Системи за информационна сигурност

ISO 27001:2013

 

ISO 27001:2013 e международно признат, изключително подробен и широкоприложим стандарт за сигурност и защита на информацията. Поради тази причина, за да се постигне съответствие с него е необходимо прилагането на методологичен и добре обмислен подход. Прилагането на този стандарт изисква ангажираност, както и достъп до подходящи инструменти и продукти за работа.

ISO 27001:2013 е стандарт, чиято основна цел е постигане на сигурност и защита на информацията в една Организация. Неговото предназначение е да служи за единствена отправна точка за идентифициране на набор от методи за контрол, необходими за правилното прилагане на информационни системи в промишлеността и търговията.

Стандартът е организиран в 10 основни раздела, като всеки покрива различни теми или области:

1. Непрекъснато бизнес планиране

Целите на този раздел са да се противодейства на големи системни сривове, което да доведе до прекъсването на бизнес дейностите и появата на критични за бизнеса процеси.

2. Система за контрол върху достъпа

Целите на този раздел са:

  • да се контролира достъпа до информацията;
  • да се предотврати неупълномощен достъп до информационни системи;
  • да се осигури предпазването на мрежовите услуги;
  • да се предотврати неупълномощен достъп до даден компютър;
  • да бъдат разкривани неупълномощените действия;
  • да се осигури защита на информацията, когато се използват компютърни и теле-мрежови опции.

3. Разработване и поддържане на системата

Целите на този раздел са:

  • да се осигури, че е вградена защита в операционните системи;
  • да се предотврати загуба, изменение или неправилна употреба на потребителски данни в приложните системи;
  • да се запази конфиденциалността, достоверността и целостта на информацията;
  • да се осигури контрол и сигурност на информационно-технологичните проекти;
  • да се поддържа защитата на софтуера на приложната система и данните.

4. Физическа и екологична защита

Целите на този раздел са да се предотврати неупълномощен достъп, провреда и намеса в бизнес предпоставки и информация, за да се предотврати загубата, повредата или риск от намеса и прекъсване на бизнес дейностите.

5. Съответствие

Целите на този раздел са:

  • да се избегне нарушаване на закона, регулаторни или договорни задължения и изисквания за сигурност;
  • да се осигури съответствие на системите с организационната политика и стандарти за сигурност и защита;
  • да се максимизира ефективността и да се минимизира конфликта със системния одиторски процес.

 6. Защита на персонала

Целите на този раздел са да се намали риска от допускане на човешка грешка, кражба, измама или неправилна употреба на оборудването; да се осигури, че ползвателите на информацията са запознати с опасностите за информационната защита, и са оборудвани за поддържане на корпоративната защитна политика в процеса на тяхната обичайна работа; да се минимизира повредата от инциденти, свързани със защитата и неизправност, и да се поучават хората от такива инциденти.

7. Защита на Организацията

Целите на този раздел са:

  • да се управлява информационната сигурност и защита в рамките на Организацията;
  • да се поддържа сигурността на потока от информация в Организацията, до която имат достъп трети страни;
  • да се поддържа сигурността на информацията, когато отговорността за генерирането на информацията е възложена на външна Организация.

8. Управление на компютрите и операциите

Целите на този раздел са:

  • да се осигури правилната и сигурна работа с информационните средства;
  • да се минимизира риска от сривове в системите;
  • да се защити целостта на софтуера и информацията;
  • да се поддържа интегритета и използваемостта на информацията и комуникацията;
  • да се осигури сигурност и защита на информация в мрежите и предпазване на поддържащата инфраструктура;
  • да се предотврати повреда на ценности и нарушаване на бизнес дейностите;
  • да се предотврати загубата, изменението или неправилното използване на информация, обменяна между Организациите.

9. Класификация и контрол на активите

Целите на този раздел са да се поддържат по подходящ начин корпоративните активи и да се осигури, че информационните активи са с подходящо ниво на сигурност.

10. Политика на сигурност и защита

Целите на този раздел са да се даде управленска насока и подкрепа относно информационната сигурност и защита.

ISO 27001:2013 получава забележително световно признание. Той се утвърждава като Главен стандарт за сигурност и защита на информацията.

Появява се рискът относно конкурентноспособността на пазара поради факта, че някои конкуренти може вече да са предприели мерки и техните системи да са вече сертифицирани. В този смисъл наличието на сертифицирана система, съгласно този стандарт, я превръща във важно конкурентно предимство за Организациите. Очевидно в случай, че пред клиента стоят две Организации с подобен предмет на дейност, клиентът ще избере тази, която притежава сертификат за своята система за управление на сигурност и защита на информацията. Когато се поддържа система за управление в тази област, извършвайки всичко необходимо, тогава именно във всеки един момент и за всеки процес или продукт тя ще бъде актуална, действаща и ефективна, такава каквато е необходима на фирменото ръководство, на служителите в организацията/лабораторията и най-вече на клиентите за удовлетворяване на техните сегашни и бъдещи /предполагаеми/ изисквания.