Защита данных с новыми руководствами по оценке средств контроля информационной безопасности

Время на чтение: Несколько минут
Опубликован на
Поделиться , ,

Компьютерные атаки, кража интеллектуальной собственности или саботаж являются некоторыми из многих рисков информационной безопасности, с которыми сталкиваются организации. Последствия могут быть колоссальными. Большинство организаций имеют средства контроля и защиты, но как можно гарантировать, что этих средств будет достаточно? Были обновлены международные справочные руководства по оценке механизмов контроля информационной безопасности.

Для любой организации информация является одним из наиболее ценных активов, и утечка данных может привести к серьезным затратам с точки зрения потерь бизнеса и устранения ущерба. Таким образом, существующие механизмы контроля должны быть достаточно жесткими, чтобы обеспечивать защиту и регулярно контролировать в целях соответствия изменяющимся реалиям.

Разработанный ИСО и Международной электротехнической комиссией (IEC), ISO/IEC TS 27008, Информационные технологии. Методы обеспечения защиты. Руководящие указания для аудиторов по оценке органов управления, содержит рекомендации по оценке существующих механизмов контроля для обеспечения соответствия цели, эффективности и результативности, а также целям компании.

Техническая спецификация (TS) была обновлена в целях соответствия новым версиям других дополнительных стандартов по управлению информационной безопасностью, а именно ISO/IEC 27000 (анализ и словарь), ISO/IEC 27001 (требования) и ISO/IEC 27002 (Свод норм и правил менеджмента информационной безопасности), которые отражены в документе. 

Профессор Эдвард Хамфрис (Prof. Edward Humphreys), руководитель рабочей группы, занимающейся разработкой стандарта, отметил, что ISO/IEC TS 27008 способствует организациям анализировать текущие средства контроля, которые управляются с помощью ISO/IEC 27001.

«В мире, где кибератаки не только являются все более частым явлением, но и становятся более трудно обнаружимыми и сложными к предотвращению, оценка и обзор безопасности существующих механизмов контроля безопасности должны осуществляться на регулярной основе и быть важным аспектом бизнес-процессов организации, – продолжил он. – ISO/IEC TS 27008 может помочь организациям в повышении уверенности в том, что их контроль эффективен, адекватен и уместен для снижения информационных рисков, с которыми сталкиваются организации».

ISO/IEC TS 27008 подходит для организаций всех типов и размеров, независимо от того, являются ли они государственными, частными или некоммерческими, что дополняет систему управления информационной безопасностью, описанную в ISO/IEC 27001.

Документ был разработан техническим комитетом ИСО/МЭК СТК 1, Безопасность информационных технологий, ПК 27, Методы и средства обеспечения безопасности, чей секретариат ведется DIN, членом ИСО из Германии. Документ можно приобрести у Вашего национального члена ИСО или в интернет-магазине ИСО.

Контактные данные для СМИ

press@iso.org

Вы журналист, блогер или редактор?

Хотите получить информацию о стандартах из первых рук, или узнать больше о том, что мы делаем? Свяжитесь с нашей командой или ознакомьтесь с нашим медиа-китом.