25 сентября 2013 года опубликована новая версия международного стандарта ISO/IEC 27001:2013.

Официальное наименование:
• ISO/IEC 27001:2013. Information technology -- Security techniques -- Information security management systems – Requirements
• ISO/IEC 27001:2013. Информационные технологии – Методы безопасности – Системы менеджмента информационной безопасности – Требования

Также, одновременно с основным стандартом ISO/IEC 27001, опубликован стандарт ISO/IEC 27002. Данный стандарт содержит разъяснения и рекомендации по реализации требований стандарта ISO/IEC 27001.

Официальное наименование:
• ISO/IEC 27002:2013. Information technology -- Security techniques -- Code of practice for information security controls
• ISO/IEC 27002:2013. Информационные технологии – Методы безопасности – Свод практик для управления информационной безопасностью

С этого момента стандарты серии ISO/IEC 27000 (менеджмент информационной безопасности) полностью интегрированы со стандартами серии ISO/IEC 20000 (менеджмент ИТ-сервисов).

О новой версии стандарта

Новая версия стандарта не является революционной, скорее эволюционной. Но это относится только к требованиям, которые предъявляют версии 2005 и 2013 гг. Однако при первом знакомстве с новой версией стандарта ISO/IEC 27001 у многих создается впечатление того, что стандарт полностью изменен. Фактически значительные изменения коснулись только структуры стандарта.

В результате все изменения в новой версии стандарта можно разделить на две группы:
• изменения в структуре
• изменения в требованиях

Изменения в структуре ISO/IEC 27001

Структура основных требований стандарта ISO/IEC 27001:2013 приведена в соответствии с Директивами ISO/IEC. Говоря простым языком, в настоящий момент все стандарты для систем менеджмента будут иметь идентичную структуру разделов.

Изменение структуры конечно же вызовет сложности в восприятии новой версии. Однако, внимательно изучив требования в основной части, Вы не найдете значительных отличий. Знакомые многим требования версии 2005 года перераспределены по новой структуре разделов. Корректировки в основных требованиях стандарта ISO/IEC 27001 конечно же есть и они будут рассмотрены в следующем разделе статьи.

Также произошли изменения в структуре Приложения «А» стандарта. Они не являются такими кардинальными, как в основной части. Появились три новых раздела: «A.10 Криптография», «A.13 Безопасность коммуникаций», «A.15 Взаимоотношения с поставщиками». Раздел «А.10 Криптография» не является новым, его требования повторяют отдельные пункты раздела А.12 старой версии стандарта. Разделы «A.13 Безопасность коммуникаций» и «A.15 Взаимоотношения с поставщиками» собрали отдельные пункты по разделам Приложения «А» версии 2005, а также включили некоторые новые требования. В целом, мы считаем логичными такую перекомпоновку и дополнения. Выделенные новые разделы расставляют акценты на критичных вопросах информационной безопасности.

Изменения в требованиях ISO/IEC 27001

Новая версия стандарта содержит несколько изменений, касающихся требований как основной части стандарта, так и Приложения «А». Рассмотрим их отдельно.

Основные изменения в основной части новой версии стандарта ISO/IEC 27001:2013

• четко сформулированы требования к целям системы менеджмента информационной безопасности
• упрощены требования к текстовому описанию рисков
• исключена обязательность выпуска «Положения о принятии остаточных рисков» со стороны высшего руководства
• установлена четкая связка «Положения о применимости - SoA»
• введено понятие и требование по определению «Владельца риска» вместо «Владельца актива»
• четко сформулированы и дополнены требования по мониторингу СМИБ
• упрощены требования к управлению документацией и записями системы менеджмента информационной безопасности
• четко определены требования по коммуникациям в рамках системы менеджмента информационной безопасности

Наиболее существенным изменением в основной части является требование по определению «Владельцев рисков»

В Приложении «А» произошли более значительные изменения в требованиях. Формально количество требований (контролей) уменьшилось со 133 до 113. Однако это не может говорить о значительном уменьшении объема работ по внедрению и поддержке СМИБ.

