Журнал "Информационная безопасность" №2/2013: международный стандарт ISO/IEC 27001:2013
13.03.2013
24 апреля выйдет в свет второй номер журнала "Информационная безопасность" в 2013 г. В разделе "Право и нормативы" будет опубликована экспертная статья Дмитрия Бирюкова, старшего консультанта отдела контроля и управления рисками PwC, и Екатерины Токаревой, консультанта отдела отдела контроля и управления рисками PwC – "Международный стандарт ISO/IEC 27001:2013. Взгляд в будущее индустрии ИБ".
С 2005 г. сертификационный аудит на соответствие требованиям стандарта ISO/IEC 27001:2005 прошло более 17 тыс. компаний по всему миру (по данным BSI). Еще больше компаний не подавали заявок на проведение сертификационного аудита, но использовали стандарт в качестве источника лучших практик при проектировании систем управления информационной безопасностью. Но, к сожалению, текущая версия стандарта не лишена недостатков.
Кроме того, за последние несколько лет были обновлены стандарты, с которыми гармонизирован ISO/IEC 27001:2005, а так же был разработан ряд вспомогательных стандартов 27-й серии.
По этим причинам стало очевидно – стандарту необходим пересмотр. В 2010 г. появилась первая информация, что предварительная версия новой редакции стандарта уже обсуждается в BSI и ожидается к опубликованию в 2013 г.
Специалисты по информационной безопасности всего мира следили за новостями с закрытых обсуждений в стенах BSI, чтобы узнать какие изменения требований вероятнее всего появятся в стандарте. Необходимо было спрогнозировать, насколько сложно будет выполнить новые требования, и понять, что делать тем, кто уже прошел сертификационный аудит по устаревающей версии стандарта.
В начале 2013 г. предварительные версии стандартов ISO/IEC 27001 и ISO/IEC 27002 были опубликованы на сайте BSI для публичного обсуждения. Теперь мы можем оценить, в каком направлении развиваются стандарты, и постараемся ответить на возникающие в связи с этим вопросы.
