17 октября 2017 года сайт Британского института стандартов (BSI) сообщил о публикации нового национального стандарта BS 7799-3:2017 «Системы менеджмента информационной безопасности – Руководство по управлению рисками информационной безопасности» (Information security management systems. Guidelines for information security risk management, см.
Ниже приведен перевод размещенного на сайте анонса. По сути дела британские специалисты таким образом выразили своё недовольство тем, что Международная организация по стандартизации затянула пересмотр соответствующего международного стандарта.
О чём этот стандарт?
В данном стандарта речь идет об управлении рисками применительно к информационной безопасности. Он охватывает все процессы, необходимые для управления рисками информационной безопасности.
Для кого этот стандарт?
Любая организация, располагающая какой-либо информацией (а вряд ли в природе существуют организации, вообще не имеющие дела с информацией :) – Н.Х.), может получить отдачу от использования данного стандарта, независимо от своего размера или направления деятельности. В плане ролей, стандарт будет использоваться:
- Руководителями, ответственными за стратегическое управление, менеджмент риска и исполнение законодательно-нормативных требований (governance, risk management, and compliance, GRC);
- Руководителями, отвечающими за обеспечение безопасности;
- Руководителями, отвечающими за оперативную деятельность,
- Аудиторами,
- Всеми, кто несет ответственность за исполнение в своих организациях требований нового европейского законодательства по защите персональных данных (General Data Protection Regulation, GDPR).
Данный стандарт закрывает пробел, возникший между опубликованным в 2011 году международным стандартом менеджмента рисков информационной безопасности ISO/IEC 27005:2011 «Информационные технологии - Методы и средства обеспечения безопасности - Менеджмент риска информационной безопасности» (Information technology - Security techniques - Information security risk management, см.
Мой комментарий: Первый стандарт адаптирован в России как ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» на основе старой редакции ISO/IEC 27005:2008 (см.
Как таковой, британский стандарт BS 7799-3:2017 обеспечивает крайне необходимую поддержку для внедрения ISO/IEC 27001:2013 и для всех отраслевых и прикладных применений этого стандарта.
Примечание: Стандарт BS 7799-3:2017 или его преемник будут действовать до тех пор, пока ИСО/МЭК не опубликует пересмотренную версию ISO/IEC 27005. В этом случае BS 7799-3 станет недействующим.
Источники: сайт BSI / сайт ИСО