БДС ISO/IEC 27001:2014

Информационни технологии. Методи за сигурност. Системи за управление на сигурността на информацията. Изисквания (ISO/IEC 27001:2013)


БДС ISO/IEC 27001:2014 е стандарт за информационна сигурност. Той заменя ISO/IEC 27001: 2005. Това е спецификация за система за управление на информационната сигурност (СУИС). Организациите, които отговарят на стандарта могат да получат официален сертификат, издаден от независим и акредитиран орган за сертификация след успешно завършен формален процес на одит.

Този международен стандарт се отнася за всички видове организации (например търговски предприятия, правителствени агенции и организации с идеална цел). Този международен стандарт определя изискванията за създаване, внедряване, функциониране, наблюдение, преглед, поддържане и подобряване на документирана СУСИ с оглед на общия риск, свързан с дейността на организацията. Той определя изискванията за внедряване на механизми за контрол по сигурността, пригодени към потребностите на всяка организация или части от нея. Системата за управление на сигурността на информацията е предназначена, за да осигури избор на подходящи механизми за контрол по сигурността, които да защитават информационните активи и да дават увереност у заинтересованите страни. Изискванията, определени в този международен стандарт, са основни с цел да бъдат прилагани във всички организации без значение от вида, големината и дейността им.

БДС ISO/IEC 27001:2014 има десет кратки клаузи, плюс дълго приложение.

Тази структура отразява структурата на други нови стандарти за управление, като например ISO 22301 (за управление на непрекъснатостта на дейността). Това помага на организациите, които имат за цел да се съобразят с множество стандарти, за да се подобри тяхната IT от различни гледни точки. Приложения Б и В на БДС ISO/IEC 27001: 2006 са отстранени.

Промени спрямо стандарта от 2005 г.

Новият стандарт поставя по-голям акцент върху измерване и оценка на това колко добра е СУСИ на една организация и има нов раздел за аутсорсинг, което е отражение на факта, че много организации разчитат на трети лица за предоставяне на някои аспекти от него. Той не подчертава цикъла на Деминг (Plan-Do-Check-Act) , който е приет в БДС ISO/IEC 27001:2006. Могат да бъдат изпълнени други процеси за непрекъснато усъвършенстване като методите Six Sigma и DMAIC. По-голямо внимание се отделя на контекста на информационната сигурност на организацията, както и оценката на риска е променена. Като цяло, БДС ISO/IEC 27001:2014 е проектиран да се интегрира по-добре с други стандарти за управление като ISO 9000 и ISO/IEC 20000 и да има повече общо с тях.

Нови контроли:

  • A.6.1.5 Сигурност на информацията при управление на проекти
  • A.12.6.2 Ограничения при инсталиране на софтуер
  • A.14.2.1 Политика за сигурно разработване
  • A.14.2.5 Инженерни принципи за сигурни системи
  • A.14.2.6 Сигурна среда за разработване
  • A.14.2.8 Изпитване на сигурността на системата
  • A.15.1.1 Политика за сигурността на информацията при взаимоотношения с доставчици
  • A.15.1.3 Верига за доставки за информационни и комуникационни технологии
  • A.16.1.4 Оценяване на събития, свързани със сигурността на информацията, и вземане на решения за тях
  • A.16.1.5 Реакция на инциденти със сигурността на информацията
  • A.17.2.1 Готовност на средствата за обработване на информация

Контроли

Точка 6.1.3 описва как една организация може да отговори на рискове с план за тетиране на риска; важна част от това е да се изберат подходящи контроли. Тези контроли и целите на контрола, са изброени в приложение А, въпреки че също така е възможно по принцип организацииje да изберат друг вид контрол. В момента има 114 проверки в 14 групи; стария стандарт е имал 133 проверки в 11 групи.

  • A.5: Политики за сигурност на информацията (2 контроли)
  • A.6: Организиране на сигурността на информацията (7 контроли)
  • A.7: Сигурност на човешките ресурси - 6 контроли, които се прилагат преди, по време или след работа
  • А.8: Управление на активи (10 контроли)
  • A.9: Контрол на достъпа (14 контроли)
  • A.10: Криптография (2 контроли)
  • A.11: Физическа сигурност и сигурност на заобикалящата среда (15 контроли)
  • A.12: Сигурност на работата (14 контроли)
  • А.13: Сигурност на комуникациите (7 контроли)
  • A.14: Придобиване, разработване и поддържане на системи (13 контроли)
  • A.15: Взаимоотношения с доставчици (5 контроли)
  • A.16: Управление на инциденти със сигурността на информацията (7 контроли)
  • A.17: Аспекти на сигурността на информацията при управление на непрекъснатостта на дейността (4 контроли)
  • A.18: Съответствие (8 контроли)

Новите и обновените контроли отразяват промените в технологиите, които засягат много организации - например, Облачни услуги.