ISO 27001 – Системи за управление сигурността на информацията

сигурност на информациятаУправлението на сигурността на информацията е от критично важно значение за всяка една организация. Информацията е много и е навсякъде около нас. Логично възниква въпросът – как да я защитим?

Един възможен вариант е внедряването на система за управление сигурността на информацията съгласно изискванията на стандарт ISO 27001 Информационни технологии. Методи за сигурност. Системи за управление на сигурността на информацията. Изисквания.

Стандартът ISO 27001 предоставя рамката за изграждане на система за защита на чувствителната бизнес информация. Целта на стандарта е постигане определено ниво на защита, чрез осигуряване на следните характеристики на информацията:

  • поверителност – само оторизирани лица да имат достъп до съответната информация;
  • цялостност – само оторизирани лица да имат възможност за промяна на информацията;
  • наличност – достъпност на оторизираните служители до необходимата им информация.

 

Как да осигурим защита на информацията?

Да разгледаме случай с откраднат служебен преносим компютър. С цел избягване на подобен неприятен, а и определено опасен инцидент можем да създадем правила за използване на служебни преносими компютри, където да бъдат описани рисковете и мерките за предотвратяване на кражба, загуба, повреда и др. Освен правилата за работа можем да включим и други форми на защита на информацията, чрез въвеждането на парола за достъп, кодиране на диска, допълнително обучение на персонала. И всички биха били спокойни, ако организацията разполагаше само и единствено с този преносим компютър. Но ако те са 10, 20 или 100. А много често освен преносими компютри организацията разполага и със стационарни, свързани в мрежа и при това с достъп до интернет. И изведнъж рисковете се увеличават неимоверно много, а управлението им излиза извън контрол.

Още повече, че когато говорим за сигурност на информацията нямаме в предвид само рисковете свързани с IT инфраструктурата, а обхващаме и физическата сигурност, човешките ресурси, правната защита. Всяко едно от изброените направления носи рискове за информацията, които трябва да бъдат оценени и контролирани, за да се постигне желаното ниво на управление на сигурността на информацията в организацията.

Чрез внедряването на система за управление на информацията за всеки един от рисковете се определят механизми за контрол, които обединени в система действат като единен и цялостен защитен механизъм относно сигурността на чувствителната бизнес информация.

В Приложение А на стандарт 27001 е посочен списък с цели на контрола и механизми за контрол, които могат да се използват като насока, с цел избягване на пропуски в защитата на информацията.

Освен Приложение А, като помощно средство могат да се използват и другите стандарти от серията:

  • БДС ISO/IEC 27000:2010 Информационни технологии. Методи за сигурност. Системи за управление на сигурността на информацията. Общ преглед и речник;
  • БДС ISO/IEC 27001:2006 Информационни технологии. Методи за сигурност. Системи за управление на сигурността на информацията. Изисквания;
  • БДС ISO/IEC 27002:2008 Информационни технологии. Методи за сигурност. Кодекс за добра практика за управление на сигурността на информацията;
  • БДС ISO/IEC 27003:2011  Информационни технологии. Методи за сигурност. Указания за внедряване на системи за управление на сигурността на информацията;
  • ISO/IEC 27004:2009 Информационни технологии. Методи за сигурност. Управление на сигурността на информацията. Измерване;
  • БДС ISO/IEC 27005:2009 Информационни технологии. Методи за сигурност. Управление на риска за сигурността на информацията;
  • БДС ISO/IEC 27006:2009 Информационни технологии. Методи за сигурност. Изисквания за органите, извършващи одит и сертификация на системи за управление на сигурността на информацията.

© Качеството ЕООД. Всички права запазени

Изработка на уеб сайт от Vipe Studio