РОЗРОБКА МЕТОДОЛОГІЇ ОЦІНКИ ВІДПОВІДНОСТІ СТАНДАРТУ ISO 27001

Автор(и)

  • Курій Євгеній Олегович Кафедра захисту інформації Національного університету «Львівська політехніка» https://orcid.org/0000-0002-3423-5655
  • Сусукайло Віталій Андрійович Кафедра захисту інформації, Національний університет «Львівська політехніка» https://orcid.org/0000-0003-4431-9964
  • Опірський Іван Романович Кафедра захисту інформації, Національний університет «Львівська політехніка» https://orcid.org/0000-0002-8461-8996

DOI:

https://doi.org/10.18372/2410-7840.25.17938

Ключові слова:

інформаційна безпека, кібербезпека, ISO 27001, фреймворк інформаційної безпеки, система управління інформаційною безпекою, оцінка на невідповідність, аналіз на невідповідність

Анотація

Даний науковий документ пропонує розробку методології оцінки відповідності організацій новій версії стандарту ISO 27001, яка була представлена в кінці 2022 року. Висока значущість інформаційної безпеки в сучасному світі вимагає від компаній адаптувати свої практики та політики до нових вимог стандарту. Автори аналізують останні дослідження у галузі впровадження стандарту ISO 27001 та недоліки релевантних матеріалів для оцінки відповідності. Методологія включає аналіз нових вимог стандарту, порівняння їх із зіставленням існуючих практик організацій, визначення «гепів» (розривів/невідповідностей) між ними, розробку плану впровадження змін та моніторингу відповідності. Запропоновані рекомендації допоможуть організаціям забезпечити ефективний перехід на новий стандарт, мінімізувати ризики і зберегти високий рівень інформаційної безпеки. Ця методологія є актуальним інструментом для організацій, що прагнуть адаптувати свої практики і політики до нової версії стандарту ISO 27001 та підтримувати безпеку своєї інформації на високому рівні. Дана розробка враховує унікальні потреби організацій та сприяє їхньому успішному впровадженню нових практик і вимог інформаційної безпеки. Ця стаття має на меті допомогти читачам зрозуміти складність та важливість проведення початкової оцінки на невідповідність перед впровадженням стандарту та висвітлити ефективність застосування детального чекліста під час проведення аналізу на невідповідності. Для підтримки дослідження був проведений детальний аналіз літератури та статей, що стосуються впровадження стандарту ISO 27001 в організаціях.

Посилання

ISO/IEC 27001: Information Technology Security Techniques, Information Security Management Sys-tems Requirements. 2013. URL: https: //www.iso. org/standard/54534.html.

ISO/IEC 27002: Information Technology Security Techniques, Code of Practice for Information Secu-rity Controls. 2013. URL: https://www.iso.org/stan-dard/54533.html.

ISO Survey of Management System Standards re-veals 17% increase in certifications. 2020. URL: https:// www.quality . org /article / 2020-iso-survey-management-system-standards-reveals-17-increase-certifications.

ISO 27001 Gap Analysis. URL: https://www.itgovernance.co.uk/iso27001-gap-analysis.

Y. Kurii, I. Opirskyy, L. Bortnik ISO/IEC 27001: 2022, analysis of changes and compliance features of the new version of the standard // Materials of IXth International Scientific and Technical Conference in-formation protection and information systems securi-ty, May 25-26, 2023. Lviv, Ukraine, pp 15-17, ISBN 978-966-941-829-6.

MSECB Transition Policy on Management System Certification to ISO/IEC 27001:2022. URL: https: //msecb.com/wp-content/uploads/2023 / 01 / MS-ECB-Transition-Policy-on-MS-Certification-to-ISO-IEC-27001.pdf?utm_source=sendinblue&utm_ cam-paign=Clients%20ISOIEC%20270012022%20 Transi-tion%20Policy&utm_medium=email.

ISO 27001 2013 vs. 2022 revision. What has changed? URL: https: // advisera. com/ 27001academy/blog/ 2022/02/09/iso-27001-iso-27002/.

Pacaiova, H., Nagyova, A. Risk based thinking. New approach for modern enterprises’ management, Ad-vances in Intelligent Systems and ComputingVolume 783. 2019. pp. 524-5362019 AHFE International Con-ference on Human Factors, Business Management and Society, 2018 Orlando21, July 2018, thro¬ugh 25 July 2018, Code 215359.

Susukailo V., Opirsky I., Yaremko O. Methodology of ISMS Establishment Against Modern Cybersecuri-ty Threats. In: Klymash M., Beshley M., Luntovskyy A. (eds) Future Intent-Based Networking. Lecture Notes in Electrical Engineering, vol 831. 2022. Springer, Cham. https: // doi.org / 10.1007/ 978-3-030-92435-5_15.

What is an ISO 27001 internal audit? URL: https: / /www.vanta.com/glossary/iso-27001-internal-audit.

How to manage changes in an ISMS. URL: https: //advisera.com/27001academy/blog/2015/09 /14/ how-to-manage-changes-in-an-isms-according-to-iso-27001-a-12-1-2/.

##submission.downloads##

Опубліковано

2023-10-19

Номер

Том 25 № 3 (2023): Захист інформації

Розділ

Статті

Ліцензія

Автори, які публікуються у цьому журналі, погоджуються з наступними умовами:

  1. Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution License, котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.

  2. Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.

  3. Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису роботи, як до подання цього рукопису до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access).