пятница, 11 ноября 2011 г.

Информационная безопасность: Новое руководство, изданное ИСО, должно способствовать увеличению доверия к мерам обеспечения безопасности

Сайт Международной организации по стандартизации (ИСО) 8 ноября 2011 года сообщил о публикации очередного документа из серии стандартов ISO 27000 менеджмента информационной безопасности – технического отчета ИСО/МЭК с рекомендациями  для аудиторов, которые, как надеются разработчики документа, помогут повысить эффективность системы информационной безопасности организации.

В новости отмечается, что Технический отчет ISO/IEC TR 27008:2011 «Информационные технологии - Методы обеспечения безопасности - Руководство для аудиторов по мерам и средствам обеспечения информационной безопасности» (ISO/IEC TR 27008:2011, Information technology – Security techniques – Guidelines for auditors on information security controls), нацелен на создание доверия к мерам и средствам контроля и  управления, составляющим основу системы менеджмента информационной безопасности (СМИБ) организации. Аудит может охватывать все аспекты деятельности организации, включая бизнес-процессы и среду её информационных систем.

«Деловая среда постоянно меняется – равно как и угрозы для выживания компании. В этом противостоянии организации должны опережать противника, и на основе аудита мер и средств, поддерживающих информационную безопасность, можно выстроить отличную защиту», -  говорит Эдвард Хамфри (Edward Humphreys), руководитель разработавшей документ рабочей группы. «ISO/IEC TR 27008:2011 способствует проведению строгого аудита безопасности в организации, и поддерживает программу анализа эффективности мер и средств обеспечения информационной безопасности, что придаёт организации уверенность в том, что эти меры и средства были внедрены и используются должным образом, и что система . информационной безопасности организации соответствует стоящим перед ней задачам».

Технический отчет содержит рекомендации по анализу внедрения и использования мер и средств информационной безопасности, включая проверку соответствия техническим требованиям. Документ принципиально адресован аудиторам информационной безопасности, которые должны проверить соответствие применяемых организацией мер и средств техническим требованиям стандарта ИСО/МЭК 27002, а также любых других стандартов, используемых организацией. Техотчёт ISO /IEC TR 27008 поможет организациям:
  • Выявить и понять масштаб потенциальных проблем и недостатки, имеющиеся у мер и средств обеспечения информационной безопасности;

  • Определить и понять потенциальное воздействие на организацию в недостаточной степени смягченных угроз и уязвимостей информационной безопасности;

  • Установить приоритеты в деятельности по снижению рисков;

  • Подтвердить, что ранее выявленные и появлявшиеся уязвимости и недостатки были надлежащим образом устранены;

  • Обосновать бюджетные решения в рамках инвестиционного процесса, а также другие управленческие решения, связанные с улучшением менеджмента информационной безопасности в организации.
Таким образом, ISO/IEC 27008 будет полезен для организаций всех типов, включая  государственные и частные компании, государственные учреждения и некоммерческие организации. Это восьмой документ, опубликованный в составе серии стандартов ISO /IEC 27000 по системам менеджмента информационной безопасности.

Эдвард Хамфри подчёркивает: «При любой бизнес-модели и организационной структуре, в любом секторе экономики и при любых деловых взаимоотношениях, информация является ключевым активом, и стандарты серии ISO/IEC 27000 могут быть использованы для защиты этого важного делового актива».

Источник: сайт ИСО
http://www.iso.org/iso/pressrelease.htm?refid=Ref1485 

Комментариев нет:

Отправить комментарий