Ниже приведен перевод размещенного на сайте анонса. По сути дела британские специалисты таким образом выразили своё недовольство тем, что Международная организация по стандартизации затянула пересмотр соответствующего международного стандарта.
О чём этот стандарт?
В данном стандарта речь идет об управлении рисками применительно к информационной безопасности. Он охватывает все процессы, необходимые для управления рисками информационной безопасности.
Для кого этот стандарт?
Любая организация, располагающая какой-либо информацией (а вряд ли в природе существуют организации, вообще не имеющие дела с информацией :) – Н.Х.), может получить отдачу от использования данного стандарта, независимо от своего размера или направления деятельности. В плане ролей, стандарт будет использоваться:
- Руководителями, ответственными за стратегическое управление, менеджмент риска и исполнение законодательно-нормативных требований (governance, risk management, and compliance, GRC);
- Руководителями, отвечающими за обеспечение безопасности;
- Руководителями, отвечающими за оперативную деятельность,
- Аудиторами,
- Всеми, кто несет ответственность за исполнение в своих организациях требований нового европейского законодательства по защите персональных данных (General Data Protection Regulation, GDPR).
Данный стандарт закрывает пробел, возникший между опубликованным в 2011 году международным стандартом менеджмента рисков информационной безопасности ISO/IEC 27005:2011 «Информационные технологии - Методы и средства обеспечения безопасности - Менеджмент риска информационной безопасности» (Information technology - Security techniques - Information security risk management, см. https://www.iso.org/standard/56742.html ) и опубликованным в 2013 году пересмотренным стандартом ISO/IEC 27001 «Информационные технологии - Методы и средства обеспечения безопасности - Системы менеджмента информационной безопасности - Требования» (Information technology - Security techniques - Information security management systems – Requirements, см. https://www.iso.org/standard/54534.html и https://www.iso.org/obp/ui/#!iso:std:54534:en ).
Мой комментарий: Первый стандарт адаптирован в России как ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» на основе старой редакции ISO/IEC 27005:2008 (см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=169502 ); второй – как ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», также на основе устаревшей редакции ISO/IEC 27001:2005 (см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=121123 ). Как я уже сообщала (см. https://rusrim.blogspot.ru/2017/11/2018.html ), ГОСТ на основе действующей редакции ISO/IEC 27001 предполагается подготовить в 2018 году.
Как таковой, британский стандарт BS 7799-3:2017 обеспечивает крайне необходимую поддержку для внедрения ISO/IEC 27001:2013 и для всех отраслевых и прикладных применений этого стандарта.
Примечание: Стандарт BS 7799-3:2017 или его преемник будут действовать до тех пор, пока ИСО/МЭК не опубликует пересмотренную версию ISO/IEC 27005. В этом случае BS 7799-3 станет недействующим.
Источники: сайт BSI / сайт ИСО
https://shop.bsigroup.com/ProductDetail?pid=000000000030354572
Комментариев нет:
Отправить комментарий