ruhynlenkadeltpluk

Ранее мы обращали внимание читателей нашего сайта на информацию о пересмотре такого популярного сейчас стандарта как ISO/IEC 27001 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» (см. «ISO стандарты. Разработка и пересмотр. Январь 2013»).

Стандарт описывает требования для построения и эффективного функционирования систем менеджмента информационной безопасности организаций. Его разработчикам являются Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (IEC).

В данный момент документ находится на стадии голосования по окончательному проекту международного стандарта (FDIS). Голосование комитета продлится до конца сентября, и затем, после окончательного редактирования, стандарт будет опубликован, а его предыдущая версия - отменена.

Однако для организаций уже внедривших и сертифицированных по ISO/IEC 27001:2005 координационным советом IAF (International Accreditation Forum) будет определен переходной период, который обычно составляет 2 года.

За это время организации смогут подтвердить свое соответствие новой версии стандарта путем прохождения очередных надзорных или ре-сертификационных аудитов.

Что же касается первичной сертификации, то, с момента публикации обновленной версии стандарта, она будет проходить только по требованиям ISO/IEC 27001:2013.

Эдвард Хампфрис, председатель рабочей группы, ответственной за разработку и сопровождение стандарта ISO/IEC 27001, в своем интервью, опубликованном в новостях сайта ISO, говорит следующее:

«Мы актуализировали новую редакцию, учитывая опыт пользователей, уже внедривших стандарт или получивших сертификат на соответствие требованиям ISO/IEC 27001:2005. Основная цель – обеспечить более гибкий, оптимизированный подход, который обеспечил бы более эффективное управление рисками».

Пока же идет голосование по окончательному проекту стандарта, на официальных сайтах ISO и BSI размещены заметки, в которых дана краткая информация об ожидаемых изменениях (до момента официальной публикации стандарта его содержание может быть еще раз отредактировано), уже включенных в документ.

В первую очередь эти изменения касаются рисков и угроз информационной безопасности. Речь идет о возможности хищения личных данных, угрозах, связанных с использованием мобильных устройств и пр., которые в 2005 году не были столь актуальны. Это, естественно,  нашло свое отражение в стандарте в виде ряда изменений в показателях безопасности, перечисленных в Приложении А.

Кроме того, необходимо обратить внимание на обновленную структуру стандарта, соответствующую модели PDCA, которая является основополагающей при построении всех систем менеджмента, описываемых стандартами ISO. Это позволит организациям, которые желают внедрить несколько систем менеджмента, гармонично интегрировать требования ISO/IEC 27001 и, например, ISO 9001 (системы менеджмента качества) или ISO/IEC 20000-1 (системы менеджмента ИТ услуг).

Изменение структуры, естественно, ведет к пересмотру разделов. Например, требования к ответственности высшего руководства организаций в рамках функционирования системы менеджмента информационной безопасности (СМИБ) будут пересмотрены и оформлены в виде нового раздела «Leadership clause». Также будут актуализированы разделы, описывающие установление целей, а также анализ, мониторинг и измерения в СМИБ, содержание которых станет более четким и согласованным с требованиями других стандартов на системы менеджмента.

Изменения, связанные с требованиями, предъявляемыми к оценке рисков, были необходимы, чтобы гармонизировать ISO/IEC 27001 со стандартом  ISO 31000:2009 «Менеджмент рисков. Принципы и руководящие указания».

А требования к формированию SoA (Положения о применимости) будут уточнены для лучшего понимания и определения мер контроля по управлению рисками, после их анализа и оценки. К тому же сами меры контроля, приведенные в Приложении А, будут актуализированы, а их количество будет сокращено.

Термины и определения, представленные в старой редакции ISO/IEC 27001, будут актуализированы, исключены из текста стандарта и перенесены в ISO/IEC 27000 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и словарь», который в данный момент также находится в пересмотре на стадии DIS (проект международного стандарта).

Стандарт же ISO/IEC 27002:2005 «Информационные технологии. Методы обеспечения безопасности. Свод правил по управлению защитой информации»  больше не будет использован как нормативная ссылка (до конца сентября 2013 года находится в стадии пересмотра окончательного проекта FDIS).

Как Вы видите, приведенные выше данные о пересмотре стандарта ISO/IEC 27001, скорее способствуют четкости изложения, гармонизации с другими стандартами на системы менеджмента и лучшему пониманию его требований, чем их кардинальному изменению.

После публикации ISO/IEC 27001:2013, которая намечена на октябрь текущего года, компания ООО «ИНТЕРСЕРТ-УКРАИНА» окажет содействие своим клиентам и другим лицам, заинтересованным в переходе или внедрении новой версии стандарта.

В течение переходного периода в рамках семинаров, курсов и тренингов, организованных «ИНТЕРСЕРТ-Академией», Ваши специалисты смогут ознакомиться с содержанием стандарта ISO/IEC 27001:2013, произошедшим в нем изменениями и получить практические навыки по внедрению нововведений.

 

По материалам сайтов http://www.bsi-russia.ru и http://www.iso.org

ООО «ИНТЕРСЕРТ-УКРАИНА»