вторник, 22 марта 2016 г.

ИСО: Только что завершился пересмотр базовой терминологии менеджмента информационной безопасности


Заметка Сандрин Траншар (Sandrine Tranchard) была опубликована 18 февраля 2016 года на сайте Международной организации по стандартизации (ИСО).

Вся информация, которую организация хранит и обрабатывает, подвергается рискам, связанным с атаками, ошибками, стихийными бедствиями, а также прочими присущими информации уязвимостями. В этой связи обеспечение информационной безопасности относится к числу ключевых элементов деятельности организации, при этом основное внимание уделяется той информации, которая считается ценным «активом», требующим соответствующей защиты (во избежание, например, утраты доступности, конфиденциальности и целостности).

Семейство стандартов по системам менеджмента информационной безопасности (СМИБ -  information security management systems, ISMS) помогает организациям разработать и реализовать на практике надежную концепцию управления безопасностью своих информационных активов, включающих финансовые данные, интеллектуальную собственность, сведения о сотрудниках, а также другую информацию, доверенную организации клиентами или третьими сторонами.

На фото: Профессор Эдвард Хамфрис (Edward Humphreys), координатор рабочей группы WG1 технического подкомитета ИСО/МЭК JTC1/SC27.

Недавно пересмотренный международный стандарт ISO/IEC 27000: 2016 «Информационные технологии - Методы обеспечения безопасности - Системы менеджмента информационной безопасности – Общие положения и словарь» (Information technology - Security techniques - Information security management systems - Overview and vocabulary, см. http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=66435 и https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-4:v1:en ) дает полное представление о системах менеджмента информационной безопасности, охватываемых семейством стандартов СМИБ серии 27000, и устанавливает соответствующие термины и определения. «Чтобы говорить на общем языке, нужна общая терминология, и её обеспечивает стандарт ISO/IEC 27000», -подчёркивает профессор Эдвард Хамфрис, координатор разработавшей стандарт рабочей группы WG1технического подкомитета ИСО/МЭК JTC1/SC27.

Мой комментарий: В России действует ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&page=0&month=2&year=2016&search=27000&RegNum=1&DocOnPageCount=15&id=175549 , адаптирующий версию международного стандарта 2009 года (после которой были выпущены версии 2012 и 2014 года).

Защита информационных активов посредством определения, достижения, поддержания и совершенствования уровня безопасности играет ключевую роль для достижения организацией своих целей, лучшего соблюдения ею законодательно-нормативных требований и улучшения своего имиджа. Согласованные мероприятия, необходимые для координации внедрения надлежащих мер и средств контроля и управления и для смягчения неприемлемых рисков информационной безопасности, являются частью того, что охватывает понятие «менеджмент информационной безопасности».

Стандарт ISO/IEC 27000 дает высокоуровневый обзор семейства стандартов СМИБ, того, как они поддерживают реализацию требований, содержащихся в стандарте ISO/IEC 27001 «Информационные технологии - Методы обеспечения безопасности - Системы менеджмента информационной безопасности – Требования» (Information technology – Security techniques – Information security management systems – Requirements, см. http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=54534 ), и как они соотносятся друг с другом. Редактор стандарта ISO/IEC 27000 Эльжбета Андрукевич (Elzbieta Andrukiewicz) поясняет: «ISO/IEC 27000 содержит очень краткое введение в область информационной безопасности и систем менеджмента информационной безопасности, описывая, как внедрять, эксплуатировать, поддерживать и совершенствовать СМИБ».

ISO/IEC 27000 определяет ключевые факторы успешной реализации и описывает многочисленные преимущества использования семейства стандартов СМИБ. Это дает представление о том, как стыкуются друг с другом стандарты семейства ISO/IEC 27001 в рамках многостороннего подхода, позволяет уточнить сферу применения данных документов, их роли, функции и взаимоотношения друг с другом. Кроме того, в ISO/IEC 27000 в одном месте собраны все ключевые термины, используемые стандартами семейства.

ISO/IEC 27000:2016 является результатом пересмотра редакции 2014 года; стандарт был обновлен и расширен для приведения в соответствие с пересмотренной редакцией стандарта ISO/IEC 27001 и другими стандартами семейства, которые в настоящее время также проходят процедуру регулярного пересмотра.

ISO/IEC 27000:2016 был совместно разработан техническим комитетом ИСО/МЭК JTC1 «Информационные технологии» и его подкомитетом SC27 «Методы и средства обеспечения безопасности информационных технологий», секретариат которого действует на базе немецкого национального органа по стандартизации DIN. Стандарт можно приобрести через Ваш национальный орган по стандартизации либо через интернет-магазин ИСО.

Сандрин Траншар (Sandrine Tranchard)

Источник: сайт ИСО
http://www.iso.org/iso/home/news_index/news_archive/news.htm?refid=Ref2048

Комментариев нет:

Отправить комментарий