Финальные проекты (FDIS) ISO/IEC 27001:2013 и ISO/IEC 27002:2013. Что изменилось?
Согласно сообщению BSI, в апреле 2013 года произошло очередное заседание Комитета по разработке ISO/IEC 27001. Во время заседания Комитет изучил обратную связь от национальных органов по сертификации. Стандарты ISO/IEC 27001 и 27002 подверглись ревизии согласно установленной процедуре – от начального проекта (CD) до финального проекта международного стандарта (FDIS). Обновленные стандарты планируются к публикации в ноябре 2013 года.
BSI создали веб-страницу, на которой размещаются последние новости о ревизии стандарта ISO /IEC 27001 здесь. Доступ к бесплатному вебинару по проекту международного стандарта DIS ISO/ISO 27001 здесь.
Основные изменения, внесенные в ISO 27001, состоят в следующем:
- Структура ISO 27001 переработана и унифицирована с прочими стандартами на системы менеджмента
- Вся терминология из ISO 27001 перенесена в ISO 27000, который определяет общий терминологический аппарат для всего семейства стандартов ISO 27х.
- Создание СУИБ теперь начинается с определения общего контекста организации: ее внутренних и внешних проблем, требований заинтересованных сторон, политики безопасности и области действия СУИБ.
- Роль высшего руководства организации в создании СУИБ теперь определяется в разделе под названием Лидерство. Это лидерство должно быть активным и демонстративным, явно определять роли и ответственность за обеспечение ИБ в организации, выделять ресурсы, контролировать конечный результат и т.д.
- Как и ожидалось, стандарт теперь не делает различия между политикой ИБ и политикой СУИБ. Осталась только политика ИБ. Требования к ее содержанию не изменились.
- Требования к оценке рисков стали менее конкретными с целью унификации с ISO 31000, требования к SOA не изменились.
- Добавлен раздел Планирование, включающей определение целей, принципов и стратегий ИБ.
- Как и ожидалось, убрали нелепое и вводящее в заблуждение различие между документами и записями. Теперь речь в стандарте идет просто о документации (документированной информации).
- Названия каких-либо документов в стандарте больше не используются. Акцент делается не на названиях, а на содержании документов, разрабатываемых в организации.
- Появились отдельные разделы Поддержка и Эксплуатация СУИБ. Эксплуатация включает в себя управление документами, событиями, изменениями и контроль процессов аутсорсинга.
- Сформулированы новые более конкретные требования к измерению эффективности СУИБ и механизмов контроля.
- Как и ожидалось, из стандарта убрали вводящее в заблуждение различие между корректирующими и превентивными мерами. Теперь есть несоответствия и для них есть корректирующие меры.
- Добавлены новые области контроля: Криптография, Взаимодействие с поставщиками. "Безопасность коммуникаций" и "Безопасность операций" разделены.
- Добавлены новые механизмы контроля: ИБ в управлении проектами, Ограничения на установку ПО, политика безопасности при разработке ПО, принципы безопасности в системном инжиниринге, безопасная среда разработки, тестирование безопасности, политика безопасности при взаимодействии с поставщиками и др.