ISO 27001:2022 – Системи за управление на информационната сигурност. Изисквания.
Стандартът ISO 27001:2022 е един от малкото задължителни за внедряване и сертификация стандарти в България. Той е задължителен естествено само за държавната, териториалната и местната администрации, съдебната власт и за лицата осъществяващи публични функции и за организациите предоставящи обществени услуги. Такива са:
- лица осъществяващи публични функции – са нотариусите, частните съдебни изпълнители, държавните и общинските учебни заведения, държавните и общинските лечебни заведения и други лица и организации, чрез които държавата упражнява своите функции и на които това е възложено със закон.
- организации предоставящи обществени услуги, като образователни, здравни, водоснабдителни, канализационни, топлоснабдителни, електроснабдителни, газоснабдителни, телекомуникационни, пощенски или други подобни услуги, предоставени за задоволяване на обществени потребности, включително като търговска дейност, по повод на чието предоставяне могат да се извършват административни услуги.
Задължителното внедряване и сертификация по този стандарт е обусловено от Наредбата за общите изисквания за оперативна съвместимост и информационна сигурност, издадена на основание чл. 43, ал. 2 от Закона за електронното управление.
Системата за управление на информационната сигурност обхваща:
- Оценка на риска за информационната сигурност – включващ идентификация на активите имащи отношение към сигурността, определяне на заплахите към тях, оценка, третиране и управление на рисковете;
- Сигурност на човешките ресурси – регламентираща опазването на поверителността на информацията от персонала;
- Физическа сигурност – включваща изисквания за прилагане на средства за физическа защита на активите, както и за гарантирането на сигурността им от заплаши на околната среда – пожари, наводнения, извънредни ситуации;
- Компютърна и мрежова сигурност – регламентирана в няколко раздела на приложение А на стандарта. Включва изисквания за архивиране, защита от вируси и външни атаки, организация на логическия достъп до системите и мрежите, контрола на мрежовите услуги и други;
- Сигурност при разработването на софтуер и хардуер – тази част включва изисквания за въвеждане на механизми за контрол на сигурността на софтуера и хардуера още на етап на неговото разработване;
- Управление на инциденти – включва изисквания за докладване, реакция и анализ на инцидентите по сигурността;
- Управление на непрекъсваемостта – този процес създава рамка за въвеждане на непрекъснат режим на работа на информационните активи, като по този начин се гарантира постоянното и качествено обслужване на клиентите ни;
Системата за управление на информационната сигурност съгласно ISO 27001:2022, се базира освен на него и на приложимите нормативни изисквания.
Какви са ползите от внедряването на система за управление на информационната сигурност?
Ползите могат да се сведат до следните:
- гарантиране на поверителността на данните на организацията;
- гарантиране на точността и верността на информацията;
- гарантиране на достъпността до информацията от упълномощените да работят с нея лица;
- повишаване на непрекъсваемостта;
- намаляване на инцидентите свързани с информационни активи;
- изпълнение на нормативните изисквания;
- разширяване на пазарите – чрез по-високи възможности за участие в обществени поръчки;
- повишаване на имиджа на организацията;
Стандарта е приложим във всяка организация (не само посочените по-горе) и е напълно интегрируем с изискванията на ISO 9001:2015 и ISO 14001:2015.