ISO/IEC 27001 – Системи за управление сигурността на информацията

Управлението на сигурността на информацията е от критично важно значение за всяка една организация. Информацията е много и е навсякъде около нас. Логично възниква въпросът – как да я защитим?

Един възможен вариант е внедряването на система за управление сигурността на информацията съгласно изискванията на стандарт ISO/IEC 27001 Информационни технологии. Методи за сигурност. Системи за управление на сигурността на информацията. Изисквания.

Стандартът ISO/IEC 27001 предоставя рамката за изграждане на система за защита на чувствителната бизнес информация. Целта на стандарта е постигане определено ниво на защита, чрез осигуряване на следните характеристики на информацията:

  • поверителност – само оторизирани лица да имат достъп до съответната информация;
  • цялостност – само оторизирани лица да имат възможност за промяна на информацията;
  • наличност – достъпност на оторизираните служители до необходимата им информация.

Как да осигурим защита на информацията?

Да разгледаме случай с откраднат служебен преносим компютър. С цел избягване на подобен неприятен, а и определено опасен инцидент можем да създадем правила за използване на служебни преносими компютри, където да бъдат описани рисковете и мерките за предотвратяване на кражба, загуба, повреда и др. Освен правилата за работа можем да включим и други форми на защита на информацията, чрез въвеждането на парола за достъп, кодиране на диска, допълнително обучение на персонала. И всички биха били спокойни, ако организацията разполагаше само и единствено с този преносим компютър. Но ако те са 10, 20 или 100. А много често освен преносими компютри организацията разполага и със стационарни, свързани в мрежа и при това с достъп до интернет. И изведнъж рисковете се увеличават неимоверно много, а управлението им излиза извън контрол.

Още повече, че когато говорим за сигурност на информацията нямаме в предвид само рисковете свързани с IT инфраструктурата, а обхващаме и физическата сигурност, човешките ресурси, правната защита. Всяко едно от изброените направления носи рискове за информацията, които трябва да бъдат оценени и контролирани, за да се постигне желаното ниво на управление на сигурността на информацията в организацията.

Чрез внедряването на система за управление на информацията за всеки един от рисковете се определят механизми за контрол, които обединени в система действат като единен и цялостен защитен механизъм относно сигурността на чувствителната бизнес информация.

В Приложение А на стандарт 27001 е посочен списък с цели на контрола и механизми за контрол, които могат да се използват като насока, с цел избягване на пропуски в защитата на информацията.

Освен Приложение А, като помощно средство могат да се използват и другите стандарти от серията:

  • БДС ISO/IEC 27000:2010 Информационни технологии. Методи за сигурност. Системи за управление на сигурността на информацията. Общ преглед и речник;
  • БДС ISO/IEC 27001:2006 Информационни технологии. Методи за сигурност. Системи за управление на сигурността на информацията. Изисквания;
  • БДС ISO/IEC 27002:2008 Информационни технологии. Методи за сигурност. Кодекс за добра практика за управление на сигурността на информацията;
  • БДС ISO/IEC 27003:2011  Информационни технологии. Методи за сигурност. Указания за внедряване на системи за управление на сигурността на информацията;
  • ISO/IEC 27004:2009 Информационни технологии. Методи за сигурност. Управление на сигурността на информацията. Измерване;
  • БДС ISO/IEC 27005:2009 Информационни технологии. Методи за сигурност. Управление на риска за сигурността на информацията;
  • БДС ISO/IEC 27006:2009 Информационни технологии. Методи за сигурност. Изисквания за органите, извършващи одит и сертификация на системи за управление на сигурността на информацията.

© Качеството ЕООД. Всички права запазени

Изработка на уеб сайт от Vipe Studio