ISO готовит еще один интересный стандарт "Information technology -- Security techniques -- Information security for supplier relationships", посвященный вопросам взаимоотношений с поставщиками продуктов и услуг. Он будет иметь номер 27036. Интересно, что еще несколько месяцев назад данный стандарт назывался "Guidelines for security of outsourcing". Возможно авторы расширили сферу применения, а может быть сделают несколько частей одного стандарта, описывающие различные аспекты взаимоотношений с внешними поставщиками продуктов и услуг (собственно их уже две - вводная и с набором требований).
В феврале я показывал список проектов стандартов, которые готовятся в ПК27 Международной организации по стандартизации. И вот обновление этого списка - новый проект стандарта ISO 27040 "Information technology Security techniques -- Storage security" по безопасности систем хранения, а также ISO 27039 "Selection, deployment and operations of intrusion detection systems" и "IEC 62443-2-1:2010 Establishing an industrial automation and control system program" (должен был быть опубликован в прошлом октябре).
В ISO также разрабатывают стандарт ISO 27015, который является переложением 27001/27002 на финансовую отрасль. Однако Visa и MasterCard против этого стандарта. Первая компания считает, что проект стандарта не содержит много нужной информации (например, по платежным системам), а если ее туда добавить, то стандарт надо переносить в другой комитет ISO. И вообще Visa считает, что эту работу надо прекращать ;-) У MasterCard предложение такое же, но мотивация другая - мол, в финансовой отрасли и так полно регулирующих тему ИБ документов.
Посмотрим на результаты этих предложений. Обычно, начатая в ISO работа, просто так не завершается. Возможно все выльется в создание того, что также рекомендовала ISO - сделать из документа технический отчет (TR), который не является стандартом, но просто аккумулирует лучшие практики или описывает состояние дел в конкретной области. Вкратце так. Дойдут руки, опишу новые изменения и планы изменений в уже принятых и хорошо известных стандартах 27-й серии.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.