Системы менеджмента
Опубликован стандарт ISO/IEC 27001:2022 «Информационная безопасность, кибербезопасность и защита конфиденциальности - Система менеджмента информационной безопасности - Требования»
В целях решения глобальных проблем кибербезопасности и повышения цифрового доверия 25 октября 2022 года была опубликована новая (улучшенная) версия стандарта ISO/IEC 27001, подготовленная комитетом ISO/IEC JTC 1/SC 27.
Этот документ определяет требования к созданию, внедрению, поддержанию и постоянному совершенствованию системы менеджмента информационной безопасности в контексте организации и включает требования к оценке и устранению рисков информационной безопасности, адаптированные к потребностям организации.
Требования, изложенные в этом документе, являются общими и предназначены для применения во всех организациях, независимо от рода деятельности и размера. Если организация заявляет о соответствии настоящему документу, то исключение любого из требований, указанных в пунктах 4-10, недопустимо.
Киберпреступность становится всё серьёзнее и изощрённее. В отчете Всемирного экономического форума «Перспективы глобальной кибербезопасности» указано, что кибератаки в 2021 году увеличились на 125%, и в 2022 году их рост продолжился. Исходя из этих данных, лидеры организаций должны своевременно применить стратегический подход к киберрискам.
«В условиях Четвертой промышленной революции системная взаимозависимость создает как отрицательные издержки киберрисков, так и гораздо большую положительную ценность. В цифровое будущее нас приведут те организации, которые признают, что они не могут бороться с этим в одиночку, и приложат совместные усилия к снижению киберугроз», - говорит Андреас Вольф, возглавляющий группу экспертов из ISO/IEC JTC 1/SC 27, ответственных за этот стандарт.
Стандарт ISO/IEC 27001 подразумевает:
- Защиту информации во всех формах, включая бумажные, облачные и цифровые данные;
- Повышение устойчивости к кибератакам;
- Создание централизованного управления структуры IT-активов, которая обеспечивает кибербезопасность всей информации в одном месте и защиту конфиденциальности в масштабах всей организации, в том числе от технологических рисков и других угроз;
- Реагирование на меняющуюся кибербезопасность и нарушение защиты конфиденциальности.