Riscurile din domeniul securitatii informatiei va ameninta afacerea? Standardul ISO/IEC 27005, nou si imbunatatit, va sporeste protectia
2 august 2011. Standardul international ISO/IEC 27005:2011 ofera directorilor si angajatilor din departamentele IT o platforma de dezvoltare pentru implementarea unei abordari orientata spre gestionarea riscurilor care sa ii ajute in administrarea riscurilor legate de sistemul de management al securitatii informatiei.
Riscurile din domeniul securitatii informatiei ridica amenintari serioase asupra afacerilor din cauza posibilitatii de pierderi sau pagube financiare, de pierdere a serviciilor esentiale de retea sau de pierdere a reputatiei si a increderii clientilor. Managementul riscului este unul din elementele cheie in prevenirea fraudelor online, a furtului de identitate, a spargerii site-urilor web, a pierderii de date personale si a multor altor incidente legate de securitatea informatiei. Fara un cadru solid destinat managementului riscului, organizatiile se expun multor tipuri de amenintari cibernetice.
Noul standard international ISO/IEC 27005:2011, Tehnologia informatiei – Tehnici de securitate – Managementul riscurilor legate de securitatea informatiei
va ajuta organizatiile de toate tipurile sa isi gestioneze mai bine riscurile legate de securitatea informatiei.
Standardul descrie procesul de management al riscurilor legate de securitatea informatiei si actiunile asociate, sprijinind conceptele generale descrise in ISO/IEC 27001:2005, Tehnologia informatiei – Tehnici de securitate – Sisteme de management al securitatii informatiei – Cerinte.
Edward Humphreys, organizatorul grupului de lucru ISO/IEC care a dezvoltat standardul, comenteaza: “ISO/IEC 27005:2011 este un standard esential pentru aceaia care doresc sa isi gestioneze riscurile eficient si, mai ales, sa fie in conformitate cu popularul standard al sistemului de management al securitatii informatiei ISO/IEC 27001.
Managementul riscului este decisiv pentru o conducere buna a afacerii, iar acest standard ajuta organizatiile cu sfaturi despre de ce, ce si cum sa fie gestionate riscurile legate de securitatea informatiei in sprijinul obiectivelor lor de conducere.”
In aceasta a doua editie, cadrul subliniat in ISO/IEC 27005 a fost trecut in revista si actualizat pentru a reflecta continutul documentelor de management al riscului:
• ISO 31000:2009, Managementul riscului – Principii si linii directoare;
• ISO/IEC 31010:2009, Managementul riscului – Tehnici de evaluare a riscului;
• ISO Guide73:2009, Managementul riscului – Vocabular.
Standardul a fost conceput cu intentia de a se alinia strans lui ISO 31000:2009, cu scopul de a ajuta organizatiile care doresc sa isi gestioneze riscurile securitatii informatiei intr-o maniera similara celei in care isi gestioneaza “alte” riscuri.
ISO 27005 : 2011 va ajuta utilizatorii in implementarea ISO/IEC 27001, standardul sistemului de management al securitatii informatiei, care se bazeaza pe o abordare orientata spre managementul riscului. Cunoasterea conceptelor, modelelor, proceselor si terminologiei descrise in ISO/IEC 27001 si ISO/IEC 27002: 2005, Tehnologia informatiei – Tehnici de securitate – Cod de practica pentru managementul securitatii informatiei, este importanta pentru o intelegere completa a acestui standard international.
Procesul de management al riscurilor legate de securitatea informatiei consta din:
• Stabilirea contextului
• Evaluarea riscului
• Tratarea riscului
• Acceptarea riscului
• Comunicarea riscului si
• Monitorizarea si analizarea riscului.
Cu toate acestea, ISO 27005 : 2011 nu ofera nicio metodologie specifica pentru managementul riscurilor legate de securitatea informatiei, ci o abordare generala. Ramane la latitudinea organizatiei sa-si defineasca abordarea fata de managementul riscului in functie, de pilda, de domeniul sistemului de management al securitatii informatiei, bazandu-se pe contextul managementului riscului sau pe sectorul industrial in care activeaza.
ISO 27005 : 2011, Tehnologia informatiei – Tehnici de securitate – Managementul riscurilor legate de securitatea informatiei, a fost dezvoltat de comitetul tehnic unit ISO/IEC JTC 1, Tehnologia informatiei, subcomitetul SC 27, Tehnici de securitate IT. El costa 168 de franci elvetieni si este valabil de la institutele nationale membre ISO (consultati lista completa cu detaliile de contact accesand http://www.iso.org/iso/about/iso_members.htm) si de la Secretariatul Central ISO prin ISO Store sau contactand depatamentul de marketing si comunicare. (dupa un comunicat de presa al ISO)