Новый стандарт в области информационных технологий ГОСТ Р ИСО/МЭК 27001-2021: есть проблема!
30 ноября 2021 г. утверждена новая версия известного стандарта на системы менеджмента информационной безопасности (СМИБ) ГОСТ Р ИСО/МЭК 27001-2021 со сроком введения 01 января 2022 г. (!) Стандарт имеет современную HLS-структуру, хорошо интегрируемую с другими стандартами на системы менеджмента (например, ИСО 9001). Из нового: введен уже известный по ИСО 9001 риск-ориентированный подход в отношении контекста и заинтересованных сторон и немного модернизировано Приложение А, являющееся основой главного документа СМИБ – «Заявления о применимости» (в старой версии использовался менее точный , но, на наш взгляд, больше отражающий суть) перевод названия этого документа: «Положение о применимости».
Освоение новой версии ИСО/МЭК 27001 не представляет проблему для ОС, знакомых со структурой HLS (High Level Structure), которая широко применяется с 2015 г. для выпуска новых версий стандартов ISO на системы менеджмента. Полагаем, что не ошибемся, если скажем, что с HLS-структурой знакомы все аккредитованные органы, поскольку построенный по этому принципу ИСО 9001 есть у всех в области аккредитации (как галстук на торжественном приеме).
Но все-таки проблема есть, как для органов по сертификации, так и для заявителей по этому стандарту.
Во-первых, стандарт введен в действие через месяц после утверждения. Это означает, что даже теоретически ни один орган по сертификации не мог бы получить право работать по нему сразу после утверждения, поскольку этого времени хватит только на рассмотрение заявки на изменение области деятельности ОС (и то – по нормативам ФСА, хотя в реальности срок превышается значительно).
Во-вторых, возникает «мертвая зона» для заявителей, которые могли готовиться к сертификации по старой версии, а после введения новой не имеют возможности сертифицироваться по старой в течение разумного переходного периода, как это было, например, при введении новых версий ИСО 9001, ИСО 22000 и др. известных стандартов на системы менеджмента. Переходный период составлял 2 года, которых заявителям вполне хватало и для модернизации систем менеджмента, и для получения на это время сертификата по старой версии. ВНИИСЕРТ запрашивал Росстандарт о наличии переходного периода, и получил официально отрицательный ответ (исх. № 910-ОГ/03 от 12.04.22г.), из которого следует необходимость оформления «документов о соответствии (сертификатов/деклараций о соответствии) требованиям действующих на конкретный момент времени документов национальной системы стандартизации».
Таким образом, стандартизация «опережающими темпами» под руководством ТК 362 «Защита информации» (который не мог не знать о возникновении такой коллизии при отсутствии временного интервала между утверждением и введением стандарта), создает проблему как для органов по сертификации, так и для потенциальных пользователей стандарта (заявителей на сертификацию), права которых на получение услуги, на наш взгляд, будут нарушены.