Новая редакция стандарта ISO/IEC 27014 по управлению информационной безопасностью

Основной фактор, способствующий нарушению информационной безопасности – это недостаток или отсутствие обучающих программ по информационной безопасности, которые помогают сотрудникам лучше понять нормативные требования безопасности, связанные с их работой.  Обучение также помогает сотрудникам обеспечить постоянную защиту используемых ими устройств. Еще один фактор риска для информационной безопасности организации – это отправка конфиденциальных документов в незащищенные «облачные» хранилища, а также взлом политик безопасности.

Во время пандемии COVID-19 увеличилось количество сотрудников, работающих удаленно. Однако во многих домашних сетях отсутствуют такие меры безопасности, как антивирусное программное обеспечение, индивидуальные средства сетевой защиты и резервного копирования. Таким образом, сотрудники компаний, работающие удаленно, невольно могут стать причиной проникновения вирусов в корпоративную сеть организации. Многие из перечисленных проблем, с которыми сталкиваются организации при управлении информационной безопасностью, поможет решить новая редакция стандарта ISO/IEC27014 «Информационная безопасность, кибербезопасность и защита конфиденциальности. Управление информационной безопасностью». Стандарт устанавливает требования к модели управления, разработанной для обеспечения соблюдения необходимых правил и процедур. ISO/IEC27014-2020, тесно связанная со стандартом ISO/IEC 27001, дает определение понятию «управление информационной безопасностью» – это инструмент, с помощью которого руководящий орган организации обеспечивает комплексное управление и контроль за деятельностью, влияющей на информационную безопасность организации. В стандарте также содержатся рекомендации по проведению обучения сотрудников с целью формирования культуры информационной безопасности внутри организации, предлагаются роли и сферы ответственности руководителей и совета директоров организаций разного типа и численности. Основная цель ISO/IEC 27014 – согласование программ безопасности, бизнес-целей и стратегий, обеспечение ценности для заинтересованных сторон и высших органов руководства, а также обеспечение надлежащего управления информационными рисками.

В стандарте определены шесть важных принципов управления:

– создание информационной безопасности в масштабах всей организации;

– применение риск-ориентированного подхода в процессе принятия решений;  

– определение направления инвестиционных решений;

– обеспечение соответствия внутренних и внешних требований;

– формирование культуры, обеспечивающей безопасность;  

– обеспечение соответствия показателей безопасности текущим и будущим требованиям.

Многие международные стандарты IEC и все системы оценки соответствия IEC вносят вклад в достижение цели устойчивого развития ООН (№ 16), которая способствует созданию мирного и инклюзивного общества. Стандарты по информационной безопасности способствуют защите ключевых данных и систем, в то время как другие стандарты помогают сделать важную инфраструктуру более устойчивой.

https://www.iec.ch/blog/standard-information-security-governance-updated