»
НОВИНИ
Международната организация по стандартизация ISO публикува новата версия на стандарта ISO / IEC 27002:2022 - Information security, cybersecurity and privacy protection - Information security controls. Извършени са промени в механизмите за управление, приложими към системи за управление на сигурността на информацията, като са дефинирани концептуално нови групи механизми за управление.
---------------------------
Международната организация по стандартизация ISO публикува новата версия на стандарта ISO 22301:2019 - Security and resilience - Business continuity management systems - Requirements. Стандартът е приведен към ISO High Level Structure.
------------------
Международната организация по стандартизация ISO публикува новата версия на стандарта ISO/IEC 27005:2018 - Information technology - Security techniques - Information security risk management. Стандартът е приведен в съвответствие със стандарта ISO/IEC 27001:2013.
----------------------------
Международната организация по стандартизация ISO публикува новата версия на стандарта ISO 19011:2018 Guidelines for auditoing management systems
-----------------------------
Международната организация по стандартизация ISO публикува новата версия на стандарта ISO 31000:2018 - Risk management - Guidelines
----------------------------
Международната организация по стандартизация ISO публикува няколко нови версии на стандарти, както и нови стандарти от началото на 2016 година:
ISO/IEC 27000:2016 - Information technology - Security techniques - Information security management systems - Overview and vocabulary
ISO/IEC 27003:2017 - Information technology - Security techniques - Information security management system implementation guidance
ISO/IEC 27004:2016 - Information technology - Security techniques - Information security management – Measurement
ISO/IEC 27009:2016 - Information technology - Security techniques - Sector-specific application of ISO/IEC 27001 - Requirements
ISO/IEC TR 27011:2016 - Information technology - Security techniques - Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations
ISO/IEC WD 27034-6:2016 - Application security - Part 6: Security guidance for specific applications
ISO/IEC 27035-1:2016 - Information technology - Security techniques - Information security incident management - Part 1: Principles of incident management
ISO/IEC 27035-2:2016 - Information technology - Security techniques - Information security incident management - Part 2: Guidelines to plan and prepare for incident response
ISO/IEC 27036-4:2016 - Information technology - Security techniques - Information security for supplier relationships - Part 4: Guidelines for security of outsourcing
ISO/IEC 27050-1:2016 - Information technology -- Security techniques - Electronic discovery - Part 1: Overview and concepts
ISO/IEC 27799:2016 - Health informatics -- Information security management in health using ISO/IEC 27002
-------------------------------
От началото на 2015 година Международната организация по стандартизация ISO публикува 3 нови стандарта от групата стандарти ISO/IEC 27000:
ISO / IEC 27039: 2015 Information technology - Security techniques - Selection, deployment and operations of intrusion detection systems осигурява насоки за подпомагане на организациите при подготовката за разполагане на системи за откриване и предотвратяване на опити за проникване (IPDS). В частност, той се занимава с подбор, разполагане и функциониране на IPDS решения.
ISO/IEC 27040:2015 - Information technology - Security techniques - Storage security - стандартът осигурява подробни технически указания за това как организациите могат да определят подходящо ниво за намаляване на риска чрез използване на доказан и последователен подход към планирането, проектирането, документирането и прилагането на сигурност при устройствата за съхранение на данни. ISO/IEC 27040:2015 осигурява преглед на концепции за сигурност на устройства за съхранение на информация и свързаните определения. Той включва насоки относно аспектите на заплахи, проектиране и контрол, свързани с типични сценарии за съхранение на данни и технологичните области за устройствата за съхранение. В допълнение стандартът предлага препратки към други международни стандарти и технически доклади, които разглеждат съществуващите практики и техники, които могат да се прилагат с цел безопасност при съхранение на информация.
ISO/IEC 27043:2015 - Information technology - Investigation principles and processes - стандартът осигурява насоки, основани на идеализирани модели за изследване на общите процесите за разследване на инциденти при различни сценарии за разследване на инциденти, включващи цифрови доказателства. Това включва процеси от подготовката преди инцидент до приключване на разследването, както и всякакви общи съвети и бележки за такива процеси. Ръководството описва процеси и принципи, приложими към различни видове разследвания, включително, но не само, неоторизиран достъп, повреждане на данни, системни сривове или корпоративни нарушения на сигурността на информацията, както и всякакви други цифрови разследвания.
