Jak mierzyć skuteczność bezpieczeństwa informacji
Nie można być zbyt ostrożnym, jeśli chodzi o bezpieczeństwo informacji. Ochrona danych osobowych oraz wrażliwych informacji handlowych jest niezwykle istotna. Czy można jednak powiedzieć, że norma ISO/IEC 27001 system zarzadzania bezpieczeństwem informacji (ISMS) dobrze działa? Nowa norma ISO/IEC International Standard może pomóc w tej ocenie.
Uaktulaniona ostatnio norma ISO/IEC 27004:2016, Technologie informacyjne – Techniki bezpieczeństwa – Zarządzanie bezpieczeństwem informacji – Monitorowanie, mierzenie, analiza i ewaluacja, dostarcza wskazówek, jak oceniać skuteczność normy ISO/IEC 27001. Wyjaśnia ona, jak rozwijać i zarządzać procesami mierzenia oraz jak oceniać i raportować wyniki zbioru danych mierniczych dotyczących bezpieczeństwa informacji.
Prof. Edward Humphreys, organizator grupy roboczej, która wypracowała normę (ISO/IEC JTC 1/SC 27), stwierdził: “Cyber-ataki są jednym z największych zagrożeń, jakie mogą dotknąć organizację. Dlatego też mocno ulepszona wersja normy ISO/IEC 27004 zapewnia niezbędne i praktyczne wsparcie wielu organizacjom, które wdrażają normę ISO/IEC 27001, aby chronić się przed rosnącą różnorodnością ataków wymierzonych przeciw bezpieczeństwu danych, z jakimi mierzy się dziś biznes”.
Wskaźniki dotyczące bezpieczeństwa mogą zapewnić wgląd w efektywność ISMS i jako takie, znalazły się w centrum zainteresowania. Czy więc jesteś inżynierem, czy też konsultantem odpowiedzialnym za bezpieczeństwo oraz raportowanie kierownictwu lub członkom zarządu, którzy potrzebują lepszej informacji do podejmowania decyzji, wskaźniki dotyczące bezpieczeństwa (security metrics) stają się istotnym narzędziem komunikowania stanu cyber-zagrożeń w organizacji.
W słowach Prof. Humphrey’a: “Organizacje potrzebują pomocy w odpowiedzi na pytanie, czy inwestycje w zarządzanie bezpieczeństwem informacji są skuteczne i dostosowane do celu, jakim jest odpowiednia reakcja na zagrożenie, ochrona i odpowiedź na wciąż zmieniające się środowisko cyber-zagrożeń. To właśnie w tym obszarze norma ISO/IEC 27004 może przynieść najwięcej korzyści.”
Norma ISO/IEC 27004:2016 pokazuje jak konstruować programy mierzące poziom bezpieczeństwa informacji, jak wybierać obszary do oceny wskaźników oraz jak zarządzać niezbędnymi procesami związanymi z pomiarami. Zawiera ona wiele przykładów różnych typów miar i opisuje jak oceniana powinna być skuteczność tych procesów.
Korzyści, jakie może przynieść organizacji korzystanie z normy ISO/IEC 27004 są następujące:
- Zwiększona odpowiedzialność
- Ulepszone bezpieczeństwo informacji oraz procesów ISMS
- Potwierdzenie wypełnienia zaleceń normy ISO/IEC 27001, jak i odpowiednich przepisów i regulacji
Norma ISO/IEC 27004:2016 zastępuje wersję z 2009 roku; została ona uaktualniona i rozszerzona tak, aby była zgodna ze skorygowaną wersją normy ISO/IEC 27001, aby zapewnić organizacjom większą wartość dodaną oraz zaufanie.
Norma ISO/IEC 27004:2016 została wypracowana przez wspólną komisję techniczną ISO/IEC JTC 1, Technologie informacyjne, podkomisja SC 27, Techniki bezpieczeństwa IT, której sekretariat prowadzony jest przez DIN, niemieckiego członka ISO. Jest ona dostępna na stronie lokalnego członka ISO lub w Sklepie ISO ISO Store.
http://www.iso.org/iso/home/news_index/news_archive/news.htm?refid=Ref2151
Elizabeth Gasiorowski-Denis, 16 grudnia 2016
Tłumaczenie: