В настоящее время безопасность приобрела новое значение. Как защитить себя от риска потери, утечки данных, денег? Безусловно, помогут стандарты семейства ISO 27000, являющиеся основой надежной системы управления информационной безопасностью.

Новый стандарт ISO/IEC 27001 изменится в 2022 году. Переходный период для его внедрения в качестве обновления системы защиты информации (СУИБ) составит 36 месяцев. Это означает, что через 3 года органы по сертификации уже будут проводить аудиты в соответствии с новой версией стандарта ISO/IEC 27001:2022.

Семейство стандартов ISO 27000 обеспечивает
безопасность информационных ресурсов в каждой организации.

ISO/IEC 27001 и ISO/IEC 27002 являются широко известными стандартами и содержат требования к системе управления информационной безопасностью (ISMS). Их использование позволяет организациям управлять безопасностью активов, таких как финансовая информация, интеллектуальная собственность, данные сотрудников или информация, доверенная третьими лицами.

Новая версия ISO/IEC 27002:2022 была опубликована в феврале 2022 года.
Новая редакция ISO/IEC 27001:2022 также будет выпущена в ближайшее время.
Новые издания стандартов влекут за собой пересмотр и обновление нескольких стандартов семейства ISO/IEC 27000.

А как насчет остальной части семейства стандартов ISO 27000?

Обновления соответствующих стандартов серии ISO 27xxx (например, ISO 27017, 27018, 27701, 27799) в значительной степени зависят от даты их первоначального выпуска после стандартного 5-летнего цикла пересмотра. Как и в случае с ISO 27002, который был выпущен в 2018 году, это может занять еще 3–4 года, начиная с даты следующей редакции.

Ниже мы представляем обзор семейства стандартов ISO 27000, их статус и ожидаемые даты выпуска.

Обзор серии стандартов ISO 27000:

ИСО 27017:2015

ISO/IEC 27017 предоставляет руководство по принципам информационной безопасности, применимым к предоставлению и использованию облачных сервисов, обеспечивая:
– дополнительное руководство по внедрению соответствующих средств управления, изложенных в ISO/IEC 27002;
– дополнительные меры безопасности с руководством по внедрению, которое конкретно относится к облачным службам.
Эти рекомендации содержат рекомендации и рекомендации по внедрению как для поставщиков облачных услуг, так и для клиентов облачных вычислений.
Последний раз этот стандарт пересматривался и подтверждался в 2021 году. Поэтому эта версия остается в силе.

ISO 27018:2019

ISO /IEC 27018 устанавливает общепринятые цели безопасности, меры безопасности и рекомендации по реализации мер, позволяющих установить личную информацию (PII), в соответствии с принципами конфиденциальности ISO/IEC 29100 для среды общедоступных облачных вычислений.
Стандарт ISO 27018 содержит руководство, основанное на ISO/IEC 27002, с учетом нормативных требований к защите персональных данных, которые могут применяться в контексте риска информационной безопасности поставщика облачных услуг.
ISO 27018 применяется ко всем организациям, предоставляющим услуги по обработке информации в качестве обработчиков персональных данных посредством облачных вычислений по контрактам с другими организациями.
Руководство настоящего стандарта может также применяться к организациям, выступающим в качестве аудиторов PII. Однако на контролеров персональных данных могут распространяться дополнительные законы, положения и обязательства в отношении защиты персональных данных, которые не распространяются на организации, обрабатывающие персональные данные. Этот документ не предназначен для покрытия таких дополнительных обязательств.
Ожидает рассмотрения в 2024 году, поэтому может быть обновлено.

ISO 27701:2019

ISO/IEC 27701 является расширением ISO/IEC 27001 и ISO/IEC 27002 для управления конфиденциальной информацией. В нем излагаются требования, относящиеся к PIMS, и содержатся рекомендации для защиты PII и обработчиков PII, которые несут ответственность и несут ответственность за обработку PII. Стандарт ISO/IEC 27701 применяется ко всем организациям, которые являются контролерами персональных данных и/или обработчиками персональных данных, обрабатывающими персональные данные в рамках СМИБ.
Ждет проверки в 2024 году, тогда и выяснится будет ли обновляться.

ISO 27799:2016

ISO 27799 предоставляет руководство по организационным стандартам информационной безопасности и методам управления информационной безопасностью, включая выбор, внедрение и управление безопасностью с учетом риска информационной безопасности в организации.
Стандарт ISO 27799 предоставляет руководство по внедрению механизмов безопасности, описанных в ISO/IEC 27002, и дополняет их при необходимости, чтобы их можно было эффективно использовать для управления безопасностью медицинской информации. Внедрив ISO 27799:2016, организации здравоохранения и другие хранители медицинской информации смогут обеспечить минимально необходимый уровень безопасности, соответствующий их организационным условиям, и будут поддерживать конфиденциальность, целостность и доступность личных медицинских данных, находящихся в их ведении. .
Он применяется к медицинской информации во всех ее аспектах, независимо от формы информации (слова и цифры, звукозаписи, рисунки, видео и медицинские изображения), независимо от того, как она хранится (распечатывается или пишется на бумаге или хранится в электронном виде). , и любыми средствами, используемыми для ее передачи (вручную, по факсу, по компьютерным сетям или по почте), поскольку информация всегда надлежащим образом защищена.
ISO 27799 и ISO/IEC 27002 определяют требования к информационной безопасности для здравоохранения, но не определяют, как эти требования должны выполняться. Это означает, что ISO 27799:2016 максимально технологически нейтрален. Важной особенностью является нейтральность с точки зрения реализации технологии.
Знание ISO/IEC 27002 необходимо для понимания ISO 27799:2016. Однако некоторые области информационной безопасности не охватываются областью действия ISO 27799.