-------------------------------
Management Systems Consulting Services (MSCServices) Ltd. сключи договор с международната организация за сертификация на персонал Professional Evaluation and Certification Board (PECB) , Montreal и получи правата на Акредитиран партньор за обучение на PECB. Така MSCServices Ltd. получи правото да организира обучения на PECB на територията на България. Преминалите обучение и изпит получават сертификат на PECB, носещ логото на Американската акредитационна служба ANSI.
-------------------------------
Международната организация за стандартизация (ISO) публикува няколко някои нови стандарти и версии на стандарти от групите ISO 9000, ISO 20000, ISO 31000.
Стандартът ISO/IEC TR 90006:2013 Information technology - Guidelines for the application of ISO 9001:2008 to IT service management and its integration with ISO/IEC 20000-1:2011 предоставя ръководство за приложението на ISO 9001:2008 при управление на ИТ услуги. Допълнително ISO/IEC TR 90006:2013 осигурява ръководство за привеждане в съответствие и интеграция на СУК и СУУ в организации, където услугите се предоставят на вътрешни или външни потребители.
Стандартът ISO/IEC TR 20000-5:2013 Information technology - Service management - Part 5: Exemplar implementation plan for ISO/IEC 20000-1 e примерен план за внедряване, осигуряващ ръководство за това как да внедрим система за управление на услугите (СУУ), за да изпълним изискванията на ISO/IEC TR 20000-1:2011.
Стандартът ISO/IEC TR 20000-10:2013 Information technology - Service management - Part 10: Concepts and terminology предоставя преглед на концепциите и терминологията на ISO/IEC 20000. Той предоставя обща рамка в помощ на организациите да разберат целите на всички части на ISO/IEC 20000 и взаимовръзките между частите.
Стандартът
ISO/TR 31004:2013 Risk management - Guidance for the implementation of ISO 31000 предоставя на организациите ръководство за ефективно управление на риска чрез внедряване на ISO 31000:2009. Стандартът може да бъде използване от всяка публично, частна или обществено предприятие, сдружение, група или лице.
--------------
Международната организация за стандартизация (ISO) публикува новите версии на стандартите
ISO/IEC 27001:2013 и
ISO/IEC 27002:2013. Сертифицираните организации имат двегодишен срок за преминаване от ISO/IEC 27001:2005 кън новата версия на стандарта.
-------------
Международната организация за стандартизация (ISO) публикува два нови стандарта от групата стандартиISO/IEC 27000. 45 други стандарта са в процес на разработка или преразглеждане.
ISO/IEC TR 27019:2013 Information technology - Security techniques - Information security guidelines based on ISO/IEC 27002 for process control system specific to the energy utility industry предоставя ръководни принципи, базирани на ISO/IEC 27002 за управление на сигурността на информацията, приложимо към системи за управление на процеси, използвани в ютилити индустрията. Целта на ISO/IEC TR 27019:2013 е да доразвие групата от стандарти ISO/IEC 27000 в областта на системите за управление на процесите и технологиите за автоматизация, което позволява на ютилити индустрията да въведе стандартизирана система за управление на сигурността на информацията (СУСИ) в съответствие с ISO/IEC
27001, която се простира от бизнес нивото до нивото за управление на процесите.
Обхватът на ISO/IEC TR 27019:2013 покрива системите за управление на процеси, използвани от ютилити индустрията за управление и наблюдение на производството, преноса, съхранението и разпределението на електрическата енергия, газ и топлинна енергия в комбинация с управлението на спомагателните процеси.
ISO/IEC 27033-5:2013 Information technology - Security techniques - Network security - Part 5: Securing communications across networks using Virtual Private Networks (VPNs) дава указания за избор, внедrяване и наблюдение на технически механизми за контрол, необходими за обезпечаване на сигурността на мрежата при използване на връзки чрез виртуални частни мрежи (VPN) за свързване между мрежи и свързване на отдалечени потребители към мрежи.
