Британский институт стандартов опубликовал руководство по менеджменту рисков информационной безопасности BS 7799-3:2017 взамен ISO/IEC 27005:2011

17 октября 2017 года сайт Британского института стандартов (BSI)  сообщил о публикации нового национального стандарта BS 7799-3:2017 «Системы менеджмента информационной безопасности – Руководство по управлению рисками информационной безопасности» (Information security management systems. Guidelines for information security risk management, см. https://shop.bsigroup.com/ProductDetail?pid=000000000030354572 ).

Ниже приведен перевод размещенного на сайте анонса. По сути дела британские специалисты таким образом выразили своё недовольство тем, что Международная организация по стандартизации затянула пересмотр соответствующего международного стандарта.

О чём этот стандарт?

В данном стандарта речь идет об управлении рисками применительно к информационной безопасности. Он охватывает все процессы, необходимые для управления рисками информационной безопасности.

Для кого этот стандарт?

Любая организация, располагающая какой-либо информацией (а вряд ли в природе существуют организации, вообще не имеющие дела с информацией :) – Н.Х.), может получить отдачу от использования данного стандарта, независимо от своего размера или направления деятельности. В плане ролей, стандарт будет использоваться:

• Руководителями, ответственными за стратегическое управление, менеджмент риска и исполнение законодательно-нормативных требований (governance, risk management, and compliance, GRC);
• Руководителями, отвечающими за обеспечение безопасности;
• Руководителями, отвечающими за оперативную деятельность,
• Аудиторами,
• Всеми, кто несет ответственность за исполнение в своих организациях требований нового европейского законодательства по защите персональных данных (General Data Protection Regulation, GDPR).
  

Почему Вам следует использовать этот стандарт?

Данный стандарт закрывает пробел, возникший между опубликованным в 2011 году международным стандартом менеджмента рисков информационной безопасности ISO/IEC 27005:2011 «Информационные технологии - Методы и средства обеспечения безопасности - Менеджмент риска информационной безопасности» (Information technology - Security techniques - Information security risk management, см. https://www.iso.org/standard/56742.html ) и опубликованным в 2013 году пересмотренным стандартом ISO/IEC 27001 «Информационные технологии - Методы и средства обеспечения безопасности - Системы менеджмента информационной безопасности - Требования» (Information technology - Security techniques - Information security management systems – Requirements, см. https://www.iso.org/standard/54534.html и https://www.iso.org/obp/ui/#!iso:std:54534:en ).

Мой комментарий: Первый стандарт адаптирован в России как ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» на основе старой редакции ISO/IEC 27005:2008 (см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=169502 ); второй – как ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», также на основе устаревшей редакции ISO/IEC 27001:2005 (см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=121123 ). Как я уже сообщала (см. https://rusrim.blogspot.ru/2017/11/2018.html ), ГОСТ на основе действующей редакции ISO/IEC 27001 предполагается подготовить в 2018 году.

Как таковой, британский стандарт BS 7799-3:2017 обеспечивает крайне необходимую поддержку для внедрения ISO/IEC 27001:2013 и для всех отраслевых и прикладных применений этого стандарта.

Примечание: Стандарт BS 7799-3:2017 или его преемник будут действовать до тех пор, пока ИСО/МЭК не опубликует пересмотренную версию ISO/IEC 27005. В этом случае BS 7799-3 станет недействующим.

Источники: сайт BSI / сайт ИСО
https://shop.bsigroup.com/ProductDetail?pid=000000000030354572