Вашата оценка 0 от 0 гласа
Публикувана е актуализирана версия на ISO/IEC 27005 - Управление на риска за сигурността на информацията
Защитата на сигурността на фирмената информация, независимо дали е чувствителна от търговска гледна точка или става дума за лични данни на клиенти, никога не е била така често в светлината на прожекторите. Новото законодателство, като например Европейският Регламент за защита на личните данни (GDPR), поставя организациите и фирмите под още по-силен натиск, с цел гарантиране сигурността на тяхната информация. Дори и най-подходящите технологии и процеси, обаче, може да се превърнат от полезно оборудване в крайно опасно минно поле. Ревизираният стандарт, ISO/IEC 27005:2018 "Информационни технологии. Методи за сигурност. Управление на риска за сигурността на информацията", дава насоки на организациите за това как да преодоляват проблемите чрез осигуряване на рамка за ефективно управление на риска.
В допълнение към ISO/IEC 27001, който предоставя изисквания за Системата за управление на информационната сигурност (ISMS), ISO/IEC 27005 е актуализиран, за да отрази промените в новата версия на ISO/IEC 27001 и по този начин да гарантира, че ще отговори на съвременните изисквания на организациите по най-добрия начин.
Основните промени в стандарта спрямо неговото предишно издание са следните:
В допълнение към ISO/IEC 27001, който предоставя изисквания за Системата за управление на информационната сигурност (ISMS), ISO/IEC 27005 е актуализиран, за да отрази промените в новата версия на ISO/IEC 27001 и по този начин да гарантира, че ще отговори на съвременните изисквания на организациите по най-добрия начин.
Основните промени в стандарта спрямо неговото предишно издание са следните:
• всички преки препратки към стандарт ISO/IEC 27001:2005 са премахнати;
• добавена е ясна информация, че този документ не съдържа директни указания относно изпълнението на изискванията на ISMS (система за управление на информационната сигурност), посочени в ISO/IEC 27001;
• ISO/IEC 27001:2005 е премахнат от клауза 2;
• към библиографията е добавен ISO/IEC 27001;
• приложение С и всички позовавания на него са премахнати;
• направени са редакционни промени.
• добавена е ясна информация, че този документ не съдържа директни указания относно изпълнението на изискванията на ISMS (система за управление на информационната сигурност), посочени в ISO/IEC 27001;
• ISO/IEC 27001:2005 е премахнат от клауза 2;
• към библиографията е добавен ISO/IEC 27001;
• приложение С и всички позовавания на него са премахнати;
• направени са редакционни промени.
Представяме няколко начина, по които ISO 27005:2018 може да бъде полезен на мениджърите по киберсигурност, както и на други заинтересовани страни в организацията.
1. Анализиране на ISO 27005:2018
За разлика от ISO 31000 "Управление на риска. Указания", който е написан, за да бъде разбираем от висшите ръководители и директорите на бордове, ISO 27005:2018 е по-дълъг, по-гъвкав и по-технически насочен към мениджърите по сигурността на информацията (CISO) и одиторите. Той подчертава значението на систематичния подход за разработване и поддържане на процес за управление на риска за сигурността на информацията (ISRM) и припомня на заинтересованите страни, че управлението на риска трябва да бъде непрекъснато и подложено на редовен преглед, за да се гарантира постоянна ефективност.
2. Прилагане на последователна, смислена структура
Всяка от главните клаузи в стандарта е организирана в четири последователни раздела:
• секция "вход", която обхваща информацията, необходима за извършване на дейността;
• секция "действие", която дефинира самата дейност;
• "Ръководство за внедряване", което осигурява допълнителни подробности; и
• секция "изход", която описва информацията, която би трябвало да бъде генерирана след приключване на дейностите.
• секция "действие", която дефинира самата дейност;
• "Ръководство за внедряване", което осигурява допълнителни подробности; и
• секция "изход", която описва информацията, която би трябвало да бъде генерирана след приключване на дейностите.
