Вся информация, которую организация хранит и обрабатывает, подвергается рискам, связанным с атаками, ошибками, стихийными бедствиями, а также прочими присущими информации уязвимостями. В этой связи обеспечение информационной безопасности относится к числу ключевых элементов деятельности организации, при этом основное внимание уделяется той информации, которая считается ценным «активом», требующим соответствующей защиты (во избежание, например, утраты доступности, конфиденциальности и целостности).
Семейство стандартов по системам менеджмента информационной безопасности (СМИБ - information security management systems, ISMS) помогает организациям разработать и реализовать на практике надежную концепцию управления безопасностью своих информационных активов, включающих финансовые данные, интеллектуальную собственность, сведения о сотрудниках, а также другую информацию, доверенную организации клиентами или третьими сторонами.
Недавно пересмотренный международный стандарт ISO/IEC 27000: 2016 «Информационные технологии - Методы обеспечения безопасности - Системы менеджмента информационной безопасности – Общие положения и словарь» (Information technology - Security techniques - Information security management systems - Overview and vocabulary, см. и ) дает полное представление о системах менеджмента информационной безопасности, охватываемых семейством стандартов СМИБ серии 27000, и устанавливает соответствующие термины и определения. «Чтобы говорить на общем языке, нужна общая терминология, и её обеспечивает стандарт ISO/IEC 27000», -подчёркивает профессор Эдвард Хамфрис, координатор разработавшей стандарт рабочей группы WG1технического подкомитета ИСО/МЭК JTC1/SC27.
Мой комментарий: В России действует ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология», см. , адаптирующий версию международного стандарта 2009 года (после которой были выпущены версии 2012 и 2014 года).
Защита информационных активов посредством определения, достижения, поддержания и совершенствования уровня безопасности играет ключевую роль для достижения организацией своих целей, лучшего соблюдения ею законодательно-нормативных требований и улучшения своего имиджа. Согласованные мероприятия, необходимые для координации внедрения надлежащих мер и средств контроля и управления и для смягчения неприемлемых рисков информационной безопасности, являются частью того, что охватывает понятие «менеджмент информационной безопасности».
Стандарт ISO/IEC 27000 дает высокоуровневый обзор семейства стандартов СМИБ, того, как они поддерживают реализацию требований, содержащихся в стандарте ISO/IEC 27001 «Информационные технологии - Методы обеспечения безопасности - Системы менеджмента информационной безопасности – Требования» (Information technology – Security techniques – Information security management systems – Requirements, см. ), и как они соотносятся друг с другом. Редактор стандарта ISO/IEC 27000 Эльжбета Андрукевич (Elzbieta Andrukiewicz) поясняет: «ISO/IEC 27000 содержит очень краткое введение в область информационной безопасности и систем менеджмента информационной безопасности, описывая, как внедрять, эксплуатировать, поддерживать и совершенствовать СМИБ».
ISO/IEC 27000 определяет ключевые факторы успешной реализации и описывает многочисленные преимущества использования семейства стандартов СМИБ. Это дает представление о том, как стыкуются друг с другом стандарты семейства ISO/IEC 27001 в рамках многостороннего подхода, позволяет уточнить сферу применения данных документов, их роли, функции и взаимоотношения друг с другом. Кроме того, в ISO/IEC 27000 в одном месте собраны все ключевые термины, используемые стандартами семейства.
ISO/IEC 27000:2016 является результатом пересмотра редакции 2014 года; стандарт был обновлен и расширен для приведения в соответствие с пересмотренной редакцией стандарта ISO/IEC 27001 и другими стандартами семейства, которые в настоящее время также проходят процедуру регулярного пересмотра.
ISO/IEC 27000:2016 был совместно разработан техническим комитетом ИСО/МЭК JTC1 «Информационные технологии» и его подкомитетом SC27 «Методы и средства обеспечения безопасности информационных технологий», секретариат которого действует на базе немецкого национального органа по стандартизации DIN. Стандарт можно приобрести через Ваш национальный орган по стандартизации либо через интернет-магазин ИСО.
Сандрин Траншар (Sandrine Tranchard)
Источник: сайт ИСО
