БДС, EN, ISO,IEC, 27001:2017, 27001, стандарт, информационна сигурност

БДС EN ISO/IEC 27001:2022

Информационни технологии. Методи за сигурност. Системи за управление на сигурността на информацията. Изисквания

Международният стандарт ISO/IEC 27001 задава изисквания към системи за управление на сигурността на информацията (СУСИ) във всякакви организации, независимо от големина, предмет на дейност, вид на продуктите и процесите или други конкретни специфики.

Стандартът определя модел за създаване, изпълнение, функциониране, наблюдение, преглед, поддържане и подобряване на СУСИ. Прилагането на този модел зависи от потребностите и целите на организацията, от изискванията по отношение на сигурността, от включените процеси и от големината и структурата на организацията – т.е. усвояването на стандарта във всяка отделна система става чрез специфични интерпретации. Основната заложена идея е организацията да защити информацията, независимо от формата на представянето й, от определени и/или очаквани заплахи като оцени свързаните с тях рискове, като планира и създаде ефикасни защити.

С такава цел първо се определят обхватът и границите, за които ще прилага СУСИ, факторите, които могат да повлияят на системата, заинтересованите от сигурността на информацията страни и техните изисквания.

Други основни моменти при създаване и прилагане на СУСИ са:

  • да се извърши и документира оценка на рисковете, при което се използват зададени критерии, за да се степенуват рисковете и за да се определи кои рискове са приемливи и кои изискват обработка, за да бъдат намалени или премахнати. Ползва се определена методика, за да има съпоставимост на резултатите от периодични оценявани;
  • избор на цели по контрола и механизми за контрол (изборът се прави от дадения в Приложения А на стандарта структуриран списък), чрез които се насочва въздействието върху рисковете. За прилагане на избраните механизми за контрол може да се ползват указанията и добрите практики, изложени в стандарта ISO/IEC 27002. Приложение А не е ограничение да се прилагат и други, неспоменати в него, защити;
  • да се състави и приложи План за въздействие върху рисковете, чрез който се внедряват защитите и се определят начини за установяване на ефикасността им;
  • да се осигурят бързи и и ефикасни реакции за засичане и справяне със събития и ициденти по сигурността.

Както и при всички други стандартизирани системи за управление, така и в СУСИ са определени отговорностите на ръководството, управлението на ресурсите, задължителните документи и записи, систематични наблюдения и периодични прегледи, действия за поддържане и подобряване, вътрешни одити и накрая – изискванията за коригиращи и превантивни действия.

Цялостното действие на СУСИ е подчинено на Политика по сигурността на информацията. Зададената от висшето ръководство Политика декларира насочеността и принципите, залегнали в основата на практическите решения и насочва при определяне на конкретни и измерими цели по сигурността.

Когато една организация създаде и поддържа СУСИ, тя се съобразява не само с изискванията за дейностите си, но отчита, наред с тях, изискванията на нормативните актове и действащите договорни задължения по отношение на сигурността. Така една система СУСИ по модела на ISO/IEC 27001 генерира относителна сигурност, увереност и спокойствие не само в полза на бизнеса на организацията, но и в полза на своите клиенти, доставчици, партньори, а и в полза на обществото ни като цяло.

Важно е да се помни! Системите за управление на сигурността на информацията не са универсално и абсолютно средство за защита на информацията, което гарантира пълно спокойствие и сигурна защита. Всяка система, дори и най-добре построена да е, може да бъде разбита от заплаха, която не сме видяли навреме или която сме подценили. Основната полза от системите СУСИ е, че те създават и възпитават атмосфера на чувствителност към факторите, от които зависи сигурността и че дават инструментариум за изпреварващо или за ранно действие спрямо заплахите, които сме установили и задават ред за ефикасни противодействия спрямо заплахи, които са се реализирали, защото не сме ги идентифицирали навреме.

Запитване за сертификация

View your previous submissions
Изберете теми
CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.

Запитване за фирмено обучение

CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.