ISO 27032:2012. Приватность в эру всепроникающей информации

16 июля этого года был опубликован новый стандарт в области кибербезопасности ISO 27032:2012 «Информационные технологии. Методы обеспечения безопасности. Руководящие указания по обеспечению кибербезопасности». Кибербезопасность – это безопасность в  киберпространстве. Киберпространство же представляет собой виртуальную среду, в которой циркулируют данные всех компьютеров мира. Понятно, что в современном мире техническую возможность для нее создает сеть интернет. ISO 27032:2012 сконцентрирован на защите информации корпоративных и иных пользователей при посещении интернет-сайтов, оплате счетов и использовании интернет-банкинга.

Некоторые другие подробности об очередном нормативном документе Международной организации по стандартизации (International Organization for Standardization, – ред.) сообщает проект стандарта. Только он пока что находится в открытом доступе. Судя по этому тексту, значительное место создатели норматива уделили понятийному аппарату кибербезопасности. В частности, вводятся термины «вредоносного программного обеспечения», «атаки» и «смешанной атаки» (blended attack, – ред.). Последнее понятие стандарт определяет следующим образом:

Цитата: ‘Смешанной атакой является такая атака, которая преследует цель нанесения объекту максимального вреда с использованием комбинированных методов’

 Разработчики ISO 27032:2012, как об этом свидетельствует проект стандарта, не обошли вопрос cookies – фрагментов данных (текстовая информация, – ред.), которые сохраняют персональные настройки и другую информацию важную для открытия тех или иных страниц и интернет-сайтов. На практике они часто становятся источником угрозы, так как сохраняются на ПК пользователя, без его ведома.

В целом, стандарт ISO 27032 представляет собой свод рекомендаций в сфере информационной безопасности, в том числе мониторинга угроз, а не последовательность необходимых к осуществлению действий в строгой периодичности и с контролируемыми критериями эффективности. В вопросе конкретных методик управления рисками по своей проблематике ISO 27032:2012 ссылается на другие широко известные нормативные документы серии ISO 27000 (серия стандартов – совокупность нормативов посвященных одной и той же тематике, – ред.) – она полностью посвящена вопросам защиты информации и информационной безопасности. Отдельно стоит сказать о подпункте стандарта 12.5.3.2 «Обучение и доведение до сведения персонала». ISO 27032:2012 предлагает уделить в организации «некоторое время» на повышение компетентности персонала в вопросах кибербезопасности. Содержанием этого обучения, согласно проектной версии норматива, должны стать такие вопросы, как фишинг, угрозы из социальных сетей, причины атак и роль сотрудников в борьбе с ними, ряд других аспектов информационной безопасности. Фишинг – это вид электронного мошенничества, при котором добычей хакера становятся пароли и логины объектов атаки.

Стандарт ISO 27032:2012 был разработан Техническим Комитетом ISO/IEC JTC 1 «Информационные технологии», совместно с Подкомитетом SC 27 «Методы обеспечения безопасности IT». Председатель рабочей группы, разработавшей данный стандарт, Йохан Амсенг, недавно прокомментировал актуальность появления ISO 27032:2012…

Цитата: «Устройства и связанные сети, поддерживающие киберпространство, имеют множество владельцев, каждый из которых ведет собственный бизнес и решает вопросы эксплуатации и регулирования. Множество пользователей и провайдеров не только не имеют общих исходных данных, но и рассматривают проблемы обеспечения безопасности под разными углами зрения»

 В настоящий момент на разработке в техническом комитете ISO/IEC JTC 1, созданном совместными усилиями Международной организации по стандартизации и IEC (International Electrotechnical Commission – Международная электротехническая комиссия, – ред.) находится еще один нормативный документ – ISO/IEC DTS 11581-41.2. «Information technology. User interface icons. Part 41: Data structure to be used by the ISO/IEC JTC 1/SC 35 icon database» («Информационные технологии. Иконки пользовательского интерфейса. Часть 41: Программная структура, используемая ISO/IEC JTC 1/SC 35», – ред.).

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Кроме того, интересно почитать:

Вам понравилась статья? Не хотите пропускать новые? Тогда подпишитесь на RSS или получайте новые статьи мгновенно на электронную почту


Лицензия Creative Commons

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: