Как известно новая версия международного стандарта ISO/IEC 27001 вышла осенью текущего года. Официальным днем публикации считается 1 октября 2013 года.

iso/iec 27001:2013При сравнении стандартов ISO/IEC версии 2013 года с версией 2005 года видно, что количество обязательных контрольных точек разделов стандарта возросло со 102 до 148. Возросло и количество самих разделов.

Количество средств управления в Приложении А уменьшилось с 133 до 114 (см. Таблицу 2), но это совсем не значит, что внедрение стандарта стало проще, поскольку некоторые требования, которые были менее важны, приобрели большее влияние.

Основной целью новой версии стандарта является более эффективное управление рисками.

Несмотря на то, что Приложение А кажется более исчерпывающим на практике, без обязательных требований разделов 4 – 10 стандарта ISO/IEC 27001:2013 (см. Таблицу 1) системы менеджмента информационной безопасности (СМИБ) не существовало бы.

СМИБ включает в себя важные стандартные операционные процедуры, такие как управление рисками, обучения и осведомленности, управление документами, управление записями, внутренний аудит, постоянное совершенствование.

На практике, если аудитор при проверке СМИБ на предприятии обнаружил, что любой из обязательных пунктов стандарта отсутствует или неэффективен, это считается одним из основных несоответствий, а значит предприятие не будет рекомендовано для выдачи сертификата или может быть его лишено.

Таблица 1. Изменения в структуре ISO/IEC 27001

ISO/IEC 27001:2005 ISO/IEC 27001:2013
0. Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Система информационной безопасности (50)
5. Обязательства руководства (18)
6. Внутренние аудиты (4)
7. Анализ системы менеджмента (16)
8. Совершенствование (14)
0. Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Контекст организации (8)
5. Лидерство (19)
6. Планирование (39)
7. Поддержка (28)
8. Операции (Эксплуатация) (9)
9. Оценка (Измерение) результативности (29)
10. Совершенствование (Улучшение) (16)
102 148

Как видно из Таблицы 1, количество обязательных положений возросло в новой версии стандарта до 7 (в версии 2005 г - 5). Рассмотрим изменения в Приложении А (см. Таблицу 2).

Таблица 2. Изменения в Приложении А

ISO/IEC 27001:2005 ISO/IEC 27001:2013
А.5 Политика в области безопасности (2)
А.6 Организация системы безопасности (11)
A.7 Классификация активов и управление (5)
A.8 Безопасность и персонал (9)
A.9 Физическая и внешняя безопасность (13)
A.10 Менеджмент компьютеров и сетей (32)
A.11 Управление доступом к системе (25)
A.12 Приобретение, разработка и обслуживание информационных систем (16)
A.13 Менеджмент инцидентов (5)
A.14 Обеспечение непрерывности бизнеса (5)
A.15 Соответствие законодательству (10)
A.5 Политики информационной безопасности (2)
A.6 Организация информационной безопасности (7)
A.7 Безопасность человеческих ресурсов (персонала) (6)
A.8 Управление активами (10)
A.9 Управление доступом (14)
A.10 Криптография (2)
A.11 Физическая безопасность и защита от окружающей среды (15)
A.12 Безопасность операций (14)
A.13 Безопасность коммуникаций (7)
A.14 Приобретение, разработка и обслуживание информационных систем (13)
A.15 Взаимоотношения с поставщиками (5)
A.16 Менеджмент инцидентов (7)
A.17 Обеспечение непрерывности бизнеса (4)
A.18 Соответствие законодательству (8)
133 114

Как мы видим, пополнение имеет место и здесь. Появились 3 новых раздела: A.10 Криптография;  A.13 Безопасность коммуникаций; A.15 Взаимоотношения с поставщиками.

Все пополнения-изменения в стандарте ISO/IEC 27001:2013 подчеркивают растущую важность систем менеджмента и необходимость уделять больше внимания менеджменту информационной безопасности. Но без компетентного персонала – это невозможно.

Относительно сертификации систем менеджмента информационной безопасности - компании, уже внедрившие стандарт, скорее всего, будут иметь в запасе 2 года для перехода на новые требования. Т.е. после 1 октября 2015 г. сертификаты по версии ISO/IEC 27001:2005 будут недействительны.

Автор: Соловей Сергей


Information System Security & IT Association (ISSITA)Приглашаем желающих вступить в ассоциацию Information System Security & IT Association (ISSITA).
Участники ассоциации это: специалисты в области информационной безопасности и IT, специалисты, применяющие м/н стандарты и инструменты менеджмента в сфере безопасности и IT,  уполномоченные по системам менеджмента на основе международных стандартов ISO/IEC 27001, ISO/IEC 20000, ISO 22301, ISO 31000, ISO 55000, а также консультанты, лекторы и аудиторы по системам менеджмента и др.