|
Главная » 2011 » Ноябрь » 17 » Рекомендации ИСО/МЭК по повышению надежности средств обеспечения защиты информации
|
Рекомендации ИСО/МЭК по повышению надежности средств обеспечения защиты информации |
11:39 |
Технический отчет ИСО/МЭК, описывающий предназначенные для аудиторов технические средства и рекомендации по подтверждению соответствия требованиям, позволит повысить эффективность систем защиты информации в организациях.
Технический отчет ISO/IEC TR 27008:2011 «Информационные технологии. Методы обеспечения безопасности. Руководство для аудиторов средств управления информационной безопасностью» предназначен для повышения надежности базовых средств управления информационной безопасностью для всех аспектов, включая бизнес-процессы и информационную среду.
«Бизнес-среда постоянно изменяется, а с ней изменяются угрозы для жизнеспособности компании. Организации должны быть во всеоружии, а адекватная защиты может быть построена на основании аудита средств, используемых для защиты информации», - говорит Эдвард Хамфрис, руководитель рабочей группы, разработавшей документ.
«ISO/IEC TR 27008:2011 является базой для тщательных аудитов безопасности организации и программ оценки средств обеспечения информационной безопасности, позволяющих повысить уверенность организации в том, что средства применяются надлежащим образом, и система информационной безопасности соответствует целям».
ISO/IEC 27008 предлагает руководство по анализу применения и управлению средствами, включая контроль технического соответствия. Документ в первую очередь предназначен для аудиторов информационной безопасности, проверяющих техническое соответствие средств обеспечения информационной безопасности организации требованиям ISO/IEC 27002 или любым другим контрольным стандартам, используемым в организации. ISO/IEC TR 27008 позволит:
- выявить и оценить степень потенциальных проблем и пробелы в средствах управления информационной безопасностью;
- выявить и оценить потенциальное воздействие на организацию неадекватного устранения угроз и уязвимостей информационной безопасности;
- установить приоритеты мер по устранению рисков информационной безопасности;
- удостовериться в том, что ранее выявленные или экстренно возникшие уязвимости были адекватно устранены;
- принять решения по бюджету в ходе инвестиционного процесса и другие управленческие решения, направленные на улучшение управления информационной безопасностью.
Таким образом, ISO/IEC 27008 будет полезен организациям всех типов, в том числе государственным и частным компаниям, государственным и некоммерческим организациям. Документ стал восьмым в серии стандартов ISO/IEC 27000 на системы управления информационной безопасностью.
Эдвард Хамфрис добавляет: «Информация - ключевой актив для любой модели бизнеса, организационной структуры и системы, и серия стандартов ISO/IEC 27000 может использоваться для защиты этого важнейшего бизнес-актива».
Источник: Международная организация по стандартизации
|
| Просмотров: 547 | | | |
| Статистика |
 |
|
Главная