суббота, 5 июля 2025 г.

ИСО и МЭК: Опубликована новая редакция стандарта ISO/IEC 27031:2025 «Кибербезопасность - Готовность информационно-коммуникационных технологий к поддержке непрерывности деловой деятельности»

В мае 2025 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации новой редакции стандарта ISO/IEC 27031:2025 «Кибербезопасность - Готовность информационно-коммуникационных технологий к поддержке непрерывности деловой деятельности» (Cybersecurity - Information and communication technology readiness for business continuity) объёмом 40 страниц, см. https://www.iso.org/standard/27031 и https://www.iso.org/obp/ui/en/#!iso:std:80975:en

Стандарт подготовлен техническим подкомитетом ISO/IEC JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection).

Данный документ заменил предыдущую редакцию ISO/IEC 27031:2011, о которой см. мой пост https://rusrim.blogspot.com/2011/03/isoiec-270312011.html . Эта редакция была адаптирована в России как ГОСТ Р ИСО/МЭК 27031-2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса», http://protect.gost.ru/document.aspx?control=7&baseC=6&page=83&month=5&year=2014&search=&id=184904 .

Во вводной части документа отмечается:

Что представляет собой стандарт ISO/IEC 27031?

Стандарт ISO/IEC 27031 содержит рекомендации по обеспечению готовности информационно-коммуникационных технологий (ИКТ) к поддержке непрерывности деловой деятельности. Он описывает концепцию обеспечения готовности ИКТ, которая согласована с более широкими целями и задачами усилий по обеспечению непрерывности деловой деятельности, и помогает организациям предотвращать, реагировать и восстанавливаться после связанных с ИКТ чрезвычайных ситуаций, которые способны повлиять на критически-важную оперативную деятельность.

В чём важность стандарта ISO/IEC 27031?

В современном цифровом мире, организации очень сильно полагаются на ИКТ-системы в ходе оперативной деятельности, при оказании услуг и в плане поддержания доверия заинтересованных сторон. Перебои в работе этих систем, - возникающие по различным причинам, от кибератак до системных сбоев - могут повлечь за собой очень серьезные последствия. Стандарт ISO/IEC 27031 помогает организациям повышать жизнеспособность ИКТ, интегрируя планирование обеспечения готовности ИКТ в практики обеспечения непрерывности деловой и информационной безопасности. Стандарт помогает обеспечить возможность восстановления ИКТ-сервисов в согласованные сроки, защищая тем самым операции, репутацию и доверие клиентов. ИКТ-готовность охватывает не только внутренние системы, но также распространяется и на зависимости от услуг третьих сторон, таких как поставщики облачных услуг.

Польза от стандарта

Стандарт ISO/IEC 27031:

  • Поддерживает бесперебойную деловую деятельность во время перебоев в работе ИКТ;

  • Повышает согласованность между стратегиями в области ИКТ, безопасности и обеспечения непрерывности деловой деятельности;

  • Сокращает время на восстановление и потери данных вследствие инцидентов;

  • Повышает жизнеспособность организации и способствует укреплению доверия заинтересованных сторон;

  • Плавно интегрируется с практиками, описанными в стандартах ISO/IEC 27001 и ISO 22301 (это стандарты требований к системам менеджмента информационной безопасности и непрерывности деловой деятельности – Н.Х.).

… В настоящем документе описываются концепции и принципы обеспечения готовности информационно-коммуникационных технологий (ИКТ) к поддержке непрерывности деловой деятельности. Стандарт содержит концептуальную структуру методов и процессов для выявления и отбора подлежащих улучшению аспектов готовности ИКТ организации к поддержке непрерывности деловой деятельности.

Данный документ способствует достижению для ИКТ следующих целей в области обеспечения непрерывности деловой деятельности:

  • минимальная цель обеспечения непрерывности деловой деятельности (minimum business continuity objective, MBCO),

  • цель в отношении точки восстановления (recovery point objective, RPO),

  • цель в отношении времени восстановления (recovery time objective, RTO) как часть планирования для ИКТ поддержки непрерывности деловой деятельности.

Данный документ применим в организациях любого типа и размера.

В данном документе описывается, каким образом ИКТ-подразделения планируют и готовятся вносить свой вклад в цели по обеспечению жизнеспособности организации.

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Структура данного стандарта
6. Интеграция готовности ИКТ к поддержке непрерывности деловой деятельности (ICT readiness for business continuity, IRBC) в менеджмент обеспечения непрерывности деловой деятельности (BCM)
7. Деловые ожидания в отношении готовности ИКТ к поддержке непрерывности деловой деятельности (IRBC)
8. Определение предпосылок для усилий по обеспечению готовности ИКТ к поддержке непрерывности деловой деятельности
9. Определение стратегий обеспечения готовности ИКТ к поддержке непрерывности деловой деятельности
10. Определение плана обеспечения непрерывности деятельности для ИКТ
11. Тестирование, учения и аудит
12. Окончательное формулирование минимальной цели обеспечения непрерывности деловой деятельности (MBCO)
13. Обязанности высшего руководства в отношении оценки готовности ИКТ к поддержке непрерывности деловой деятельности (IRBC)
Приложение A: Сопоставление целей RTO и RPO с деловыми целями при восстановлении работоспособности ИКТ
Приложение B: Отчетность о рисках при анализе видов и последствий отказов (Failure Mode Effect Analysis, FMEA)
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/27031 
https://www.iso.org/obp/ui/en/#!iso:std:80975:en 

Комментариев нет:

Отправить комментарий