Финальные проекты (FDIS) ISO/IEC 27001:2013 и ISO/IEC 27002:2013. Что изменилось?

BSI создали веб-страницу, на которой размещаются последние новости о ревизии стандарта ISO /IEC 27001 здесь. Доступ к бесплатному вебинару по проекту международного стандарта DIS ISO/ISO 27001 здесь.

Основные изменения, внесенные в ISO 27001, состоят в следующем:

• Структура ISO 27001 переработана и унифицирована с прочими стандартами на системы менеджмента
• Вся терминология из ISO 27001 перенесена в ISO 27000, который определяет общий терминологический аппарат для всего семейства стандартов ISO 27х.
• Создание СУИБ теперь начинается с определения общего контекста организации: ее внутренних и внешних проблем, требований заинтересованных сторон, политики безопасности и области действия СУИБ.
• Роль высшего руководства организации в создании СУИБ теперь определяется в разделе под названием Лидерство. Это лидерство должно быть активным и демонстративным, явно определять роли и ответственность за обеспечение ИБ в организации, выделять ресурсы, контролировать конечный результат и т.д.
• Как и ожидалось, стандарт теперь не делает различия между политикой ИБ и политикой СУИБ. Осталась только политика ИБ. Требования к ее содержанию не изменились.
• Требования к оценке рисков стали менее конкретными с целью унификации с ISO 31000, требования к SOA не изменились.
• Добавлен раздел Планирование, включающей определение целей, принципов и стратегий ИБ.
• Как и ожидалось, убрали нелепое и вводящее в заблуждение различие между документами и записями. Теперь речь в стандарте идет просто о документации (документированной информации).
• Названия каких-либо документов в стандарте больше не используются. Акцент делается не на названиях, а на содержании документов, разрабатываемых в организации.
• Появились отдельные разделы Поддержка и Эксплуатация СУИБ. Эксплуатация включает в себя управление документами, событиями, изменениями и контроль процессов аутсорсинга.
• Сформулированы новые более конкретные требования к измерению эффективности СУИБ и механизмов контроля.
• Как и ожидалось, из стандарта убрали вводящее в заблуждение различие между корректирующими и превентивными мерами. Теперь есть несоответствия и для них есть корректирующие меры.
• Добавлены новые области контроля: Криптография, Взаимодействие с поставщиками. "Безопасность коммуникаций" и "Безопасность операций" разделены.
• Добавлены новые механизмы контроля: ИБ в управлении проектами, Ограничения на установку ПО, политика безопасности при разработке ПО, принципы безопасности в системном инжиниринге, безопасная среда разработки, тестирование безопасности, политика безопасности при взаимодействии с поставщиками и др.