62 62
Въвеждането на различни стандарти от серията като ISO/IEC 27000:2012,
ISO/IEC 27000:2014 и 27000:2016, предоставящи общ преглед на системите за управление на информационната сигурност, термини и дефиниции, често използвани в стандартите за информационна сигурност.
Системата за управление на информационната сигурност в организацията осигурява запазване на поверителността, целостта и наличността на информация, чрез прилагане на цялостен
процес за управление на риска, позволяващ увереност на заинтересованите страни, че информацията е сигурна и управлявана адекватно.
Информационната сигурност включва три аспекта – поверителност, цялост и наличност на информацията. Действащ към настоящият момент стандарт е ISO/IEC
27001:2013, включващ изисквания за създаване, внедряване, поддържане и непрекъснато подобряване на системата за управление на информационната сигурност, както и изискванията за оценка и третиране на рисковете за информационна сигурност, съобразени с нуждите на организациите.
Поверителност- Предотвратяване разкриването на информация от неоторизирани лица или системи.
Цялост - Данните не могат да бъдат модифицирани неоткриваемо.
Наличност - Информацията трябва да бъде достъпна, когато и където е необходима на оторизираните потребители.
Според стандартите системата за управление на информационната сигурност е част от цялостно интегрирана структура на управление, осигуряваща проектиране на процеси, информационни системи и в съответствие със спецификите на организацията.
Изискванията определени в ISO/IEC 27001:2013 са общи и приложими за
всички организации, независимо от вида, размера или естеството на осъществяваната от тях дейност. Стандартът предоставя рамка за най-добрите практики за управление на информационната сигурност, която помага на организациите да:
защитят информацията, свързана с техните работници и клиенти;
управляват ефективно рисковете за информационната сигурност;
постигат съответствие с различни разпоредби по отношение на
защита на информация, като например Общия регламент за защита на личните данните на Европейския съюз (EU GDPR) и др.
Според стандарта, управлението на риска е процес от дейности, включващи:
анализ на риска – процес на идентифициране на фактори, които оказват влияние върху информационната сигурност;
63 63
оценка на риска – определяне на заплахите за
мисията на организацията, определяне на приоритетите на тези заплахи в съответствие с нивата на риска, дефиниране на мерки за контрол и защита и разработване на план за действие за изпълнението на тези мерки.
Прилагането на анализ и оценка на риска предоставя възможност на организацията да вземе информирани решения, чрез прилагане на организационни средства за контрол и предпазни мерки, специфични и необходими за нейната дейност.
Сподели с приятели: