+7 (812) 649-29-09
centrsro
srostroi@mail.ru
По будням 9:00-18:00
Заказ на сайте круглосуточно!

Отличия ISO 27001 2013 от предыдущей версии стандарта

 
ISO/IEC 27001
 

«Кто владеет информацией, тот владеет миром». Когда Уинстон Черчилль произнес эту ставшую афоризмом фразу, он, наверное, и не предполагал, какие кибервойны развернутся в XXI веке за обладание информацией строго ограниченного доступа, сколько людей будут ломать головы над созданием системы сохранности конфиденциальных сведений, и сколько различных методик по защите информационной безопасности будет разработано во всем мире.

Конфиденциальность, целостность и доступность информации – вот те три кита, три основных фактора, которые легли в основу всех международных стандартов, регулирующих управление информационной безопасностью; причем, как отдельно взятого бизнеса, так и любого государства в целом.

Здесь не будут обсуждаться вопросы государственной безопасности, сосредоточимся на проблемах информационной защиты бизнеса. В настоящее время в этой сфере широкое распространение получил международный стандарт ISO/IEC 27001 «Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования», который является прямым руководством для менеджмента любого коммерческого предприятия по управлению его кибербозопасностью (СМИБ).

Первая версия стандарта ISO/IEC 27001:2005 в течение 8 лет с разной степенью успешности практиковалась на различных уровнях. В ходе применения выявлялись ее достоинства и недостатки. Затем она подверглась серьезному редактированию, что в 2013 году вылилось в новый, улучшенный документ ISO 27001 2013.

 

Необходимость обновления назрела

 

Чем же была плоха версия 2005 года? Довольно скоро выяснилось, что в ее структуре заложены такие существенные недоработки, как чрезмерно избыточный список требований, с одной стороны, и довольно расплывчатое определение ответственности руководителей организации, с другой. Всё это требовало качественных изменений.

В устаревшем ISO/IEC 27001:2005 почти не уделялось внимание вопросу вовлеченности руководства в принятие решений по информационной безопасности (ИБ) и, соответственно, оно не несло полной ответственности за дела предприятия в этой сфере. Прямо и косвенно, за все удачи и неудачи должны были отвечать только специалисты, работающие в подразделениях IT.

В версии 27001:2013 обязательность поддержки руководством процесса внедрения СМИБ прописана в специальном разделе «Лидерство». Здесь подробно определены действия ТОП–менеджмента для достижения эффективной работы: разработка стратегической политики ИБ, внедрение ее в бизнес–процессы, обеспечение ресурсами (материальными и кадровыми), назначение ответственных, системный контроль.

В ISO/IEC 27001:2005 оставалась лазейка для получения сертификата на СМИБ, когда аудиторам предъявлялись лишь отдельные отчетные документы. По форме бизнес отвечал заявленным стандартам, а на самом деле – нет: документально подтвержденного планирования задач и их исполнения там не было и в помине.

Особенно этим грешили те компании, где больше интересовались самим сертификатом, чем созданием нормальной системы менеджмента. К счастью, правила ISO/IEC 27001:2013 отменили возможность «блефовать» и устранили существовавшую двусмысленность. Теперь все организации должны будут следовать четкому формату планирования, управления и контроля.

Одними вышеперечисленными пунктами различия между этими документами не исчерпываются. Внимательное сопоставление двух версий стандарта 27001 позволит заметить обновления в концепции, структурном построении стандарта, а также в списке механизмов контроля.

Концептуальные отличия 27001:2005 и 27001:2013

Изменения затронули такие разделы, как:

  • процессы;
  • задачи в рамках СМИБ;
  • владельцы рисков;
  • заинтересованные стороны;
  • коммуникации в ИБ;
  • оценка эффективности;
  • контекст организации;
  • сертификация;
  • структура;
  • методы контроля.
 
второй сертификат за пол цены
 
Различия
 
№ п/п
Раздел документа
Было (ISO/IEC 27001:2005)
Стало( ISO/IEC 27001:2013)
1 Процессы Модель PDCA («Plan – Do – Check – Act»), что в переводе на русский язык означает: «Планируй – Делай – Проверяй – Действуй»). Цикл Деминга. Модель: «Planning – Operation – Performance evaluation – Improvement», что в переводе на русский язык означает: «Планирование – Функционирование – Оценка результативности – Улучшение» Главный смысл отличия – в непрерывном процессе улучшения системы.
2 Задачи ИБ Требования об управлении задачами были рассредоточены по разным разделам документа. В документе выделен отдельный раздел "Мониторинг, измерение, анализ и оценка", что очень удобно для четкой оценки текущей деятельности и будущего планирования задач ИБ.
3 Владельцы рисков Подробное описание процесса с включением понятий: «уязвимость», «идентификация активов и их владельцев». Принимаются критерии оценки рисков, идентификация и анализ рисков. Вводится термин «владельцы рисков» (тот или те, кто имеет достаточные полномочия для управления риском в бизнесе).
4 Заинтересованные стороны Границы СМИБ оформлены отдельным документом, с простым перечислением заинтересованных сторон. Требуется определить требования для каждого из заинтересованных сторон в отдельности: партнеров, клиентов, акционеров и т. д., и учесть интересы каждой стороны.
5 Коммуникации в ИБ Специальный раздел в документе отсутствует. На практике: службы информационной безопасности «сверху» контролируют сотрудников компании в их повседневной деятельности. Появился отдельный раздел «Поддержка», его содержание – планирование и управление внешними и внутренними коммуникациями по вопросам ИБ.
6 Оценка эффективности Организация по собственной методике измеряла степень эффективности СМИБ. Приведены четкие критерии оценки эффективности СМИБ.
7 Контекст организации Термин отсутствовал. Контекст организации означает совокупность внутренних и внешних аспектов, влияющих на управление рисками ИБ
8 Сертификация Сдача отчетов для получения сертификата продолжается в обычном порядке. Он будет действовать ещё в течение трех лет. Выдача сертификатов по новой версии стандарта отложена.
9 Структура В структуре стандарта 2005 года содержится 5 пунктов, которые напрямую описывают управление СМИБ. В состав стандарта – 2013 включено 7 пунктов. Появились новые разделы: «Лидерство» и «Поддержка».
10 Методы контроля 137 контролей были разнесены на 11 доменов. 114 контролей распределены между 14 доменами. Улучшены некоторые формулировки.
 
 

Заключение

 

На первый взгляд, разница между ISO/IEC 27001:2005 и ISO/IEC 27001:2013 достаточно существенна. Однако стоит отметить, что каких-либо судьбоносных изменений не произошло. Из разделов отредактированного стандарта удалены избыточные и дублирующиеся требования, и упорядочены разделы структуры, в связи с чем работать с новой версией пользователю станет намного удобнее.