание где цепочки поставок является наиболее уязвимым. Управление цепочкой, проектирования, поставок и непрерывности бизнеса, все должны играть роль в создании устойчивости (воды, 2011).

И наконец устойчивость является развивающейся концепцией в киберпространстве. Опять же могут быть приняты различные перспективы. Широкая смотрит на устойчивость физических и виртуальных компонентов Интернет-оборудование, программное обеспечение, процессы и связи ссылки- и как эта вся система систем по-прежнему может функционировать, если были неудачи, нападения или других инцидентов. Другая перспектива рассматривается, каким образом Организация может продолжать делать бизнес, если доступ к своей информации, Интернет или услуг, предоставляемых через Интернет были прерваны или нарушениями. Это, что автор берет, чтобы быть «кибер стойкость»: способность системы, которая зависит от киберпространства некоторым образом вернуться в исходный [или желаемый] состояние после помех.

Таким образом кибер устойчивость является больше, чем просто или информационной безопасности вопрос (форум по информационной безопасности, 2012; Всемирный экономический форум, 2012). Это проблема для бизнеса и должны быть вплетены в бизнес или управления рисками предприятия, его следует рассматривать во всех бизнес-операций, и она имеет особое значение для приобретателя производственно-сбытовые цепочки. Нападения на информацию – и систем, которые обрабатывают, хранят и передают эту информацию – забастовка на устойчивость (кибер - или иным образом) из цепочки поставок. Таким образом защита информации может рассматриваться как основополагающего компонента создания кибер устойчивости.

Создание Cyber устойчивость в цепочке поставок

Хороший кибербезопасности и кибер устойчивость поставок цепи начинается «дома». Организация, которая понимает, в самом широком смысле, какую информацию он считает чувствительных, критических или повреждение должно быть скомпрометировано сможет защитить свою информацию и приступить к созданию устойчивости. Методы, такие как классификация или маркировке информации и обучение пользователей о полезности и ценности информации, создать или укрепить безопасность позитивный подход к обработке информации. Старшие руководители должны отстаивать это дело и обеспечить приверженность достижению этой информации ориентированный подход ресурсов. Рука об руку с этим подходом является необходимость управления информационной безопасности (как это предусмотрено в ISO/IEC27014: 2013 [ISO, 2013b]) и информационной стратегии безопасности, прямой, управлять и доставить подход внутри Организации. Ключ к успеху этого подхода будет возможность классифицировать, группы, или определить группы информации – например, торговые секреты, интеллектуальная собственность, юридические документы и коммерческие документы – и затем Экспресс вред, причиненный информации в каждой группе должно быть нарушена. После того, как этот ущерб может быть выражен, риск лечения можно выбрать, используя опубликованные или внутренних процессов и методологий.

Защита информации является частью этой задачи. Для создания кибер устойчивости через цепочки поставок, каждая организация должна создать набор возможностей, как внутренние и внешние-с видом. Сводный список для Организации, на основе материалов, опубликованных Всемирным экономическим форумом (2012), здесь представлены:

  1. Реализация кибербезопасности (или информационной безопасности) структуры управления и место член исполнительного руководства на голову.
  2. Создание программы кибербезопасности.
  3. Интегрируйте программы кибербезопасности с подходов к управлению рисками предприятия.
  4. Общаться, делиться и применять программы кибербезопасности с поставщиками, воспитывать их, где это необходимо.

Для достижения этих четырех шагов требует значительных усилий. Достижение может способствовать принятие стандартов, обмене кибер информации, таких, как угрозы, нападения, слабые стороны и смягчение – точка в ряде публикаций (форум по информационной безопасности, 2012; Всемирный экономический форум, 2012). Для многих организаций они не имеют ресурсов, опыта или время действовать на кибер-информации, или они могут зависеть от поставщика для них. Это где образование и, в случае необходимости, на самом деле инвестирования в возможности поставщика может потребоваться и может привести к возвращению.

Заключение

Таким образом строительство кибер устойчивости начинается в Организации. В данной статье описывается компоненты организационной кибер устойчивости, таких, как информация ориентированный подход, приняв рамки управления, стратегии интеграции информации в закупочного цикла. Чтобы расширить кибер устойчивость к цепочке поставок, покупатель должен принять следующие дополнительные меры:

