Основной фактор, способствующий нарушению информационной безопасности – это недостаток или отсутствие обучающих программ по информационной безопасности, которые помогают сотрудникам лучше понять нормативные требования безопасности, связанные с их работой. Обучение также помогает сотрудникам обеспечить постоянную защиту используемых ими устройств. Еще один фактор риска для информационной безопасности организации – это отправка конфиденциальных документов в незащищенные «облачные» хранилища, а также взлом политик безопасности.
Во время пандемии COVID-19 увеличилось количество сотрудников, работающих удаленно. Однако во многих домашних сетях отсутствуют такие меры безопасности, как антивирусное программное обеспечение, индивидуальные средства сетевой защиты и резервного копирования. Таким образом, сотрудники компаний, работающие удаленно, невольно могут стать причиной проникновения вирусов в корпоративную сеть организации. Многие из перечисленных проблем, с которыми сталкиваются организации при управлении информационной безопасностью, поможет решить новая редакция стандарта ISO/IEC27014 «Информационная безопасность, кибербезопасность и защита конфиденциальности. Управление информационной безопасностью». Стандарт устанавливает требования к модели управления, разработанной для обеспечения соблюдения необходимых правил и процедур. ISO/IEC27014-2020, тесно связанная со стандартом ISO/IEC 27001, дает определение понятию «управление информационной безопасностью» – это инструмент, с помощью которого руководящий орган организации обеспечивает комплексное управление и контроль за деятельностью, влияющей на информационную безопасность организации. В стандарте также содержатся рекомендации по проведению обучения сотрудников с целью формирования культуры информационной безопасности внутри организации, предлагаются роли и сферы ответственности руководителей и совета директоров организаций разного типа и численности. Основная цель ISO/IEC 27014 – согласование программ безопасности, бизнес-целей и стратегий, обеспечение ценности для заинтересованных сторон и высших органов руководства, а также обеспечение надлежащего управления информационными рисками.
В стандарте определены шесть важных принципов управления:
– создание информационной безопасности в масштабах всей организации;
– применение риск-ориентированного подхода в процессе принятия решений;
– определение направления инвестиционных решений;
– обеспечение соответствия внутренних и внешних требований;
– формирование культуры, обеспечивающей безопасность;
– обеспечение соответствия показателей безопасности текущим и будущим требованиям.
Многие международные стандарты IEC и все системы оценки соответствия IEC вносят вклад в достижение цели устойчивого развития ООН (№ 16), которая способствует созданию мирного и инклюзивного общества. Стандарты по информационной безопасности способствуют защите ключевых данных и систем, в то время как другие стандарты помогают сделать важную инфраструктуру более устойчивой.
https://www.iec.ch/blog/standard-information-security-governance-updated