Стандарт безопасности ИСО 27001: принципы развития перечня стандартов

Published

Есть общее понятие безопасности. В него входит множество сфер деятельности современных людей, подверженных определённому риску. Пожары, выбросы химических веществ и так далее.

Со сравнительно недавних пор появилось понятие (системы) информационной безопасности, отмечают специалисты компании “Atestor”. Это касается преимущественно хранения, использования и обеспечения доступа к информации, находящейся на электронных носителях. Своеобразный стереотип, он обычно присущ людям, «недавно заставшим» появление компьютеров и сети Интернет.

ISO 27001

На самом деле

Вспоминаем азы предмета Информатика. Два понятия: источник и носитель информации. К нашему случаю относится последнее. Носители информации – это необязательно сервер, компьютер со своей памятью, диск, флэш-накопитель или старая дискета. Книги, журналы учёта, бумажные архивы и отдельные документы, заверенные подписями, печатями, также представляют собой носители информации, причём в части случаев речь идёт об особой важности и повышенной секретности. Всё вышеперечисленное равносильно нуждается в обеспечении информационной безопасности из-за аналогичных рисков (в документе ISO 27001 они именуются инцидентами).

Примеры:

  • утрата (электронных) документов или оборудования вследствие халатности сотрудника предприятия;
  • утечка информации в ходе промышленного шпионажа;
  • получение доступа к важным документам нежелательным лицом с целью продажи личных данных мошенникам;
  • намеренная или произвольная загрузка компьютерного вируса в результате использования пиратских антивирусных программ или необеспечения программами для защиты ПК.

ИСО разработала требования, их полное название звучит так: международный стандарт по информационной безопасности, ISO/IEC 27001:2017 (редакция). Три основных понятия – база соответствующего документа:

  • Доступность. Информация должна быть доступной всем пользователям или (в случае необходимости) ограниченному кругу лиц. Тот же самый принцип «администратор-пользователь»;
  • Целостность. Точность и полнота, как методов обработки, так и самой информации;
  • Конфиденциальность. Принцип «авторизованный пользователь» – человек, имеющий право на получение доступа при наличии в системе лиц, которые соответствующих полномочий не получали.

Также основу ISO 27001 допустимо называть системой управления рисками в информационной безопасности.

Возникают вопросы:

  • На каком направлении IT-безопасности стоит уделить особое внимание?
  • И сколько же понадобится времени, средств для достижения результатов (обеспечение целостности, конфиденциальности, доступности)?
  • И по сей день этот документ дорабатывается, упрощается, совершенствуется. Первая версия ISO 27001 была принята в 2000 году.
Like

You may also like...