Стандарт ISO/IEC 27001

Системите за управление на информационната сигурност(СУИС) – Information Security management systems(СУИС) имат за цел да гарантират конфиденциалността и интегритета на информационните активи на организацията, да управляват надеждния достъп до тях и да оптимизират използваните ресурси по съхраняването им.

Подходът за изграждане и внедряване на СУИС въз основа на изискванията на международния стандарт ISO/IEC 27001:2005 (предишен – BS 7799-2:2002) и на набора добри практики, заложени в ISO/IEC 27002:2005 (ISO/IEC 17799:2005) е доказан в практиката.

СУИС, изградени съобразно изискванията на тези два стандарта, обхващат основните аспекти на сигурността:

  • оценка и управление на риска,
  • управление на персонала,
  • физическа сигурност,
  • контрол на достъпа,
  • сигурност при избора, закупуването и ползването на софтуер и хардуер,
  • планове и действия в извънредни ситуации и кризи.

Необходимостта от създаване на Система за управление на информационната сигурност произтича от:

  • Наличието на нормативни документи, насочени към сигурността на информацията (Закон за защита на класифицираната информация и Закон за защита на личните данни);
  • Нарасналите изисквания на клиентите по отношение защита на личните им данни;
  • Интереса на компаниите, опериращи в изострена конкурентна среда, да защитят по адекватен начин информацията, гарантираща запазването на пазарните позиции.

СУИС обхваща основните направления в управлението на всяка организация. В основата на изграждането на Системата за управление на инфосигурността лежат анализът на активите и анализът на риска. На базата на тези анализи се формира политика по сигурността, която се обявява в публичното пространство.

Определят се уязвимите места, потенциалните заплахи и очакваните последствия при “пробиви” в сигурността на информацията. Подбират се съответните защити (controls), които по принцип попадат в  отделни групи съобразно вида заплаха, на която противодействат. Изготвя се т.н.  Декларация за приложимост, в която организацията заявява какъв вид защити е подбрала и какво е приемливото ниво на остатъчния риск.