Информационна сигурност (лекционен материал)
Целта на стандартите за информационна сигурност e да се конкретизират
Изтегляне 1.92 Mb. Pdf просмотр
|
| Целта на стандартите за информационна сигурност e да се конкретизират изискванията за създаване, прилагане, поддържане и непрекъснато подобряване на системата за управление на информационната сигурност. Въвеждането на система за управление на информационната сигурност е стратегическо решение за всяка организация, а нейното създаване и прилагане се определя от нуждите, сферата на дейност, целите, размера, структурата, организационните процеси и изискванията за сигурност на конкретната организация, базирайки се на ISO 27001:2013. За управление на отделните аспекти на информационната сигурност, както и приложението им в различни сектори, Международната организация по стандартизация (ISO), съвместно с Международната електротехническа комисия (IEC) разработва различни стандарти и указания, предоставящи насоки за разработване на системи за управление на сигурността на информацията, а други съдържат инструкции как да се приложат процеси и организационни средства за контрол за управление на риска свързан със сигурността на информацията. 62 62 Въвеждането на различни стандарти от серията като ISO/IEC 27000:2012, ISO/IEC 27000:2014 и 27000:2016, предоставящи общ преглед на системите за управление на информационната сигурност, термини и дефиниции, често използвани в стандартите за информационна сигурност. Системата за управление на информационната сигурност в организацията осигурява запазване на поверителността, целостта и наличността на информация, чрез прилагане на цялостен процес за управление на риска, позволяващ увереност на заинтересованите страни, че информацията е сигурна и управлявана адекватно. Информационната сигурност включва три аспекта – поверителност, цялост и наличност на информацията. Действащ към настоящият момент стандарт е ISO/IEC 27001:2013, включващ изисквания за създаване, внедряване, поддържане и непрекъснато подобряване на системата за управление на информационната сигурност, както и изискванията за оценка и третиране на рисковете за информационна сигурност, съобразени с нуждите на организациите. Поверителност- Предотвратяване разкриването на информация от неоторизирани лица или системи. Цялост - Данните не могат да бъдат модифицирани неоткриваемо. Наличност - Информацията трябва да бъде достъпна, когато и където е необходима на оторизираните потребители. Според стандартите системата за управление на информационната сигурност е част от цялостно интегрирана структура на управление, осигуряваща проектиране на процеси, информационни системи и в съответствие със спецификите на организацията. Изискванията определени в ISO/IEC 27001:2013 са общи и приложими за всички организации, независимо от вида, размера или естеството на осъществяваната от тях дейност. Стандартът предоставя рамка за най-добрите практики за управление на информационната сигурност, която помага на организациите да: защитят информацията, свързана с техните работници и клиенти; управляват ефективно рисковете за информационната сигурност; постигат съответствие с различни разпоредби по отношение на защита на информация, като например Общия регламент за защита на личните данните на Европейския съюз (EU GDPR) и др. Според стандарта, управлението на риска е процес от дейности, включващи: анализ на риска – процес на идентифициране на фактори, които оказват влияние върху информационната сигурност; 63 63 оценка на риска – определяне на заплахите за мисията на организацията, определяне на приоритетите на тези заплахи в съответствие с нивата на риска, дефиниране на мерки за контрол и защита и разработване на план за действие за изпълнението на тези мерки. Прилагането на анализ и оценка на риска предоставя възможност на организацията да вземе информирани решения, чрез прилагане на организационни средства за контрол и предпазни мерки, специфични и необходими за нейната дейност. Изтегляне 1.92 Mb. Сподели с приятели:
|