ИСО/МЭК: Обновлён стандарт стратегического управления информационной безопасностью ISO/IEC 27014

Заметка Клер Нейден (Clare Naden – на фото) была опубликована на сайте Международной организации по стандартизации (ИСО) 16 декабря 2020 года.

Защита информации компании от взлома и утечек данных становится всё более сложной задачей, для надлежащего решения которой часто привлекается множество систем, инструментов и людей. Однако даже самые лучшие в мире усилия могут завершиться провалом, если отсутствует эффективное стратегическое / всестороннее управление всей системой, позволяющее видеть, что работает, а что не работает; и как всё это вписывается в структуры и стратегии организации.

Стандарт ISO/IEC 27014 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни – Стратегическое управление информационной безопасностью» (Information security, cybersecurity and privacy protection – Governance of information security),
содержит рекомендации по концепциям, целям и процессам стратегического управления (governance) информационной безопасности, с помощью которых организации могут оценивать, направлять и контролировать систему менеджмента информационной безопасности (СМИБ) на основе стандарта ISO/IEC 27001, а также распространять информацию о ней.

Д-р Эдвард Хамфрис (Edward Humphreys), координатор разработавшей стандарт совместной рабочей группы экспертов ИСО и МЭК, отмечает: «Эта новая редакция стандарта ISO/IEC 27014 является ключевым поддерживающим документом для стандарта ISO/IEC 27001, поскольку он имеет фундаментальное значение для деятельности по стратегическому управлению информационной безопасностью, осуществляемой в рамках СМИБ и в контексте общего стратегического управления организацией».

Стандарт только что был обновлён с тем, чтобы улучшить его структуру и ясность подачи материала; также в него была включена новая информация. Стандарт согласован с ISO/IEC 27001:2013 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» (Information technology - Security techniques - Information security management systems — Requirements, см. https://www.iso.org/standard/54534.html и https://www.iso.org/obp/ui/#!iso:std:54534:en , в России стандарт адаптирован как ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&page=0&id=121123 – Н.Х.), но при этом он сохраняет актуальность в отношении более широкого круга требований организации к стратегическому управлению.

К ISO/IEC 27014 скоро добавится ряд других стандартов информационной безопасности, разрабатываемых в настоящее время той же группой экспертов. В их число входят:

• ISO/IEC 27002 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни – Меры и средства обеспечения информационной безопасности» (Information security, cybersecurity and privacy protection - Information security controls), https://www.iso.org/standard/75652.html
  
  
• ISO/IEC TS 27110 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни – Руководство по разработке концепции кибербезопасности» (Information technology, cybersecurity and privacy protection - Cybersecurity framework development guidelines), https://www.iso.org/standard/72435.html
  
  
• ISO/IEC TS 27100 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни – Кибербезопасность – Обзор и концепции» (Information technology - Cybersecurity - Overview and concepts), https://www.iso.org/standard/72434.html
  
  
• ISO/IEC 27005 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни – Руководство по менеджменту рисков и возможностей в области информационной безопасности» (Information security, cybersecurity and privacy protection — Guidance on managing information security risks and opportunities), https://www.iso.org/standard/80585.html

Опубликованные документы можно будет приобрести через Ваш национальный орган по стандартизации - член ИСО или в интернет-магазине ИСО.

Стандарт ISO/IEC 27014 и другие  упомянутые в этой статье стандарты являются результатом деятельности Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии» и его подкомитета SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection), секретариат которого поддерживается немецким национальным органом по стандартизации DIN.

Клер Нейден (Clare Naden)

Мой комментарий: Вторая редакция стандарта ISO/IEC 27014:2020 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни – Стратегическое управление информационной безопасностью» (Information security, cybersecurity and privacy protection – Governance of information security) объёмом 23 страницы, см. https://www.iso.org/standard/74046.html и https://www.iso.org/obp/ui/#!iso:std:74046:en , была опубликована в декабре 2020 года.

Стандарт заменил действовавший ранее ISO/IEC 27014:2013 «Информационные технологии – Меры и средства обеспечения безопасности – Стратегическое управлении информационной безопасностью» (Information technology - Security techniques - Governance of information security, https://www.iso.org/standard/43754.html ).

В аннотации на ISO/IEC 27014:2020, в частности. отмечается:

«Настоящий документ содержит рекомендации по концепциям, целям и процессам стратегического управления (governance) информационной безопасности, с помощью которых организации могут оценивать, направлять и контролировать связанные с обеспечением информационной безопасности процессы внутри организации, а также распространять информацию о них.

Целевой аудиторией данного документа являются:

• Орган стратегического управления и высшее руководство организации;
  
  
• Лица, ответственные за оценку, руководство и мониторинг системы менеджмента информационной безопасности (СМИБ) на основе стандарта ISO/IEC 27001;
  
  
• Лица, ответственные за менеджмент информационной безопасности, осуществляемый вне сферы охвата основанной на стандарте ISO/IEC 27001 СМИБ, но в рамках стратегического управления.

Настоящий стандарт применим в организациях любого типа и размера.

Все ссылки на СМИБ в этом документе относятся к СМИБ, созданной на основе стандарта ISO/IEC 27001.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Структура документа и его использование
6. Стандарты стратегического управления и оперативного управления (менеджмента)
7. Стратегическое управление организацией и стратегическое управление информационной безопасностью
8. Требования руководящего органа к системе менеджмента информационной безопасности (СМИБ)
Приложение A: Взаимосвязь между стратегическим управлением ИТ и стратегическим управлением информационной безопасностью
Приложение B: Типы организации СМИБ
Приложение C: Примеры распространения информации
Библиография

Источник: сайт ИСО
https://www.iso.org/news/ref2604.html
https://www.iso.org/standard/74046.html
https://www.iso.org/obp/ui/#!iso:std:74046:en