Тази проста, повторяема структура би трябвало да бъде полезна за извличане на най-голяма полза от процеса по управление на риска за информационната сигурност. По този начин се гарантира, че организацията разполага с цялата необходима информация, преди да започне дейност по управление на риска и знае какво да очаква като резултат.
3. Идентифициране на подходящо управление на риска за сигурността
Процесът на ISRM трябва да оцени заплахите за активите на конкретна организация, да разпознае риска за бизнеса от тези заплахи и да определи адекватни и ефективни възможности за неговото предотвратяване, като през това време се следи въздействието върху основната дейност. Процесът на ISRM трябва да документира, че остатъчните рискове са "изрично приети" от съответните собственици на риска и всяко решение за отлагане или анулиране на контрол трябва да бъде изцяло записано. Обширната документация, генерирана от този процес, би могла да предостави ценна информация на организацията по време на реакция в случай на инциденти и по този начин да повиши устойчивостта към заплахи за сигурността на информацията.
Организацията също така трябва да определи подходящия контекст за различните процеси за оценка на риска. Някои рискови области може да не изискват пълен и подробен анализ. Вместо това организацията може да получи достатъчна представа за рисковете, контрола и стратегическата си ефективност, като извърши оценка на сигурността на високо равнище. За рисковете, които се появяват като значителни - или където няма лесно решение - по-подробна оценка на риска ще даде по-голяма представа за целия спектър от заплахи и възможности за предотвратяване.
4. Увеличаване на механизмите за подобряване на процесите
Насоките в стандарта, също така, ще помогнат на организацията да прегледа пълнотата и ефективността на своите процеси по управление на риска, като предостави точна референтна рамка за жизнения цикъл на целия процес, както и ясно описание на всяка стъпка.
Важно: Киберрисковете не са статични, както и текущият бизнес фокус на организацията. Ефективният процес на ISRM изисква непрекъснат мониторинг на активите, стойностите на активите, заплахите, уязвимостта, контрола и увеличените странични влияния, като например нови законови регулации или по-голяма зависимост от конкретен актив.
5. Прилагане на гъвкав, системен и адаптивен процес по управление на сигурността на информацията /ISRM/
Този стандарт, обаче, не предоставя конкретен метод за управление на риска за информационната сигурност. Определянето на подхода към управлението на риска зависи от организацията, като например от обхвата на системата за управление на информационната сигурност (ISMS), контекста на управлението на риска или индустриалния сектор. В рамката, описана в документа, могат да се използват редица съществуващи методологии, с цел изпълнение на изискванията на системата.
Чрез разработване на структуриран процес на ISRM и неговото внимателно и непрекъснато преразглеждане със заинтересованите страни, всяка организация може да гарантира, че управлението на риска е съобразено с нейната култура, бизнес цели и стратегии, особено в условията на променящите се пазарни условия и законови регулации.
ISO/IEC 27005 е приложим към всички типове организации (например търговски предприятия, държавни агенции, организации с нестопанска цел), които възнамеряват да управляват рисковете, които могат да компрометират сигурността на информацията в организацията.
Източник: www.iso.org; www.securityintelligence.com
3. Идентифициране на подходящо управление на риска за сигурността
Процесът на ISRM трябва да оцени заплахите за активите на конкретна организация, да разпознае риска за бизнеса от тези заплахи и да определи адекватни и ефективни възможности за неговото предотвратяване, като през това време се следи въздействието върху основната дейност. Процесът на ISRM трябва да документира, че остатъчните рискове са "изрично приети" от съответните собственици на риска и всяко решение за отлагане или анулиране на контрол трябва да бъде изцяло записано. Обширната документация, генерирана от този процес, би могла да предостави ценна информация на организацията по време на реакция в случай на инциденти и по този начин да повиши устойчивостта към заплахи за сигурността на информацията.