  1. Карта цепочки поставок. Многие организации фактически не понимают макияжа их цепочек поставок. Даже Toyota, часто в качестве примера передового опыта цепочки поставок, не может сопоставить свои цепи (поставок цепи дайджест, 2012). Сопоставление осложняется наличием ресурсов, число поставщиков, которые Организация может иметь, готовность поставщиков выявить их поставщиков, а линейные и боковой характер цепочек поставок самих. Как покупатель понимая, кто в цепи поставок на Tier 1 и Tier 2 (даже частично) – и информация, которую они могут понадобиться от приобретателя – означает, что Информационный риск и риск лечения можно лучше выявлять и рассмотрены. Кроме того зная риски в цепочке поставок строит устойчивости, поскольку покупатель может подготовить для инцидентов и перерывов. Покупатель может также пятно потенциальные слабые звенья в цепи поставок, где информация может быть нарушена. Картирование прошлом уровень 2 может быть очень трудно для многих организаций эквайринга, но некоторые, возможно, сделать это для нормативных и других требований.
  2. Создание потенциала. Эквайринговая Организация и ее поставщики не ресурсов, опыта или знаний для защиты информации. Если поставщик не может защитить информацию или его систем, то он может предоставить маршрут для нападавших на компромисс как поставщика, так и приобретателя, что причинение вреда и непосредственно подрывает кибер устойчивость цепочки поставок. Для приобретателя помогая поставщикам для защиты информации эквайером является win-win, потому что стоимость восстановления после нарушения и неудачи устойчивости (возможно включая штрафы, взысканные с регулирующими органами и любые судебные издержки) вероятно намного превышают расходы на оказание помощи поставщику для исправления любых недостатков. Создание потенциала не обязательно означает найма экспертов для работы в бункерах: интеграция вопросов кибербезопасности и контрольные перечни в документы закупки, или лучше еще, интеграции кибербезопасности специалистов в процесс закупок и функции является альтернативным и ценность подхода многие организации могут легко. Принятие стандартов, таких как ISO/IEC 27036 серии (ISO, 2014) говорилось выше и укрепление управления рисками цепочки поставок для включения вопросов, связанных с безопасности и конфиденциальности информации (например, 7000:2014 PAS [BSI, 2014]) может также поднять приобретателя возможности и повысить осведомленность сообщества поставщиков. Покупатели и поставщики, возможно, пожелает совместно инвестировать в кадров, а также.
  3. Обмен информацией и опытом. Эквайеров и поставщики должны обмениваться информацией об угрозах, нападениях и инциденты – все, что может отрицательно сказаться на их комбинированных кибер устойчивости. Эти организации могут также хотят делиться информацией о защитных механизмах, что они имеют на месте – и их эффективность – дальнейшего повышения их устойчивости. Обмен информацией о кибер устойчивости может принимать различные формы, включая присоединение правительства сети обмена информацией, обсуждения и презентации в рамках членства или других доверенных групп, прямую связь между отдельными лицами и использование социальных средств массовой информации. Обмен опытом может включать как покупателей, так и поставщиков кросс постинг персонала, обмена передовым опытом, рекомендовать использование стандартов или создания совместных предприятий для поощрения наилучшей практики через их производственно-сбытовых цепочек и вверх по течению поставщиков. Приобретателей, возможно, пожелает обеспечить образование и обучение, на борт и потенциальных поставщиков, о стандартах и рамок, которые могут быть использованы.
  4. Государственные требования по всей цепочки поставок с использованием стандартов, общих рамок и языков. Приобретение организаций следует обеспечить, что всякий раз, когда они работают с поставщиками, они следуют стандартам и использовать общий язык для содействия взаимопониманию с их поставщиками. Кроме того если те же стандарты, язык и рамки используются со всеми поставщиками, покупатель будет иметь основу для сравнения между поставщиками, которые могут помочь управлению рисками, измерение поставщиков и связанных усилия. Аналогично когда приобретатель обменивается информацией, требования к защите должны облекаются в одном языке для всех поставщиков. Используя транзитные положения и технологические решения, такие, как система управления цифровыми правами может иметь роль здесь, как образование и профессиональная подготовка.
  5. Измерения, оценки и аудита. Все организации в цепочке поставок должны будут иметь возможность измерить их кибербезопасности, их кибер устойчивость, кибер риски в своей цепочке поставок и их управления. Кроме того организациям будет необходимо иметь возможность совместно использовать и интерпретировать эти измерения, поэтому они понимают свои кибер устойчивости, их партнеров и цепи поставок в целом. Приобретателей, возможно, потребуется определить показатели для поставщиков, на основе их систем внутреннего измерения, или они, возможно, создать новые меры в связи с их поставщиками. Эквайеров и поставщикам может потребоваться для создания систем непрерывного мониторинга и измерения для преодоления довольно статический характер проверок, а также для обнаружения и предотвращения и реакции на нападения в режиме реального времени или режиме реального времени.