--------------
Международната организация за стандартизация (ISO) публикува нов стандарт от групата стандарти
ISO/IEC 27000. Стандартът ISO/IEC 27014:2013 Information technology - Security techniques - Governance of information security предоставя насоки за концепции и принципи за управление на сигурността на информацията, чрез които организацията може да прецени, направлява, наблюдава и комуникира дейностите свързани със сигурността на информацията в организацията. Стандартът е приложим за всякакъв тип и размер организации.
Международната организация за стандартизация (ISO) публикува 6 нови стандарта от групата стандарти ISO / IEC 27000.
Стандартът ISO/IEC 27000:2012 "Information technology - Security techniques - Information security management systems - Overview and vocabulary" предлага общ преглед и речник за системи за управление на сигурността на информацията, които са предмет на цялата фамилия стандарти ISO 27000 и дефинира свързаните с това термини и определения.
Стандартът ISO/IEC 27013:2012 "Information technology - Security techniques -Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-
1"осигурява насоки за интегрирано внедряване на ISO/IEC 27001 и ISO/IEC 20000-1 за тези организции, които:
- внедряват ISO/IEC 27001 при вече внедрено ISO/IEC 20000-1;
- внедряват едновременно ISO/IEC 27001 и ISO/IEC 20000-1;
- интегрират съществуващи ISO/IEC 27001 и ISO/IEC 20000-1 системи за управление.
ISO 27013:2012 се фокусира изцяло върху интегрираното внедряване на ISO/IEC 27001 и ISO/IEC 20000-1.
Стандартът ISO/IEC TR 27015:2012 "Information technology - Security techniques -Information security management guidelines for financial services" предлага насоки по информационна сигурност допълващи механизмите за контрол определени в ISO/IEC 27002:2005 за иницииране, внедряване, поддържане и подобряване на сигурността на информацията в организации, предлагащи финансови услуги.
Стандартът ISO/IEC 27032:2012 "Information technology - Security techniques - Guidelines for cybersecurity" дава насоки за подобряване състоянието на киберсигурността, отчитайки уникалните аспекти на тази дейност и нейните зависимости от други области на сигурността, по-специално:
- сигурност на информацията
- мрежова сигурност
- интернет сигурност
- защита на критичната информационна инфраструктура.
Той обхваща базовите практики за сигурност за заинтерсованите лица в киберпространството.
Стандартът ISO/IEC 27033-2:2012 "Information technology - Security techniques - Network security - Part 2: Guidelines for the design and implementation of network security" дава насоки на организациите за планиране, създаване, внедряване и документмране на режовата сигурност.
Стандартът ISO/IEC 27037:2012 "Information technology - Security techniques - Guidelines for identification, collection, acquisition and preservation of digital evidence" предоставя насоки за специфични дейности при обработката на цифрови данни, такива като идентифициране, събиране, придобиване и запазване на евентуални цифрови доказателства, които могат да бъдат от доказателствена стойност.
Той дава насоки за физическите лица по отношение на често срещани ситуации, с които се сблъскват през целия процес на обработка на цифрови доказателства и подпомага организациите в техните дисциплинарни производства и за улесняване на обмена на евентуални цифрови доказателства с оправомощените органи.
-------------
Международната организация за стандартизация (ISO) публикува новия стандарт ISO 27010:2012 "Information technology - Security techniques - Information security management for inter-sector and inter-organizational communications." Стандартът дава указания в допълнение към насоките, дадени в групата стандарти ISO / IEC 27000 за внедряване на управлението на информационната сигурност в рамките на общности, споделящи информация. ISO / IEC 27010:2012 осигурява контрол и насоки, свързани с иницииране, внедряване, поддържане и подобряване на сигурността на информацията при междуорганизационни и междусекторни комуникации. ISO / IEC 27010:2012 е приложим за всички форми на обмен и споделяне на чувствителна информация, както публична, така и частна, на национално и международно ниво, както в рамките на същата индустрия или пазарен сектор, така и между секторите. По-точно, той може да се прилага за обмен и споделянена информация, свързани с предоставяне, поддържане и защита на критичната инфраструктура на организации или на държавната администрация.
