Управление информационной безопасностью \ ISO/IEC 27001:2013

25 сентября 2013 года опубликована новая версия международного стандарта ISO/IEC 27001:2013.

Официальное наименование:

Выход новой версии был запланирован на октябрь 2013 года, но технический комитет ISO работал более оперативно и продуктивно, поэтому смог предоставить версию 2013 года значительно раньше. В скором времени будут созданы различные дополнения и рекомендации к стандарту ISO/IEC 27000, главная цель которых – помочь компаниям как можно быстрее и легче начать работать с версией 2013 года.

Вместе с главным стандартом ISO/IEC 27001 был создан еще один – стандарт ISO/IEC 27002, в котором указаны все необходимые рекомендации и пояснения, чтобы оперативно и правильно внедрить все требования нового стандарта 2013 года.

Официальное наименование:

Стоит заметить, что стандарт ISO/IEC 27000 (управление информационной безопасностью), полностью интегрируется со стандартом ISO/IEC 20000 (менеджмент IT-сервисов).

О новом стандарте.

Новый стандарт 2013 нельзя назвать революционным, скорее всего эволюционным. Тем не менее, при изучении стандарта ISO/IEC 27001, кажется, что он полностью изменен. Это не совсем верно. Существенные изменения произошли в структуре стандарта и в требованиях, которые предъявляют версии 2005 и 2013 годов.

Рассмотрим подробнее данные изменения, сравнивая версии 2005 и 2013 года.

Изменения в структуре ISO/IEC 27001

Структура основных требований нового стандарта ISO/IEC 27001:2013 приведена в соответствии с Директивами ISO/IEC. Это значит, что у всех стандартов будет одинаковая структура разделов.

Ниже можно ознакомиться со структурой основных разделов старой и новой версии.

 

Конечно, измененная структура повлечет за собой сложности в понимании новой версии стандарта. Но после более внимательного изучения требований в основной части, вы не найдете существенных различий. Привычные требования старой версии просто распределены по новой структуре разделов. Более существенные корректировки в стандарте ISO/IEC 27001 естественно существуют, но мы подробнее на них остановимся в следующем разделе.

Обратив внимания на Приложения «А» стандарта ISO/IEC 27001, вы можете заметить изменения. Они не существенны, возникли только 3 новые раздела: «A.15 Взаимоотношения с поставщиками», «A.13 Безопасность коммуникаций», «A.10 Криптография». Однако, после более внимательного изучения, станет ясно, что разделы «A.13 Безопасность коммуникаций», «A.15 Взаимоотношения с поставщиками» не являются полностью новыми, их отдельные пункты можно найти по разделам Приложения «А» версии старой версии стандарта, в данные разделы также включили несколько новых требований. Что касается раздела «А.10 Криптография», он собрал отдельные пункты раздела А.12 версии стандарта 2005 года. В целом, наши специалисты считают данные изменения вполне логичными. Новые разделы позволили расставить акценты на самых важных и критичных вопросах, которые необходимо решить, чтобы организовать управление информационной безопасностью на должном уровне.

Ниже можно ознакомиться со структурой разделов Приложения «А» старой и новой версии.

Изменения в требованиях ISO/IEC 27001

Рассмотрим отдельно изменения в новой версии стандарта ISO/IEC 27001:2013, которые касаются как Приложения «А», так и основной части.

Изменения, которые касаются основной части:

  • четко указаны требования к целям СМИБ.
  • требования к описанию рисков значительно упрощены.
  • высшее руководство может выпускать «Положение о принятии остаточных рисков» в необязательном порядке.
  • создана четкая связка «Положения о применимости - SoA»
  • вместо определения «Владельца актива» было создано определение «Владельца риска»
  • были созданы новые требования по мониторингу СМИБ
  • требования к управлению записями и документацией были упрощенны
  • в контексте СМИБ были четко прописаны требования по коммуникациям

Самые значительные изменения произошли в разделе «Владельцы рисков»

В Приложении «А» можно заметить наиболее существенные изменения в требованиях. Суммарное количество требований с 133 уменьшилось до 113. Но это не означает, что внедрить и поддерживать систему менеджмента информационной безопасности будет легче.

