Основополагающий ИБ-стандарт получил обновление
Завершилась подготовка новой редакции ГОСТ Р ИСО/МЭК 27001 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования", одного из основополагающих национальных стандартов по управлению информационной безопасностью. Новая редакция ГОСТ Р ИСО/МЭК 27001 принята и утверждена.
Стандарт подготовлен ФСТЭК России при участии Государственного научно-исследовательского испытательного института проблем технической защиты информации ФСТЭК России совместно со специалистами "ИнфоТеКС". На сотрудников "ИнфоТеКС" легли основные работы по созданию текста проекта, организации его публичного обсуждения, доработки и подготовки к публикации.
"ИнфоТеКС" является одним из крупнейших вендоров отечественного рынка информационной безопасности, и наш успешный 30-летний опыт в индустрии мы не только трансформируем в высококонкурентные продукты, но и участвуем в формировании норм и регламентов, которые влияют и будут влиять на весь рынок ИБ. Мы активно участвуем в разработке документов национальной, межгосударственной и международной систем стандартизации в области криптографической защиты информации. Специалисты "ИнфоТеКС" также входят в состав экспертного совета Технического комитета 26 "Криптографическая защита информации", а с 2017 г. компания выполняет в ней секретарскую функцию", - отметил заместитель генерального директора "ИнфоТеКС" Дмитрий Гусев.
Международный стандарт ISO/IEC 27001, который лежит в основе ГОСТ Р ИСО/МЭК 27001, является основополагающим для более чем полусотни востребованных на практике международных стандартов серии ISO/IEC 270хх. Большая их часть была гармонизирована в России в рамках национальной программы "Цифровая экономика Российской Федерации", и с введением в действие актуальной редакции центрального стандарта значительно возрастает эффективность их применения.
"На экспертов компании "ИнфоТеКС" легла вся нагрузка по разработке национального стандарта, который явился результатом гармонизации международного стандарта ISO/IEC 27001. В 2018 году эксперт компании Владимир Голованов возглавил рабочую группу четыре (РГ4) "По работе с международными стандартами серии ISO/IEC 270хх" ТК362 "Защита информации", был разработан национальный стандарт, который являлся гармонизированным вариантом международного стандарта ISO/IEC 27001:2013. В ходе подготовки текста документа участники рабочей группы прошли череду итераций обсуждений в ТК362, после каждой из которых появлялось свыше 250 комментариев и правок различного плана. Эксперты ИнфоТеКС отвечали за подготовку окончательной редакции к утверждению", - ответили в пресс-службе "ИнфоТеКС" на вопрос ComNews о конкретном вкладе компании в разработку стандарта.
Разработка новой редакции ГОСТ Р ИСО/МЭК 27001 проходила в рамках плана работ технического комитета по стандартизации №362 "Защита информации" (ТК 362), членами которого, в частности, являются "ИнфоТеКС" и ГК InfoWatch.
"Данное обновление стандарта проведено в соответствии с ранее принятым международным (новой версией). Наша компания, как член ТК 362, участвовала в его оценке и голосовании. Зарубежные стандарты серии 27000 существуют не первый год, в том числе соответствующие им российские. Полагаю, что существенных изменений обновление ГОСТа на рынке ИБ не произведет. Коснется оно в первую очередь тех, кто прошел или собирается проходить аудит на соответствие этому стандарту", - отметил для ComNews директор экспертно-аналитического центра ГК InfoWatch Михаил Смирнов.
Действовавшая до настоящего времени редакция стандарта от 2006 г., соответствовавшая редакции оригинала 2005 г., значительно устарела и не позволяла специалистам опираться на нее в полной мере в своих практических работах. Обновленная редакция документа включает в себя перечень актуальных и востребованных на практике технологий управления информационной безопасностью, а также информацию о соответствующих современных технических средствах защиты информации.
В "ИнфоТеКС" отмечают, что все положения стандарта 2006 года были пересмотрены, а из общего у них сохранилось только то, что оба базируются на модели менеджмента "Деминга-Шухарта", однако в новой редакции и она претерпела изменения. В компании отмечают, что это также стандарт риск-ориентированного управления информационной безопасностью.
"Состав мер обеспечения ИБ, составляющий половину требований стандарта, полностью пересмотрен и включает в редакции оригинала от 2013г. уже не 10 разделов данных требований, а 15, которые более подробно раскрыты в другом "сателлитном" для ISO/IEC 27001:2013 стандарте –– ISO/IEC 27002. Последний уже был гармонизирован в РФ в форме идентичного международному на основе актуальной редакции от 2013 года. Основополагающий документ оставался устаревшим и не применялся в практике ведущих стран уже много лет. Указанное обстоятельство не позволяло использовать оба стандарта одновременно, хотя это предполагалось", - ответили в "ИнфоТеКС" на вопрос ComNews о внесенных изменениях и устаревших положениях прежнего стандарта.
"Как известно, в основе новой редакции ГОСТ Р ИСО/МЭК 27001 лежит международный стандарт ISO/IEC 2700, что позволяет использовать лучшие мировые практики для реализации задач, связанных с выбором и внедрением конкретных средств защиты информации, и задач построения корпоративных систем управления информационной безопасностью", - отметил директор по продажам собственных продуктов "Т1 Консалтинг" Александр Чигвинцев.
Руководитель отдела сертификации и лицензирования QRate Евгений Дуплякин, отвечая на вопрос ComNews о том, какие принципиально важные обновления внесены в новую редакцию стандарта заметил, что текст документа значительно переработан. Он также отметил, что компания QRate не принимала участие в разработке данного документа.
"В новой редакции учтены практические особенности управления информационной безопасностью, в том числе новые условия функционирования, возникающие в связи с последними тенденциями по обеспечению удаленной работы и динамическому изменению информационной инфраструктуры организаций. Формулировки и редакция в большей степени адаптированы для практического применения и снижают риск некорректного формального применения. Внесенные изменения однозначно повышают качество использования документа, что приведет к положительным результатам на практике", - добавил Евгений Дуплякин.
Работа по адаптации к отечественному рынку международного стандарта ISO/IEC 27001 завершает этап формирования блока взаимодополняющих национальных стандартов, отражающих лучшие признанные мировым профессиональным сообществом практики защиты информации - от управления информационными активами организации и обеспечения защиты сетей информационных технологий до разработки безопасного программного обеспечения.
"Новая редакция ГОСТ Р ИСО/МЭК 27001 несомненно окажет положительное влияние на рынок ИБ. Описанные в документе современные технологий управления ИБ, как разновидностью бизнес-процесса, помогут специалистам отрасли выстроить эффективные, прозрачные и непротиворечивые отраслевые решения", - заключает Александр Чигвинцев из "Т1 Консалтинг".