От края на месец септември е активна новата версия на стандарт ISO/IEC 27001:2013 Information technology. Security techniques. Information security management systems. Requirements. Последните години стандартът набира популярност, защото помага на организациите да защитят своите информационни активи, във среда с непрекъснато увеличаващи се заплахи и атаки.
Според организаторът на работната група Edward Humphries, в новата версия на стандарта са направени редица подобрения в Приложение А по отношение на контрола на сигурността, така че да се гарантира възможността за справяне със съвременните заплахи свързани с кражба на личността, употребата на мобилни устройства и онлайн приложения.
Анонсирането на новата версия на стандарт ISO/IEC 27001:2013 е свързано с предоставянето на данни от проучване на PricewaterhouseCoopers (PwC) във Великобритания, според което броят на засегнатите компании от нарушаване на сигурността на информацията продължава непрекъснато да нараства, като под прицел са не само големите организации, но и малките. Цели 87% от малките организации докладват за пробиви в сигурността на информацията им през последната година. Като основна причина за увеличаващите се заплахи се посочва използването на социални мрежи и съвременни технологии, като SMART телефони и таблети.
За съжаление нямаме подобно проучване у нас, за да сравним резултатите и да очертаем тенденциите на нашата среда, но от впечатленията ми за използването на съвременните технологии предполагам, че ще са в унисон с тези във Великобритания.
Проучването на PwC е интересно четиво подходящо за всеки, който се интересува от темата за информационна сигурност. За мен представляваше интерес да науча повече за основните източници, предизвикващи пробив в информационната сигурност. Любопитен е фактът, че е отчетен много висок процент на пробив в следствие на действия на персонала и атаките от външни за организацията лица.
източник: PwC – 2013 Information security breaches survey
Повече информация за резултатите и анализите от проучването можете да намерите на посочената връзка.
Друга важна особеност свързана с новата версия на стандарт ISO/IEC 27001:2013 е прилагането на структура, използвана в повечето стандарти за системи за управление и позволяваща по-лесното интегриране. Организациите внедрили и поддържащи системи за управление на информационната сигурност със сигурност управляват системи и по други стандарти – ISO 9001, ISO 14001, OHSAS 18001, SA 8000 или др., така, че новата промяна със сигурност ще им е от полза.
Към днешна дата стандартът ISO/IEC 27001:2013 е наличен за закупуване на сайта на ISO. Предполагам скоро ще се появи и на сайта на БИС, но за превода на български език ще се наложи да почакаме.