Основные изменения в Приложении «А»

Среди новых требований наиболее важные и существенные следующие:

  • менеджеры информационной безопасности должны принимать участие в различных проектах
  • к анализу случившихся инцидентов выдвигаются более четкие требования
  • к обеспечению информационной безопасности при работе с поставщиками выдвигаются более четкие требования

Как официально перейти на новую версию стандарта ISO/IEC 27001:2013?

Многие предприятия уже успели сертифицировать СМИБ и внедрить все требования нового стандарта, другие же находятся на стадии внедрения. Поэтому мы решили дать свои рекомендации и полную информацию о том, как перейти на новую версию стандарта всем заинтересованным лицам.
Процесс перехода на новую версию стандарта ISO/IEC 27001:2013 трудоемкий и может занять год или два. Для максимальной оптимизации этого процесса наши специалисты разработали рекомендации, которые помогут внедрить новый стандарт оперативно и в полном объеме.
Требования стандарта ISO/IEC 27001 полностью внедрены.

Необходимо перейти на новую версию в течение одного года, предварительно изучив все изменения в стандарте, создать план по изменению и реализации всех дополнительных требований.

Требования стандарта ISO/IEC 27001 полностью внедрены, СМИБ сертифицирована или будет сертифицирована в ближайшие полгода.

Рекомендуется перейти на новую версию стандарта в течение одного года, по схеме описанной выше. Если у вас есть сертификат 2005 года, то процесс сертификации пройдет гладко. Процесс происходит таким образом: от 4 месяцев до года международные сертификационные органы могут провести аудит по новой версии; чтобы проверить новые требования стандарта ISO/IEC 27001:2013 международные представители предложат удобную для вас стадию аудита. Чаще всего срок составляет два года. При проведение аудита уполномоченные специалисты проверят насколько выполнены дополнительные требования, которые включены в новую версию стандарта ISO/IEC 27001. После данной процедуры можно будет получить сертификат на новую версию. Важно помнить, что какая из стадий аудита будет выбрана, значения не имеет. Если у вас есть сертификат 2005 года, для получения сертификата новой версии, дополнительная плата не взимается, либо минимальна. Как правило, нужно заплатить сумму от 100-300 Евро только за выпуск и регистрацию новых сертификатов.

Требования стандарта ISO/IEC 27001 были внедрены на 60% и больше.

В данном случае мы рекомендуем вначале внедрить требования стандарта ISO/IEC 27001:2005, не корректируя глобально планы по внедрению. Наш опыт показывает, что чаще всего, когда большая часть стандарта СМИБ внедрена и ее начинают корректировать, возникает много негативных факторов, ставя под угрозу успех всего проекта. На данной стадии допустимо вносить небольшие корректировки и дополнения, чтобы выполнить новые требования. Когда процесс внедрения заверен, можно запланировать и выполнить некоторые изменения и корректировки. Наша практика показывает, что внедрение новых требований может занять от 2 недель до 2 месяцев. Продолжительность в первую очередь зависит от скорости согласования процедур и внутренней документации.

Требования стандарта ISO/IEC 27001 были внедрены меньше 60%

В этом случае лучше всего провести глобальный пересмотр плана по внедрению системы менеджмента информационной безопасности, чтобы внести изменения и корректировки, основываясь на требованиях стандарта ISO/IEC 27001:2013.

Подкаст


Контакты

TMS Ukraine

ул. Воздвиженская, 44
г. Киев, 04071

Тел.: +380 44 500 3345
Факс: +380 44 500 3346

E:mail: moc.au-smt@ofni

 

TMS Aкадемия

Наталья Петелько

Тел.: +38 050 070 4928
Тел.: +38 044 495 7683

E:mail: au.smt@okletep.n

 



Зарубежные новости


Пожелания и рекламации

    Если Вы не были удовлетворены нашими услугами, пожалуйста, отправьте нам свой запрос по электронной почте на почтовый ящик info@tms-ua.com. В течение 14 дней Вы получите ответ о состоянии Вашего запроса.