Новая версия ISO / IEC 27001 поможет справиться с угрозами безопасности IT-систем

В настоящее время ведется доработка популярного международного стандарта на системы управления информационной безопасностью ISO / IEC 27001. Специалисты Международной организации по стандартизации (International Organization for Standardization; ISO) и Международной электротехнической комиссии (International Electrotechnical Commission; IEC) опубликуют новую версию документа в октябре 2013 года. Эдвард Хамфрис – руководитель рабочей группы, которая ведет доработку этого документа, – рассказал о том, как публикация обновленного стандарта ISO / IEC 27001 скажется эффективности работы субъектов хозяйствования.

Каковы основные преимущества доработанного стандарта перед его предшественником?

Мы актуализировали информацию с учетом рекомендаций пользователей, которые уже прошли сертификацию согласно требованиям ISO/IEC 27001:2005 “Информационная технология - Методы обеспечения безопасности - Системы менеджмента информационной безопасности - Требования”, либо в настоящее время работают в этой направлении. Нашей целью было обеспечение более гибкого и рационального подхода к внедрению стандарта, что позволяет добиться повышения эффективности при управлении рисками. Мы также внесли ряд улучшений в механизмы контроля за соблюдением мер безопасности, описанные в приложении А к документу. Сделано это было также с целью актуализации стандарта и минимизации риска кражи личных данных, взлома мобильных устройств и так далее. Кроме того, доработка ISO / IEC 27001 позволила упростить интеграцию этого международного стандарта с другими стандартами на системы менеджмента.

В чем польза гармонизации ISO / IEC 27001 с другими современными стандартами на системы менеджмента?

Разработка обновленной версии ISO / IEC 27001 в рамках нового формата сделает данный документ крайне полезным для организаций, желающих внедрить несколько стандартов на системы управления одновременно. Структурная схожесть разноплановых стандартов поможет субъектам хозяйствования сэкономить денежные средства и время. Например, организация сможет оперативно внедрить ISO / IEC 27001 вместе с такими стандартами на системы менеджмента, как ISO 22301:2012 “Безопасность социальная - Системы менеджмента непрерывности бизнеса - Требования”), ISO/IEC 20000-1:2011 “Информационные технологии - Менеджмент услуг - Часть 1: Требования к системе менеджмента услуг” или ISO 9001:2011 “Системы менеджмента качества”.

Каким будет следующий шаг в процессе пересмотра данного стандарта?

В настоящее время пересмотренная версия издания 2005 года находится на стадии окончательного проекта международного стандарта (Final Draft International Standard; FDIS). Работы в рамках этой стадии будут завершены в начале сентября, после чего будет подготовлена версия для печати, которая станет общедоступной в октябре. Купить можно будет лишь ISO / IEC 27001 в новой редакции – издание 2005 года будет отозвано из продажи.

Чем обернется публикация обновленного стандарта для организаций, которые ранее уже были сертифицированы согласно нормам ISO 27001:2005?

Организациям, которые ранее уже были сертифицированы по нормам стандарта 2005 года, нужно будет модернизировать свои системы управления информационной безопасностью в соответствии с требованиями новой редакции стандарта. Мы пока еще не пришли к единому мнению касательно длительности переходного периода для модернизации системы управления информационной безопасностью. Скорее всего, его продолжительность будет равна двум годам с момента публикации новой редакции стандарта.

Сколько усилий потребуется, чтобы перейти со старой версии стандарта на новую?

Обновление до новой версии ISO / IEC 27001 не должно вызывать каких-либо сложностей. В распоряжении организаций будет достаточно продолжительный переходный период, что позволит распределить необходимые для внедрения обновленного стандарта усилия во времени.