Для любой организации информация является одним из наиболее ценных активов, и утечка данных может привести к серьезным затратам с точки зрения потерь бизнеса и устранения ущерба. Таким образом, существующие механизмы контроля должны быть достаточно жесткими, чтобы обеспечивать защиту и регулярно контролировать в целях соответствия изменяющимся реалиям.
Разработанный ИСО и Международной электротехнической комиссией (IEC), ISO/IEC TS 27008, Информационные технологии. Методы обеспечения защиты. Руководящие указания для аудиторов по оценке органов управления, содержит рекомендации по оценке существующих механизмов контроля для обеспечения соответствия цели, эффективности и результативности, а также целям компании.
Техническая спецификация (TS) была обновлена в целях соответствия новым версиям других дополнительных стандартов по управлению информационной безопасностью, а именно ISO/IEC 27000 (анализ и словарь), ISO/IEC 27001 (требования) и ISO/IEC 27002 (Свод норм и правил менеджмента информационной безопасности), которые отражены в документе.
Профессор Эдвард Хамфрис (Prof. Edward Humphreys), руководитель рабочей группы, занимающейся разработкой стандарта, отметил, что ISO/IEC TS 27008 способствует организациям анализировать текущие средства контроля, которые управляются с помощью ISO/IEC 27001.
«В мире, где кибератаки не только являются все более частым явлением, но и становятся более трудно обнаружимыми и сложными к предотвращению, оценка и обзор безопасности существующих механизмов контроля безопасности должны осуществляться на регулярной основе и быть важным аспектом бизнес-процессов организации, – продолжил он. – ISO/IEC TS 27008 может помочь организациям в повышении уверенности в том, что их контроль эффективен, адекватен и уместен для снижения информационных рисков, с которыми сталкиваются организации».
ISO/IEC TS 27008 подходит для организаций всех типов и размеров, независимо от того, являются ли они государственными, частными или некоммерческими, что дополняет систему управления информационной безопасностью, описанную в ISO/IEC 27001.
Документ был разработан техническим комитетом ИСО/МЭК СТК 1, Безопасность информационных технологий, ПК 27, Методы и средства обеспечения безопасности, чей секретариат ведется DIN, членом ИСО из Германии. Документ можно приобрести у Вашего национального члена ИСО или в интернет-магазине ИСО.