Стандарты ISO/IEC 27001 получили широкое распространение в связи с необходимостью защиты информации клиентов от кибератак. Новый опубликованный стандарт ISO/IEC 27009 позволил сделать еще один шаг к улучшению кибербезопасности и обещает стать помощником в адаптации требований стандарта ISO/IEC 27001 к конкретным отраслям производства.
Для минимизации вероятности несанкционированной утечки информации в новый стандарт ISO/IEC 27009 включены предложения по совершенствованию защиты информационной безопасности предприятия, учитывающие специфику отраслипредприятия (например, финансовой, транспортной,здравоохранения и т.д.). Международный стандарт ISO/IEC 27009 призван помочь разработчикам отраслевых стандартов по информационной безопасности при консультировании и разработке рекомендацийпри создании отраслевых стандартов по информационной безопасности, дополняющих требования ISO/IEC 27001.
ISO/IEC 27009, «Информационные технологии — Методы обеспечения безопасности — Отраслевое применение ISO/IEC 27001 – Требования» станет частью серии стандартов ISO/IEC27000 и поспособствует повышению эффективности ISO/IEC27001. Новый стандарт ISO/IEC 27009 дает дополнительные пояснения по способу удовлетворения требований ISO/IEC 27001 и внедрению дополнительных отраслевых инструментов в дополнении к тем, которые упомянуты в ISO/IEC 27001.
По словам профессора ЭдвардаХамфриса, координатораISO/IECSC 27/WG 1 (рабочей группы, которая занималась разработкой стандарта), ISO/IEC 27001 – это международныйязык,используемый для управления информационной безопасностью, аISO/IEC 27009 повысит уровеньпонимания языкаразличными отраслями производства и поможет в разработке и формировании стандартов информационной безопасности и конфиденциальности для каждой конкретнойотрасли.
«Мы уже разработали несколько отраслевых стандартов, такие как ISO/IEC 27011 для операторов связи, ISO/IEC 27017 для облачных сервисов и ISO/IEC 27019 для энергетической отрасли. Эти стандарты являются примерами, в которых с учетом специфики отраслей были определены дополнительные к указанным в ISO/IEC 27001 средства по обеспечению информационной безопасности. При разработке этих стандартов, стало ясно, что наличие согласованной структуры и общего языка, основанного наISO/IEC 27001, а также руководства сделало бы создание будущих стандартов для конкретных отраслей более эффективным и помогло избежать дублирования.»
“ISO/IEC 27009 дает гарантию, что новые и существующие пересмотренныеотраслевые стандарты по информационной безопасности будут полностью отвечать требуемому ISO/IEC 27001 подходу. Таким образом, ISO/IEC 27009 будет служить дополнением, уточнением и толкователем требований ISO/IEC 27001, будет давать рекомендации о том, как добавить, уточнить или интерпретировать требования ISO/IEC 27001 и как добавить или изменить руководство по применению ISO/IEC 27002 для использования в конкретном секторе “.
Источник: www.iso.org
