РОЗРОБКА МЕТОДОЛОГІЇ ОЦІНКИ ВІДПОВІДНОСТІ СТАНДАРТУ ISO 27001

Автор(и)

  • Курій Євгеній Олегович Кафедра захисту інформації Національного університету «Львівська політехніка» https://orcid.org/0000-0002-3423-5655
  • Сусукайло Віталій Андрійович Кафедра захисту інформації, Національний університет «Львівська політехніка» https://orcid.org/0000-0003-4431-9964
  • Опірський Іван Романович Кафедра захисту інформації, Національний університет «Львівська політехніка» https://orcid.org/0000-0002-8461-8996

DOI:

https://doi.org/10.18372/2410-7840.25.17938

Ключові слова:

інформаційна безпека, кібербезпека, ISO 27001, фреймворк інформаційної безпеки, система управління інформаційною безпекою, оцінка на невідповідність, аналіз на невідповідність

Анотація

Даний науковий документ пропонує розробку методології оцінки відповідності організацій новій версії стандарту ISO 27001, яка була представлена в кінці 2022 року. Висока значущість інформаційної безпеки в сучасному світі вимагає від компаній адаптувати свої практики та політики до нових вимог стандарту. Автори аналізують останні дослідження у галузі впровадження стандарту ISO 27001 та недоліки релевантних матеріалів для оцінки відповідності. Методологія включає аналіз нових вимог стандарту, порівняння їх із зіставленням існуючих практик організацій, визначення «гепів» (розривів/невідповідностей) між ними, розробку плану впровадження змін та моніторингу відповідності. Запропоновані рекомендації допоможуть організаціям забезпечити ефективний перехід на новий стандарт, мінімізувати ризики і зберегти високий рівень інформаційної безпеки. Ця методологія є актуальним інструментом для організацій, що прагнуть адаптувати свої практики і політики до нової версії стандарту ISO 27001 та підтримувати безпеку своєї інформації на високому рівні. Дана розробка враховує унікальні потреби організацій та сприяє їхньому успішному впровадженню нових практик і вимог інформаційної безпеки. Ця стаття має на меті допомогти читачам зрозуміти складність та важливість проведення початкової оцінки на невідповідність перед впровадженням стандарту та висвітлити ефективність застосування детального чекліста під час проведення аналізу на невідповідності. Для підтримки дослідження був проведений детальний аналіз літератури та статей, що стосуються впровадження стандарту ISO 27001 в організаціях.

Посилання

ISO/IEC 27001: Information Technology Security Techniques, Information Security Management Sys-tems Requirements. 2013. URL: https: //www.iso. org/standard/54534.html.

ISO/IEC 27002: Information Technology Security Techniques, Code of Practice for Information Secu-rity Controls. 2013. URL: https://www.iso.org/stan-dard/54533.html.

ISO Survey of Management System Standards re-veals 17% increase in certifications. 2020. URL: https:// www.quality . org /article / 2020-iso-survey-management-system-standards-reveals-17-increase-certifications.

ISO 27001 Gap Analysis. URL: https://www.itgovernance.co.uk/iso27001-gap-analysis.

Y. Kurii, I. Opirskyy, L. Bortnik ISO/IEC 27001: 2022, analysis of changes and compliance features of the new version of the standard // Materials of IXth International Scientific and Technical Conference in-formation protection and information systems securi-ty, May 25-26, 2023. Lviv, Ukraine, pp 15-17, ISBN 978-966-941-829-6.

MSECB Transition Policy on Management System Certification to ISO/IEC 27001:2022. URL: https: //msecb.com/wp-content/uploads/2023 / 01 / MS-ECB-Transition-Policy-on-MS-Certification-to-ISO-IEC-27001.pdf?utm_source=sendinblue&utm_ cam-paign=Clients%20ISOIEC%20270012022%20 Transi-tion%20Policy&utm_medium=email.

ISO 27001 2013 vs. 2022 revision. What has changed? URL: https: // advisera. com/ 27001academy/blog/ 2022/02/09/iso-27001-iso-27002/.

Pacaiova, H., Nagyova, A. Risk based thinking. New approach for modern enterprises’ management, Ad-vances in Intelligent Systems and ComputingVolume 783. 2019. pp. 524-5362019 AHFE International Con-ference on Human Factors, Business Management and Society, 2018 Orlando21, July 2018, thro¬ugh 25 July 2018, Code 215359.

Susukailo V., Opirsky I., Yaremko O. Methodology of ISMS Establishment Against Modern Cybersecuri-ty Threats. In: Klymash M., Beshley M., Luntovskyy A. (eds) Future Intent-Based Networking. Lecture Notes in Electrical Engineering, vol 831. 2022. Springer, Cham. https: // doi.org / 10.1007/ 978-3-030-92435-5_15.

What is an ISO 27001 internal audit? URL: https: / /www.vanta.com/glossary/iso-27001-internal-audit.

How to manage changes in an ISMS. URL: https: //advisera.com/27001academy/blog/2015/09 /14/ how-to-manage-changes-in-an-isms-according-to-iso-27001-a-12-1-2/.

##submission.downloads##

Опубліковано

2023-10-19

Як цитувати

Курій , Є., Сусукайло , В., & Опірський , І. (2023). РОЗРОБКА МЕТОДОЛОГІЇ ОЦІНКИ ВІДПОВІДНОСТІ СТАНДАРТУ ISO 27001. Захист інформації, 25(3), 132–139. https://doi.org/10.18372/2410-7840.25.17938

Номер

Том 25 № 3 (2023): Захист інформації

Розділ

Статті

Ліцензія

Науковий журнал дотримується принципів відкритого доступу (Open Access) та забезпечує вільний, негайний і постійний доступ до всіх опублікованих матеріалів без фінансових, технічних або юридичних обмежень для читачів.

Усі статті публікуються у відкритому доступі відповідно до ліцензії Creative Commons Attribution 4.0 International (CC BY 4.0).

Авторські права

Автори, які публікують свої роботи в журналі:

  • зберігають за собою авторські права на свої публікації;

  • надають журналу право на перше опублікування статті;

  • погоджуються на поширення матеріалів за ліцензією CC BY 4.0;

  • мають право повторно використовувати, архівувати та поширювати свої роботи (у тому числі в інституційних та тематичних репозитаріях) за умови посилання на первинну публікацію в журналі.