Рекомендации ИСО/МЭК по повышению надежности средств обеспечения защиты информации

Технический отчет ИСО/МЭК, описывающий предназначенные для аудиторов технические средства и рекомендации по подтверждению соответствия требованиям, позволит повысить эффективность систем защиты информации в организациях.
Технический отчет ISO/IEC TR 27008:2011 "Информационные технологии. Методы обеспечения безопасности. Руководство для аудиторов средств управления информационной безопасностью" предназначен для повышения надежности базовых средств управления информационной безопасностью для всех аспектов, включая бизнес-процессы и информационную среду.
"Бизнес-среда постоянно изменяется, а с ней изменяются угрозы для жизнеспособности компании. Организации должны быть во всеоружии, а адекватная защиты может быть построена на основании аудита средств, используемых для защиты информации", - говорит Эдвард Хамфрис, руководитель рабочей группы, разработавшей документ.
"ISO/IEC TR 27008:2011 является базой для тщательных аудитов безопасности организации и программ оценки средств обеспечения информационной безопасности, позволяющих повысить уверенность организации в том, что средства применяются надлежащим образом, и система информационной безопасности соответствует целям".
ISO/IEC 27008 предлагает руководство по анализу применения и управлению средствами, включая контроль технического соответствия. Документ в первую очередь предназначен для аудиторов информационной безопасности, проверяющих техническое соответствие средств обеспечения информационной безопасности организации требованиям ISO/IEC 27002 или любым другим контрольным стандартам, используемым в организации. ISO/IEC TR 27008 позволит:
  • выявить и оценить степень потенциальных проблем и пробелы в средствах управления информационной безопасностью;
  • выявить и оценить потенциальное воздействие на организацию неадекватного устранения угроз и уязвимостей информационной безопасности;
  • установить приоритеты мер по устранению рисков информационной безопасности;
  • удостовериться в том, что ранее выявленные или экстренно возникшие уязвимости были адекватно устранены;
  • принять решения по бюджету в ходе инвестиционного процесса и другие управленческие решения, направленные на улучшение управления информационной безопасностью.
Таким образом, ISO/IEC 27008 будет полезен организациям всех типов, в том числе государственным и частным компаниям, государственным и некоммерческим организациям. Документ стал восьмым в серии стандартов ISO/IEC 27000 на системы управления информационной безопасностью.
Эдвард Хамфрис добавляет: "Информация - ключевой актив для любой модели бизнеса, организационной структуры и системы, и серия стандартов ISO/IEC 27000 может использоваться для защиты этого важнейшего бизнес-актива".
По данным сайта www.iso.org