Публикувана е актуализирана версия на ISO/IEC 27005 - Управление на риска за сигурността на информацията

Публикувана е актуализирана версия на ISO/IEC 27005 - Управление на риска за сигурността на 
информацията
Защитата на сигурността на фирмената информация, независимо дали е чувствителна от търговска гледна точка или става дума за лични данни на клиенти, никога не е била така често в светлината на прожекторите. Новото законодателство, като например Европейският Регламент за защита на личните данни (GDPR), поставя организациите и фирмите под още по-силен натиск, с цел гарантиране сигурността на тяхната информация. Дори и най-подходящите технологии и процеси, обаче, може да се превърнат от полезно оборудване в крайно опасно минно поле. Ревизираният стандарт, ISO/IEC 27005:2018 "Информационни технологии. Методи за сигурност. Управление на риска за сигурността на информацията", дава насоки на организациите за това как да преодоляват проблемите чрез осигуряване на рамка за ефективно управление на риска.
В допълнение към ISO/IEC 27001, който предоставя изисквания за Системата за управление на информационната сигурност (ISMS), ISO/IEC 27005 е актуализиран, за да отрази промените в новата версия на ISO/IEC 27001 и по този начин да гарантира, че ще отговори на съвременните изисквания на организациите по най-добрия начин. 

Основните промени в стандарта спрямо неговото предишно издание са следните:
• всички преки препратки към стандарт ISO/IEC 27001:2005 са премахнати;
• добавена е ясна информация, че този документ не съдържа директни указания относно изпълнението на изискванията на ISMS (система за управление на информационната сигурност), посочени в ISO/IEC 27001;
• ISO/IEC 27001:2005 е премахнат от клауза 2;
• към библиографията е добавен ISO/IEC 27001;
• приложение С и всички позовавания на него са премахнати;
• направени са редакционни промени.

Представяме няколко начина, по които ISO 27005:2018 може да бъде полезен на мениджърите по киберсигурност, както и на други заинтересовани страни в организацията.

1. Анализиране на ISO 27005:2018
За разлика от ISO 31000 "Управление на риска. Указания", който е написан, за да бъде разбираем от висшите ръководители и директорите на бордове, ISO 27005:2018 е по-дълъг, по-гъвкав и по-технически насочен към мениджърите по сигурността на информацията (CISO) и одиторите. Той подчертава значението на систематичния подход за разработване и поддържане на процес за управление на риска за сигурността на информацията (ISRM) и припомня на заинтересованите страни, че управлението на риска трябва да бъде непрекъснато и подложено на редовен преглед, за да се гарантира постоянна ефективност.

2. Прилагане на последователна, смислена структура
Всяка от главните клаузи в стандарта е организирана в четири последователни раздела:
• секция "вход", която обхваща информацията, необходима за извършване на дейността;
• секция "действие", която дефинира самата дейност;
• "Ръководство за внедряване", което осигурява допълнителни подробности; и
• секция "изход", която описва информацията, която би трябвало да бъде генерирана след приключване на дейностите.
Тази проста, повторяема структура би трябвало да бъде полезна за извличане на най-голяма полза от процеса по управление на риска за информационната сигурност. По този начин се гарантира, че организацията разполага с цялата необходима информация, преди да започне дейност по управление на риска и знае какво да очаква като резултат.

3. Идентифициране на подходящо управление на риска за сигурността
Процесът на ISRM трябва да оцени заплахите за активите на конкретна организация, да разпознае риска за бизнеса от тези заплахи и да определи адекватни и ефективни възможности за неговото предотвратяване, като през това време се следи въздействието върху основната дейност. Процесът на ISRM трябва да документира, че остатъчните рискове са "изрично приети" от съответните собственици на риска и всяко решение за отлагане или анулиране на контрол трябва да бъде изцяло записано. Обширната документация, генерирана от този процес, би могла да предостави ценна информация на организацията по време на реакция в случай на инциденти и по този начин да повиши устойчивостта към заплахи за сигурността на информацията.
Организацията също така трябва да определи подходящия контекст за различните процеси за оценка на риска. Някои рискови области може да не изискват пълен и подробен анализ. Вместо това организацията може да получи достатъчна представа за рисковете, контрола и стратегическата си ефективност, като извърши оценка на сигурността на високо равнище. За рисковете, които се появяват като значителни - или където няма лесно решение - по-подробна оценка на риска ще даде по-голяма представа за целия спектър от заплахи и възможности за предотвратяване.

4. Увеличаване на механизмите за подобряване на процесите
Насоките в стандарта, също така, ще помогнат на организацията да прегледа пълнотата и ефективността на своите процеси по управление на риска, като предостави точна референтна рамка за жизнения цикъл на целия процес, както и ясно описание на всяка стъпка.
Важно: Киберрисковете не са статични, както и текущият бизнес фокус на организацията. Ефективният процес на ISRM изисква непрекъснат мониторинг на активите, стойностите на активите, заплахите, уязвимостта, контрола и увеличените странични влияния, като например нови законови регулации или по-голяма зависимост от конкретен актив.

5. Прилагане на гъвкав, системен и адаптивен процес по управление на сигурността на информацията /ISRM/
Този стандарт, обаче, не предоставя конкретен метод за управление на риска за информационната сигурност. Определянето на подхода към управлението на риска зависи от организацията, като например от обхвата на системата за управление на информационната сигурност (ISMS), контекста на управлението на риска или индустриалния сектор. В рамката, описана в документа, могат да се използват редица съществуващи методологии, с цел изпълнение на изискванията на системата.
Чрез разработване на структуриран процес на ISRM и неговото внимателно и непрекъснато преразглеждане със заинтересованите страни, всяка организация може да гарантира, че управлението на риска е съобразено с нейната култура, бизнес цели и стратегии, особено в условията на променящите се пазарни условия и законови регулации.
ISO/IEC 27005 е приложим към всички типове организации (например търговски предприятия, държавни агенции, организации с нестопанска цел), които възнамеряват да управляват рисковете, които могат да компрометират сигурността на информацията в организацията.

Източник: www.iso.org; www.securityintelligence.com


 

Новини

25 Септември 2018
ISO 50001:2018 "Системи за управление на енергията - изисквания с насоки ...
19 Септември 2018
Публикувана е новата версия на ISO / IEC 20000-1:2018 "Информацио...

Акценти

20 Август 2018
Защитата на сигурността на фирмената информация, независимо дали е чувствителна ...
02 Август 2018
Редица големи международни корпорации като Майкрософт са сертифицирали своите об...