Согласно сообщению BSI, в апреле 2013 года произошло очередное заседание Комитета по разработке ISO/IEC 27001. Во время заседания Комитет изучил обратную связь от национальных органов по сертификации. Стандарты ISO/IEC 27001 и 27002 подверглись ревизии согласно установленной процедуре – от начального проекта (CD) до финального проекта международного стандарта (FDIS). Обновленные стандарты планируются к публикации в ноябре 2013 года.
BSI создали веб-страницу, на которой размещаются последние новости о ревизии стандарта ISO /IEC 27001 здесь. Доступ к бесплатному вебинару по проекту международного стандарта DIS ISO/ISO 27001 здесь.
Основные изменения, внесенные в ISO 27001, состоят в следующем:
- Структура ISO 27001 переработана и унифицирована с прочими стандартами на системы менеджмента
- Вся терминология из ISO 27001 перенесена в ISO 27000, который определяет общий терминологический аппарат для всего семейства стандартов ISO 27х.
- Создание СУИБ теперь начинается с определения общего контекста организации: ее внутренних и внешних проблем, требований заинтересованных сторон, политики безопасности и области действия СУИБ.
- Роль высшего руководства организации в создании СУИБ теперь определяется в разделе под названием Лидерство. Это лидерство должно быть активным и демонстративным, явно определять роли и ответственность за обеспечение ИБ в организации, выделять ресурсы, контролировать конечный результат и т.д.
- Как и ожидалось, стандарт теперь не делает различия между политикой ИБ и политикой СУИБ. Осталась только политика ИБ. Требования к ее содержанию не изменились.
- Требования к оценке рисков стали менее конкретными с целью унификации с ISO 31000, требования к SOA не изменились.
- Добавлен раздел Планирование, включающей определение целей, принципов и стратегий ИБ.
- Как и ожидалось, убрали нелепое и вводящее в заблуждение различие между документами и записями. Теперь речь в стандарте идет просто о документации (документированной информации).
- Названия каких-либо документов в стандарте больше не используются. Акцент делается не на названиях, а на содержании документов, разрабатываемых в организации.
- Появились отдельные разделы Поддержка и Эксплуатация СУИБ. Эксплуатация включает в себя управление документами, событиями, изменениями и контроль процессов аутсорсинга.
- Сформулированы новые более конкретные требования к измерению эффективности СУИБ и механизмов контроля.
- Как и ожидалось, из стандарта убрали вводящее в заблуждение различие между корректирующими и превентивными мерами. Теперь есть несоответствия и для них есть корректирующие меры.
- Добавлены новые области контроля: Криптография, Взаимодействие с поставщиками. “Безопасность коммуникаций” и “Безопасность операций” разделены.
- Добавлены новые механизмы контроля: ИБ в управлении проектами, Ограничения на установку ПО, политика безопасности при разработке ПО, принципы безопасности в системном инжиниринге, безопасная среда разработки, тестирование безопасности, политика безопасности при взаимодействии с поставщиками и др.
Для тех организации, которым надо будет подтверждать свою сертификацию на соответствие новой версии ISO 27001 во время очередных промежуточных аудитов или ресертификаций, BSI выпустит специальное руководство по переходу на новую версию стандарта.
ISO 27002:2013 Version Change Summary