ISO/IEC 27001:2005 – СИСТЕМИ ЗА УПРАВЛЕНИЕ НА СИГУРНОСТТА НА ИНФОРМАЦИЯТА
Пазарната конюнктура и бизнес-средата влошават
състоянието на фирмите или ги закаляват, по-бързо
или по-бавно, докато един срив в информационните
активи на фирмата може да я срути за броени дни.
Питър Друкър, “Информационното общество”
Информацията, заедно с техническите и програмни средства, инфраструктурата и средата, имащи отношения към нея, са ценни активи за организацията и трябва да бъдат защитавани. Под “информация” трябва да се разбира многообразието от форми и носители, в които тя съществува – напечатана или написана на хартия, на технически носител, пусната по пощата – обикновена или електронна, текст, диаграми, таблици, графики, снимки, филми, предадена/приета в телефонен или в пряк разговор и още много други форми и носители.
Информационна сигурност означава да бъдат осигурявани, поддържани и развивани най-малко следните три качествени характеристики на информационните услуги и обработки:
- поверителност;
- цялостност;
- наличност.
Поверителност – това е свойството, чрез което информацията става недостъпна и скрита за неоторизирани хора, звена или процеси.
Цялостност – чрез това свойство се постига гарантиране, предпазване и защита на точността и комплектността на активите.
Наличност – свойството на информацията да бъде достъпна и да може да се ползва при нужда от оторизиран орган или лице.
Информационната сигурност е гарантирана на още по-високо равнище, ако в допълнение към горните характеристики бъдат осигурени още автентичност, отчетност и надеждност.
Организираният начин за постигане на сигурност на информацията е чрез специализирани системи за управление. Те са част в общата система за управление на организацията и включват изисквания към процесите и практиките по разработване, внедряване, ползване, наблюдения, прегледи и подобрения на системи за управление на сигурността на информацията (СУСИ).
Както всяка стандартизирана система за управление, така и СУСИ включва елементи като организационна структура, политики, дейности по планиране, отговорности и пълномощия, процеси, процедури и ресурси.
Системите за управление на сигурността на информацията ISO/IEC 27001:2005 не изключват и не отхвърлят нуждата от специализирани технически и програмни средства за защита на информацията. Напротив, тези средства придобиват нов смисъл и усилен ефект, а успешно съчетаното ползване на СУСИ и технически защитни средства позволява да не се изпада в състояние на перфектизъм поради прилагане на защита, която е свръхдозирана и неадекватна на реалните заплахи и узязвимости.
Международният стандарт ISO/IEC 27001 съдържа изисквания към СУСИ, които трябва да се прилагат индивидуално за всяка организация в зависимост от нейните размер и структура, от реалните нужди от сигурност, от целите по сигурността и от факторите, които създават заплахи.
Съответствието с тези изисквания трябва да бъде поддържано в динамичен режим, което значи, че СУСИ трябва да се променя, когато нуждите от сигурност и характерът на заплахите се менят.
Във времето на глобализация и на все по-широко ползване на телекомуникации и компютри, защитата на информацията става фактор с критично значение за състоянието на организациите. Една организация може да се срине за месеци или години поради лош общ мениджмънт или поради лошо качество на продуктите и услугите. При пробив в сигурността на информацията и най-добрата организация с перфектен мениджмънт може да бъде съсипана само за един ден