---------------
В процес на разработка е нова версия на международния стандарт ISO/IEC 27001. Ето някои по-интересни очаквани изменения:
- Декларацията за приложимост ще бъде реферирана към Приложение А на стандарта
- Някои нови уточнения на изискванията към плана за третиране риска - планът трябва да включва всички рискове, включително приетите рискове
очаква се новата версия на стандарта ISO/IEC 27001 да бъде публикувана от Международната организация за стандартизация (ISO) в края на 2012 или началото на 2013 година.
---------------
Международната организация за стандартизация (ISO) публикува новия стандарт ISO 22301:2012 Societal security Business continuity management systems – Requirements, който ще замени популярния към момента BS 25999-2. Tой запазва всички основни принципи на BS 25999-2 като формулира по-ясно PDCA модела, въвежда структурата на стандартите ISO 9001, ISO 14001, ISO 27001 и прецизира редица изисквания.
---------------
Международната организация за стандартизация (ISO) публикува нова версия на стандарта ISO/IEC 20000-2:2012 - Information technology - Service management - Part 2: Guidance on the application of service management systems. Стандартът дава възможност на организации и частни лица да тълкуват ISO/IEC 20000-1 по-точно и, следователно, да го използуват по-ефикасно. Ръководството включва примери и предложения, които позволяват на организациите да тълкуват и прилагат ISO/IEC 20000-1, включително препратки към други части на ISO/IEC 20000 и други приложими стандарти.
----------------
Международната организация за стандартизация (ISO) публикува няколко нови стандарта от серията стандарти ISO 27000 през втората половина на 2011 година. Предтсавяме ги на Вашето внимание:
- ISO/IEC 27006:2011 - Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems
- ISO/IEC 27007:2011 - Information technology - Security techniques - Guidelines for information security management systems auditing
- ISO/IEC TR 27008:2011 - Information technology - Security techniques - Guidelines for auditors on information security controls
- ISO/IEC 27031:2011 - Information technology - Security techniques - Guidelines for information and communication technology readiness for business continuity
- ISO/IEC 27034-1:2011 - Information technology - Security techniques - Application security - Part 1: Overview and concepts
- ISO/IEC 27035:2011 - Information technology - Security techniques - Information security incident management.
В процес на разработка са 29 нови или обновени версии на стандарти от серията ISO 27000, които ще подпомогнат работата по специфични области от внедряването на системи за управление на сигурността на информацията.
-----------------
ISO/IEC 27005:2011 – новата версия на този стандарт за управление на риска за сигурността на информацията е вече публикуван и е на разположение на заинтересованите страни. Стандартът е отличен помощник за успешно решаване на една от най-отговорните задачи при внедряване и развитие на системите за управление сигурността на информацията – оценката и управ;ението на риска за сигурността на информацията.
Основните промени в новата версия на стандарта са свързани със синхронизацията му със сътандарта ISO 31000:2009 “Управление на риска. Принципи и указания”, както и по-добрата систематизация на съдържанието.
-----------------
Новият стандарт ISO/DIS 22301 Societal security Preparedness and continuity management systems – Requirements”, който ще замени популярния към момента BS 25999-2. се очаква да бъде публикуван в края на тази година. Изхождайки от драфта на новия стандарт, публикуван на BSI Draft Review website, той ще запази всички соновни принципи на BS 25999-2 като ще формулира по-ясно PDCA модела, ще въведе структурата на стандартите ISO 9001, ISO 14001, ISO 27001 и ще прецизира редица изисквания. Миграцията за сертифицираните организации по стандарта BS 25 999-2 към новия стандарт се очаква да бъде в рамките на две години.
ISO/DIS 22301 се очаква да бъде публикуван през месец ноември 2011 г.