Это:
а) методологии и статистические тесты для эффективной анонимизации персональных данных о здоровье,
б) методологии псевдонимизации личной медицинской информации,
в) качество сетевых услуг. и методы измерения доступности сетей, используемых в медицинской информатике,
d) качество данных.
Стандарт ISO 27799 будет обновлен в 2025 году.

NEN 7510:2017

NEN — голландский фонд, специализирующийся на стандартизации, разработал стандарт NEN 7510 специально для информационной безопасности в здравоохранении. Стандарт распространяется на крупномасштабные конфиденциальные данные в сфере здравоохранения. Он был создан для того, чтобы пациенты и клиенты могли рассчитывать на безопасную обработку своих данных.
Стандарт NEN 7510 помогает поставщику медицинских услуг или поставщику услуг структурно организовать и улучшить информационную безопасность. В некоторых случаях использование стандарта даже является обязательным по закону.
Версия NEN 7510:2017 состоит из двух частей:
Часть 1 (NEN 7510-1) посвящена разработке СМИБ (системы управления информационной безопасностью): структурированного, основанного на оценке рисков подхода, гарантирующего доступность, целостность и конфиденциальность информации. Эта часть основана на стандарте ISO 27001.
Часть 2 (NEN 7510-2) сочетает в себе специальные элементы управления: они основаны на международных стандартах ISO/IEC 27002 и ISO 27799. По сравнению со стандартами ISO, эти стандарты NEN сосредоточены на в частности, о защите персональных данных о здоровье.
Ожидается выпуск ISO 27799, который, вероятно, будет обновлен в 2025 или 2026 году.

ISO/IEC 27004:2017

Стандарт ISO 27004 позволяет организациям оценивать показатели информационной безопасности и эффективность системы управления информационной безопасностью, чтобы соответствовать требованиям стандарта ISO/IEC 27001. В частности, он относится к:
а) мониторингу и измерению показателей информационной безопасности ,
б) мониторинг и измерение эффективности системы менеджмента информационной безопасности (СУИБ), включая ее процессы и средства защиты,
в) анализ и оценка результатов мониторинга и измерений.
Поскольку ISO/IEC 27004 тесно связан с ISO/IEC 27001, он будет обновлен через 2-3 года.

ISO/IEC 27005:2022

ISO 27005 содержит руководство по управлению рисками информационной безопасности. ISO/IEC 27005 является дополнением к ISO/IEC 27001 и ISO/IEC 27002. Стандарт содержит руководство, которое поможет вам:
– выполнить требования ISO/IEC 27001 в отношении действий, связанных с рисками информационной безопасности;
– выполнение действий, связанных с управлением рисками информационной безопасности, в частности, оценка и управление рисками информационной безопасности.
ISO 27705, которые предназначены для управления рисками, которые могут поставить под угрозу информационную безопасность организации. В настоящее время версия 2022 года находится в разработке и должна быть выпущена в конце этого года. Поэтому пока применяется версия стандарта 2018 года.

ISO/IEC 27006

Здесь следует упомянуть две части стандарта:
ISO/IEC 27006-1
ISO/IEC 27006-2
Обе части касаются требований к органам по сертификации и аудиту систем управления информационной безопасностью. Вторая часть посвящена системам управления конфиденциальной информацией.
ISO/IEC 27006-1 находится в стадии окончательного проекта, т. е. он будет опубликован в ближайшее время, в то время как  ISO/IEC 27006-2 находится в форме проекта, и его путь к публикации немного дольше, чем его первая часть. Пока обе части не опубликованы, по-прежнему применяется версия ISO/IEC 27006:2015, пересмотренная в 2020 году.

ISO/IEC 27007:2020

Стандарт ISO/IEC 27007 содержит рекомендации по управлению программой аудита системы управления информационной безопасностью (СУИБ), проведению аудитов и компетентности аудиторов СМИБ в дополнение к рекомендациям, содержащимся в ISO 19011.
Последняя редакция этого стандарта был опубликован в январе 2020 г., поэтому он будет пересмотрен и обновлен до 2025 г.

ISO/IEC 27008:2019

ISO/IEC 27008 — это руководство по рассмотрению и оценке внедрения и работы средств управления информационной безопасностью, включая техническую оценку механизмов безопасности информационной системы, в соответствии с требованиями информационной безопасности, установленными организацией, включая техническое соответствие критериям оценки, основанным на Требования к информационной безопасности, установленные организацией.
Актуальная версия от 2019 года. должны быть обновлены в 2024 году.

Есть еще много стандартов серии ISO 27001 . Их можно было бы перечислять долго, но все они относятся к конкретным областям двух базовых стандартов ISO/IEC 27001 и ISO/IEC 27002.

Технологии безопасности продолжают быстро развиваться, и темпы этих изменений теперь измеряются месяцами, а не годами. Напротив, стандарты серии ISO/IEC 27000, хотя и подлежат периодическому пересмотру, как ожидается, останутся актуальными в ближайшие годы. Не менее важно и то, что технологическая нейтральность дает поставщикам и поставщикам услуг свободу предлагать новые или разрабатывать технологии, отвечающие необходимым требованиям, описанным в стандартах серии ISO 27000.

Подписывайтесь на нас!
В ближайшее время мы опубликуем статьи об изменениях в стандарте ISO 27001 и о том, как обновить систему управления информационной безопасностью.