БДС EN ISO/IEC 27001:2022
Международният стандарт ISO/IEC 27001 задава изисквания към системи за управление на сигурността на информацията (СУСИ) във всякакви организации, независимо от големина, предмет на дейност, вид на продуктите и процесите или други конкретни специфики.
Стандартът определя модел за създаване, изпълнение, функциониране, наблюдение, преглед, поддържане и подобряване на СУСИ. Прилагането на този модел зависи от потребностите и целите на организацията, от изискванията по отношение на сигурността, от включените процеси и от големината и структурата на организацията – т.е. усвояването на стандарта във всяка отделна система става чрез специфични интерпретации. Основната заложена идея е организацията да защити информацията, независимо от формата на представянето й, от определени и/или очаквани заплахи като оцени свързаните с тях рискове, като планира и създаде ефикасни защити.
С такава цел първо се определят обхватът и границите, за които ще прилага СУСИ, факторите, които могат да повлияят на системата, заинтересованите от сигурността на информацията страни и техните изисквания.
Други основни моменти при създаване и прилагане на СУСИ са:
- да се извърши и документира оценка на рисковете, при което се използват зададени критерии, за да се степенуват рисковете и за да се определи кои рискове са приемливи и кои изискват обработка, за да бъдат намалени или премахнати. Ползва се определена методика, за да има съпоставимост на резултатите от периодични оценявани;
- избор на цели по контрола и механизми за контрол (изборът се прави от дадения в Приложения А на стандарта структуриран списък), чрез които се насочва въздействието върху рисковете. За прилагане на избраните механизми за контрол може да се ползват указанията и добрите практики, изложени в стандарта ISO/IEC 27002. Приложение А не е ограничение да се прилагат и други, неспоменати в него, защити;
- да се състави и приложи План за въздействие върху рисковете, чрез който се внедряват защитите и се определят начини за установяване на ефикасността им;
- да се осигурят бързи и и ефикасни реакции за засичане и справяне със събития и ициденти по сигурността.
Както и при всички други стандартизирани системи за управление, така и в СУСИ са определени отговорностите на ръководството, управлението на ресурсите, задължителните документи и записи, систематични наблюдения и периодични прегледи, действия за поддържане и подобряване, вътрешни одити и накрая – изискванията за коригиращи и превантивни действия.
Цялостното действие на СУСИ е подчинено на Политика по сигурността на информацията. Зададената от висшето ръководство Политика декларира насочеността и принципите, залегнали в основата на практическите решения и насочва при определяне на конкретни и измерими цели по сигурността.
Когато една организация създаде и поддържа СУСИ, тя се съобразява не само с изискванията за дейностите си, но отчита, наред с тях, изискванията на нормативните актове и действащите договорни задължения по отношение на сигурността. Така една система СУСИ по модела на ISO/IEC 27001 генерира относителна сигурност, увереност и спокойствие не само в полза на бизнеса на организацията, но и в полза на своите клиенти, доставчици, партньори, а и в полза на обществото ни като цяло.
Важно е да се помни! Системите за управление на сигурността на информацията не са универсално и абсолютно средство за защита на информацията, което гарантира пълно спокойствие и сигурна защита. Всяка система, дори и най-добре построена да е, може да бъде разбита от заплаха, която не сме видяли навреме или която сме подценили. Основната полза от системите СУСИ е, че те създават и възпитават атмосфера на чувствителност към факторите, от които зависи сигурността и че дават инструментариум за изпреварващо или за ранно действие спрямо заплахите, които сме установили и задават ред за ефикасни противодействия спрямо заплахи, които са се реализирали, защото не сме ги идентифицирали навреме.