Как да измерим ефективността на сигурността на информацията?
Скоро обновения ISO/IEC 27004:2016 "Информационни технологии. Методи за сигурност. Управление на сигурността на информацията. Наблюдение, измерване, анализ и оценяване", дава насоки, чрез които да оцените ефикасността на вашата система ISO/IEC 27001. Стандартът обяснява как да изготвим и внедрим процеси за измерване и как да оценим и представим резултатите от набор от показатели за измерване на информационна сигурност.
Професор Едуард Хъмфри, ръководител на екипа, който разработи стандарта (ISO/IEC JTC 1/SC 27), казва: „Кибератаките са измежду едни от най-големите опасности за една организация. Поради това, изцяло подобрената версия на ISO/IEC 27004 предоставя съществена подкрепа за много организации, които са внедрили ISO/IEC 27001, за да предпазят себе си от нарастващото разнообразие на атаки по сигурността, пред които бизнесът е изправен днес.“
Показателите за сигурност могат да позволят да се добие представа относно ефективността на една система за управление сигурността на информацията (СУСИ) и поради това те заемат централно място. Без значение от това дали сте инженер или консултант по сигурност, който е длъжен да уведомява управителя или изпълнител, който се нуждае от по-добра информация, за да вземе решение, тези показатели за сигурност са важно средство за комуникация. Чрез тях, можем да посочим моментното състояние на една програма за сигурност на дадена организация и неговата способност да се справи с Кибератаки.
Според професор Хъмфри: “Не е лесно за организациите да знаят дали начинът им на управление на сигурността на информацията е ефикасен, може да реагира и да се справи с непрекъснато променящата се среда на Кибератаки. Ето тук ISO/IEC 27004 може да осигури множество предимства“.
ISO/IEC 27004:2016 показва как да изготвим програма за измерване сигурността на информацията, как да изберем параметрите, които да следим и как да внедрим необходимите процеси за измерване. Стандартът включва обширни примери за различни видове мерки и как ефективността на тези мерки може да се оцени.
Сред многото предимства на ISO/IEC 27004, за дадена организация, са:
• Повишена отговорност;
• Подобряване на сигурността на информацията и процесите на СУСИ;
• Доказателства за удовлетворяване на изискванията на ISO/IEC 27001, както и приложимите закони, правила и наредби.
ISO/IEC 27004:2016 заменя версия 2009. Стандартът е бил актуализиран и разширен, за да бъде в съответствие с преиздадената версия на ISO/IEC 27001 с цел да предостави на организациите по-висока добавена стойност и сигурност.
Внедряване на управленски стандарти
КОНСЕХО ЕООД (CONSEJO) е консултантска фирма, сформирана от екип консултанти с над 15 годишен опит по системи за управление в областта на международните стандарти. Фокусът на фирмата е предоставяне на консултантски услуги при разработване и внедряване на системи за управление, покриващи изискванията на международните стандарти по качеството, околната среда, безопасни условия на труд, сигурност на информацията, добри производствени практики на базата на международните стандарти: ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 27001, IFS Food, HACCP и други.
Екипът на КОНСЕХО е участвал в реализирането на проекти във всички отрасли на икономиката. Реализираните проекти от екипа на КОНСЕХО са над 1000, в областите - производство и проектиране, строителство, търговия, информационни и комуникационни технологии, транспорт и спедиция, хотелиерство и ресторантьорство, специална продукция, енергетика, дизайн, хранително-вкусова промишленост, услуги и др. Във фирмата е изграден стриктен ред за контрол по спазването на договорените изисквания с клиентите, както сроковете на договорите, така и качеството на изпълнение на услугата. Изграденият стил на работа на фирмата се състои в разработване на истински системи за управление, съвместно с нашите клиенти, на базата на провеждане на множество обучения и оказване на пълно съдействие в процеса на внедряване. Чрез подхода си на работа КОНСЕХО осигурява и гарантира безпроблемно сертифициране на изградените системи в изключително кратки срокове.