Кибер устойчивость – способность системы, которая зависит от киберпространства некоторым образом вернуться в исходный [или желаемый] состояние после помех – является важной и развивающейся концепцией. При применении кибер устойчивость цепочки поставок, защиты информации и связанных с ним атрибутов (таких, как конфиденциальность, целостность и доступность), понимание информации и кибер рисков по всей цепочке поставок и создание совместного подхода являются важными понятиями. Тем не менее именно эти области, где много работы нужно сделать, потому что информация и оценка кибер рисков через цепочки поставок новые области исследований; Таким образом, существует мало для руководства организаций и мало наилучшей практики для их изучения и адаптации.

 


Ссылки

BSI. 2014. PAS 7000 поставок цепи управления рисками – Предварительная квалификация поставщиков. Институт Британских стандартов. Доступ 26 марта
2015:http://www.bsigroup.com/en-GB/PAS7000/

Кристофер, м. 2011. Логистика и управление цепочками поставок (4-ред.). Лондон: FT Прентис Холл.

Дэвис, а. & Скелтон, э. 2014. Привлечение Совета: Устойчивость измеряется. В птица л (ред.), Оперативная устойчивость в финансовых учреждениях. Лондон: Риск книги.

Форум по информационной безопасности. 2012. Кибер стратегии безопасности: Достижение устойчивости кибер. Лондон: Форум по информационной безопасности.

ISO. 2013a. ISO/IEC 27001:2013 информационные технологии – методы – управление информационной безопасностью – требования безопасности. Международная организация по стандартизации. Доступ 9 февраля,
2015:http://www.iso.org/iso/catalogue_detail.php?csnumber=54534

ISO. 2013b. ISO/IEC27014: 2013: Информационные технологии – методы обеспечения безопасности – управления информационной безопасности. Международная организация по стандартизации. Доступ 9 февраля,
2015:http://www.iso.org/iso/catalogue_detail.php?csnumber=43754

ISO. 2014. ISO/IEC 27036: Информационной технологии – методы обеспечения безопасности – информационная безопасность для поставщика отношений. Международная организация по стандартизации. Доступ 9 февраля, 2015:Part
1: Overview and Concepts:
http://www.iso.org/iso/catalogue_detail.php?csnumber=59648
Part 2: Requirements: http://www.iso.org/iso/catalogue_detail.php?csnumber=59680
Part 3: Guidelines for Information and Communication Technology Supply Chain Security: http://www.iso.org/iso/catalogue_detail.php?csnumber=59688
Part 4 (under development): Руководство по безопасности облачных услуг: http://www.iso.org/iso/catalogue_detail.php?csnumber=59689

Кребс, б. 2014. Целевая хакеры взломали HVAC компании via. Кребс по безопасности, 5 февраля 2014. Доступ к 1 апреля,
2015:http://krebsonsecurity.com/2014/02/target-hackers-broke-in-via-hvac-comp...

Пек, х., Abley Дж., Кристофер, м., Хейвуд, м., пила, р., Резерфорд, C. & Strathern, м. 2003. Создание устойчивых производственно-сбытовые цепочки: Практическое руководство. Бедфорд, Великобритания: Кранфилд школы менеджмента, Университет Кренфилда.

Поставка цепи дайджест. 2012. Глобальные поставки цепи Новости: Toyota принимает огромные усилия по сокращению риска цепочки поставок в Японии. Поставка цепи дайджест, 7 марта 2012. Доступ 9 февраля,
2015:http://www.scdigest.com/ontarget/12-03-07-2.php?cid=5576

Типтон, х. ф & Эрнандес, Сергеевич (ред) 2013. Официальный (ISC) 2 Руководство по CISSP ЦБК (3-е изд.). Бока-Ратон, FL: CRC пресс.

Воды, д 2011. Управление рисками цепочки поставок (2-е изд.). Лондон: Коган страница.

Всемирный экономический форум. 2012. Партнерство для кибер устойчивости. Всемирный экономический форум. Доступ 9 февраля,
2015:http://www.weforum.org/projects/partnership-cyber-resilience

Доля этой статьи:

Цитируете эту статью:

Оцените содержание: 
Нет голосов были поданы еще. Скажи свое слово!

Ключевые слова: кибер устойчивость, кибербезопасности, прямых поставщиков, косвенных поставщиков, информация ориентированный подход, закупки, требования, устойчивости, производственно-сбытовая цепочка, Tier 1 поставщиков

Добавить новый комментарий

Обычный текст

  • Теги HTML не разрешены.
  • Адреса электронной почты и адреса страниц включите в ссылки автоматически.
  • Строки и параграфы переносятся автоматически.