Организацията също така трябва да определи подходящия контекст за различните процеси за оценка на риска. Някои рискови области може да не изискват пълен и подробен анализ. Вместо това организацията може да получи достатъчна представа за рисковете, контрола и стратегическата си ефективност, като извърши оценка на сигурността на високо равнище. За рисковете, които се появяват като значителни - или където няма лесно решение - по-подробна оценка на риска ще даде по-голяма представа за целия спектър от заплахи и възможности за предотвратяване.
4. Увеличаване на механизмите за подобряване на процесите
Насоките в стандарта, също така, ще помогнат на организацията да прегледа пълнотата и ефективността на своите процеси по управление на риска, като предостави точна референтна рамка за жизнения цикъл на целия процес, както и ясно описание на всяка стъпка.
Важно: Киберрисковете не са статични, както и текущият бизнес фокус на организацията. Ефективният процес на ISRM изисква непрекъснат мониторинг на активите, стойностите на активите, заплахите, уязвимостта, контрола и увеличените странични влияния, като например нови законови регулации или по-голяма зависимост от конкретен актив.
5. Прилагане на гъвкав, системен и адаптивен процес по управление на сигурността на информацията /ISRM/
Този стандарт, обаче, не предоставя конкретен метод за управление на риска за информационната сигурност. Определянето на подхода към управлението на риска зависи от организацията, като например от обхвата на системата за управление на информационната сигурност (ISMS), контекста на управлението на риска или индустриалния сектор. В рамката, описана в документа, могат да се използват редица съществуващи методологии, с цел изпълнение на изискванията на системата.
Чрез разработване на структуриран процес на ISRM и неговото внимателно и непрекъснато преразглеждане със заинтересованите страни, всяка организация може да гарантира, че управлението на риска е съобразено с нейната култура, бизнес цели и стратегии, особено в условията на променящите се пазарни условия и законови регулации.
ISO/IEC 27005 е приложим към всички типове организации (например търговски предприятия, държавни агенции, организации с нестопанска цел), които възнамеряват да управляват рисковете, които могат да компрометират сигурността на информацията в организацията.
Източник: www.iso.org; www.securityintelligence.com
Новини
27
02.24
ISO и климатичните промени
Изменение 1: Действия, свързани с изменението на климата
В края на миналата с...
05
02.24
ISO/IEC 27001:2023 на български език
Българският институт по стандартизация публикува БДС EN ISO/IEC 27001:2023 "...
Полезно
18
10.23
EMAS – Схема за управление по околна среда и одит
Европейската Схема за управление по околна среда и одит (Eco-management and Audi...
10
08.23
Стандарти за защита на автомобилната сигурност
През последните няколко години автомобилната индустрия претърпя бързи промен...
Внедряване на управленски стандарти
КОНСЕХО ЕООД (CONSEJO) е консултантска фирма, сформирана от екип консултанти с над 15 годишен опит по системи за управление в областта на международните стандарти. Фокусът на фирмата е предоставяне на консултантски услуги при разработване и внедряване на системи за управление, покриващи изискванията на международните стандарти по качеството, околната среда, безопасни условия на труд, сигурност на информацията, добри производствени практики на базата на международните стандарти: ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 27001, IFS Food, HACCP и други.
Екипът на КОНСЕХО е участвал в реализирането на проекти във всички отрасли на икономиката. Реализираните проекти от екипа на КОНСЕХО са над 1000, в областите - производство и проектиране, строителство, търговия, информационни и комуникационни технологии, транспорт и спедиция, хотелиерство и ресторантьорство, специална продукция, енергетика, дизайн, хранително-вкусова промишленост, услуги и др. Във фирмата е изграден стриктен ред за контрол по спазването на договорените изисквания с клиентите, както сроковете на договорите, така и качеството на изпълнение на услугата. Изграденият стил на работа на фирмата се състои в разработване на истински системи за управление, съвместно с нашите клиенти, на базата на провеждане на множество обучения и оказване на пълно съдействие в процеса на внедряване. Чрез подхода си на работа КОНСЕХО осигурява и гарантира безпроблемно сертифициране на изградените системи в изключително кратки срокове.
Партньори
