Защита данных с новыми руководствами по оценке средств контроля информационной безопасности

Компьютерные атаки, кража интеллектуальной собственности или саботаж составляют лишь часть многих рисков информационной безопасности, с которыми сталкиваются организации. Последствия могут быть колоссальными. Большинство организаций имеют средства контроля и защиты, но как можно гарантировать, что этих средств будет достаточно? Были обновлены международные справочные руководства по оценке механизмов контроля информационной безопасности.

Для любой организации информация является одним из наиболее ценных активов, и утечка данных может привести к серьезным затратам с точки зрения потерь бизнеса и устранения ущерба. Таким образом, существующие механизмы контроля должны быть достаточно жесткими, чтобы обеспечивать защиту и регулярно контролировать в целях соответствия изменяющимся реалиям.

Разработанный ИСО и Международной электротехнической комиссией (IEC), ISO/IEC TS 27008 "Информационные технологии. Методы обеспечения защиты. Руководящие указания для аудиторов по оценке органов управления" содержит рекомендации по оценке существующих механизмов контроля для обеспечения соответствия цели, эффективности и результативности, а также целям компании.

Техническая спецификация (TS) была обновлена в целях соответствия новым версиям других дополнительных стандартов по управлению информационной безопасностью, а именно ISO/IEC 27000 (анализ и словарь), ISO/IEC 27001 (требования) и ISO/IEC 27002 (Свод норм и правил менеджмента информационной безопасности), которые отражены в документе. 

Профессор Эдвард Хамфрис (Prof. Edward Humphreys), руководитель рабочей группы, занимающейся разработкой стандарта, отметил, что ISO/IEC TS 27008 способствует организациям анализировать текущие средства контроля, которые управляются с помощью ISO/IEC 27001: 

«В мире, где кибератаки не только являются все более частым явлением, но и становятся более трудно обнаруживаемыми и сложными к предотвращению, оценка и обзор безопасности существующих механизмов контроля безопасности должны осуществляться на регулярной основе и быть важным аспектом бизнес-процессов организации, ISO/IEC TS 27008 может помочь организациям в повышении уверенности в том, что их контроль эффективен, адекватен и уместен для снижения информационных рисков, с которыми сталкиваются организации».

ISO/IEC TS 27008 подходит для организаций всех типов и размеров, независимо от того, являются ли они государственными, частными или некоммерческими, что дополняет систему управления информационной безопасностью, описанную в ISO/IEC 27001.

Документ был разработан техническим комитетом ИСО/МЭК СТК 1 "Безопасность информационных технологий, ПК 27, Методы и средства обеспечения безопасности", чей секретариат ведется DIN, членом ИСО из Германии. Документ можно приобрести в интернет-магазине ИСО.

По материалам ресурса

Людмила Циновкина, консультант, руководитель семинаров и тренингов                                        по системам менеджмента ISO 9001:2015, ISO 14001:2015, ISO 45001:2018,                                      асессор  Европейского фонда менеджмента качества (EFQM)