Основные изменения в Приложении «А» новой версии стандарта ISO/IEC 27001:2013



Новые требования в рамках Приложения «А» ISO/IEC 27001:2013

A.6.1.4 Information security in project management
A.12.6.2 Restrictions on software installation
A.14.2.1 Secure development policy
A.14.2.5 System development procedures
A.14.2.6 Secure development environment
A.14.2.8 System security testing
A.15.1.1 Information security policy for supplier relationships
A.15.1.3 Information and communication technology supply chain
A.16.1.4 Assessment and decision of information security events
A.17.1.2 Implementing information security continuity
A.17.2.1 Availability of information processing facilities


Среди новых требований и возможностей Приложения «А» стоит выделить следующие:
• участие менеджеров информационной безопасности в проектах
• более четкие требования к анализу произошедших инцидентов
• более четкие требования к обеспечению информационной безопасности в рамках работы с поставщиками

Процесс официального перехода на новую версию стандарта ISO/IEC 27001:2013?

Многие компании уже внедрили требования стандарта ISO/IEC 27001:2005 и сертифицировали системы менеджмента информационной безопасности, еще большее количество компаний находятся на стадии внедрения. Поэтому мы спешим проинформировать все заинтересованные лица о процессе перехода на новую версию стандарта.

На сегодняшний день процесс перехода и сроки еще не опубликованы ISO. Однако процесс перехода при выходе новой версии стандарта для систем менеджмента не является быстрым. Этот процесс займет как минимум один-два года.

В связи с этим предлагаем рассмотреть следующие рекомендации для компаний, находящихся на разных стадиях внедрения стандарта ISO/IEC 27001.

Требования стандарта ISO/IEC 27001 внедрены в полном объеме.
Рекомендовано запланировать переход на новую версию в течении одного года. Этого срока более, чем достаточно. Для этого возможно изучить изменения в стандарте, создать план по изменению и реализовать дополнительные требования.

Требования стандарта ISO/IEC 27001 внедрены в полном объеме, СМИБ сертифицирована или сертификация планируется в ближайшие 5-6 месяцев.
Рекомендовано выполнить работу по переходу в течение одного года и выполнить переход по схеме, которая описана выше. Получение сертификата по новой версии при имеющемся сертификате по версии 2005 года пройдет крайне гладко. Процесс выглядит следующим образом: международные сертификационные органы получат возможность проведения аудитов по новой версии (от 4-6 месяцев до одного года), их представители предложат Вам удобный этап (стадию аудита) для проверки новых требований стандарта ISO/IEC 27001:2013. Как правило, Вам могут предложить два ближайших года. При проведении надзорного или ресертификационного аудита аудиторы проверят выполнение дополнительных требований, включенных в новой версии стандарта ISO/IEC 27001. После этого будет выдан сертификат на новую версию. При этом не имеет значение, какая из стадий аудита будет выбрана для этого процесса. При получении сертификата на новую версию, при имеющемся сертификате по версии 2005 года, дополнительные затраты либо не потребуются, либо будут крайне не значительными. Как правило, международные сертификационные органы взимают плату только за выпуск и регистрацию новых сертификатов, что может составлять сумму в пределе 100-300 Евро.

Требования стандарта ISO/IEC 27001 внедрены в объеме от 60 процентов и выше.
В этом случае рекомендовано проводить внедрение, базируясь на требованиях стандарта ISO/IEC 27001:2005. При этом не рекомендовано глобально изменять и корректировать планы по внедрению. Учитывая наш опыт, в большинстве случаев, при глобальных изменениях во второй половине проекта по внедрению СМИБ появляется масса негативных фактов. Успех проекта чаще всего ставится под глубокое сомнение. В проект по внедрению на данной стадии рекомендовано внести незначительные корректировки, отдельные дополнения для выполнения новых требований стандарта ISO/IEC 27001. Также возможно запланировать и выполнить корректировки в самом конце процесса внедрения. По нашим оценкам, для реализации новых требований стандарта может понадобиться от двух недель до двух месяцев. Продолжительность корректировок, в основном, зависит от скорости согласования процедур и внутренней документации.

Требования стандарта ISO/IEC 27001 внедрены в объеме менее 60 процентов.
Для этого варианта мы рекомендуем глобально пересмотреть план по внедрению СМИБ. Стоит полностью скорректировать работы, основываясь на требованиях стандарта ISO/IEC 27001:2013. В первую очередь рекомендовано пересмотреть план разработки документации.

Автор:
Александр Дмитриев
Lead auditor ISO/IEC 27001, ISO 22301, ISO 20000, ISO 9001
Руководитель департамента "Системы Менеджмента Безопасности & ИТ"
TMS (Предствитель T?V S?D в Украине)