Обновление стандарта информационной безопасности

Защита информации компаний от утечек и взломов с развитием технологий становится все сложнее и сложнее. К тому же, часто в компании используется несколько систем, инструментов, поэтому не все интеграции получается сделать правильно с первого раза. А количество инцидентов, связанных  с кибербезопасностью, только растет. А с ними растут и расходы компаний на кибербезопасность. 

Согласно исследованиям Gartner, к 2022 году мировой рынок информационной безопасности достигнет 170,4 миллиардов долларов. Но несмотря на такие огромные расходы, по мнению Varonis, только 5% компаний надежно защищают свои конфиденциальные данные.

Организации должны защищать свои сети, системы и пользователей от нескольких основных угроз кибербезопасности. Например, отчет Verizon о расследовании утечек данных за 2020 год показал, что 70% нарушений были вызваны посторонними, 45% - взломом, 86% - финансовыми мотивами, 17% - вредоносным ПО и 22% - фишингом или социальной инженерией. .

Поэтому так важно, чтобы система информационной безопасности была прозрачна, хорошо вписывалась в организационные структуры и стратегии компании. Она должна хорошо управляться. Именно поэтому в декабре 2020 года был обновлен стандарт управления информационной безопасностью ISO/IEC 27014.

ISO/IEC 27014 - это руководство по концепциям, целям и процессам управления ИБ, с помощью которых компании могут оценивать, направлять, контролировать и передавать информацию системы управления ИБ. Этот стандарт был основан на ISO/IEC 27001, поэтому они хорошо интегрируются друг с другом.

Эдвард Хамриз, руководитель совместной рабочей группы экспертов ISO и IEC, разрабатывающих линейку стандартов ISO/IEC 270XX, утверждает, что новая редакция ISO/IEC 27014 - ключевое дополнение к ISO/IEC 27001. Она имеет фундаментальное значение для управления информационной безопасностью, встроенного в системы менеджмента организации. 

Стандарт был обновлен для повышения ясности и улучшения структуры документа, а также предоставления обновленной информации. 

К ISO/IEC 27014 присоединятся еще несколько стандартов по информационной безопасности, которые в настоящее время разрабатываются тем же экспертным комитетом. К ним относятся следующие:

• ISO/IEC 27002, Информационная технология. Методы обеспечения безопасности. Свод правил по элементам управления информационной безопасностью

• ISO/IEC TS 27110, Информационные технологии, кибербезопасность и защита частной жизни - Руководящие принципы разработки рамок кибербезопасности

• ISO/IEC TS 27100, Информационные технологии - Кибербезопасность - Обзор и концепции

• ISO/IEC 27005, Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

Таким образом, обновленная версия стандарта ISO/IEC 27014 - очень хорошее дополнение к уже внедренному ISO/IEC 27001. Его не нужно сертифицировать, но внедренные требования помогут дополнительно защитить свою конфиденциальную информацию.