Новый ISO 27001:2013 - два в одном: либерализация и гармонизация
Славчо Ненков – 12.02.2013
Славчо Ненков – 12.02.2013
Новость для публикации проекта новой версии стандарта ISO / IEC 27001:2013 я встретил с большим интересом как его ожидали и другие коллеги работающие в области информационной безопасности. Существовали ожидания для серьезных изменений в стандарте. Самое экзотическое для меня было ожидание об удалении Анекса А, оставляя решение о выборе средтсв управления информационной безопасностью полностью на усмотрение консультанта (внедряющей организации). Вот мои впечатления после прочтения проекта стандарта:
Основное изменение стандарта для меня направлено в сторону либерализации. И не смотря на то что Анекс А еще находится на своем месте (к счастью, не всегда интерпретация является лучшим решением, особенно когда консультанты спешат с внедрением системы ... :)), есть достаточно изменений в этом духе. Вот основные:
Отсуствуют требования об обязательных документированных процедур
В старой версии стандарта существует требование для наличии четырех обязательных документированных процедур, а именно: управление документами, внутренные аудиты, корректирующие действия, предупреждающие действия. В проекте новой версии стандарта отсутствует такое требование.
Отсуствует перечень обязательных документов СУИБ
В старой версии стандарта пункт 4.3.1 содержит перечень обязательных документов СУИБ. Проект новой версии стандарта не содержит такого подробного списка обязательных документов.
Либерализация в оценке риска
В отличие от действующей версии стандарта ISO / IEC 27001:2005, проект новой версии не содержит требования о наличии документированной методологии для оценки риска. Существует требование для предварительного определения процесса оценки риска, но нет безусловного требования о документировании.
Еще больше либерализация в определении методологии для оценки риска. Активы, угрозы и уязвимости здесь не фиксированы как основа для оценки риска, существует только требование для идентификации рисков, связанных с конфиденциальностью, доступностью и целостностью информации. Как – это решает внедряющая организация. Последствия/воздействие и вероятность остаются основой для определения уровней риска.
Отсуствует акцент на предупреждающие действия
В проекте новой версии стандарта отсуствует пункт о предупреждающих действиях. Основное внимание сосредоточено на различие между терминами „коррекция“ и „корректирующее действие“, но пункт о предупреждающих действиях отсуствует.
Второе заметное изменение в проекте новой версии ISO/IEC 27001 - это гармонизация с требованиями Анекса SL ISO/IEC 2012 Директивы. Структура стандарта обновлена, содержит уже 11 пунктов и знакомий Анекс А, и соответствует структуре рекомендуемой ISO/IEC Директивой. В самом деле, такие изменения ожидают и другие стандарты, относящиеся к системам управления - такие, как ISO 9001, ISO 20000-1 и другие.
Кроме структуры стандарта, дух общего содержания тоже направлен на гармонизацию с требованиями других стандартов для систем управления и на лучшую интеграцию в общем процессе управления.
Кроме структуры стандарта, дух общего содержания тоже направлен на гармонизацию с требованиями других стандартов для систем управления и на лучшую интеграцию в общем процессе управления.
===========================================
www.mscservices.eu - Ваши ISO консультанты===========================================
Другие важные изменения в стандарте относятся к следующим областям:
Введен термин „leadership” который значительно приводит понимание руководства к духу и принципам стандарта ISO 9001:2008.
Введен термин "заинтересованные стороны", к которому относятся клиенты, поставщики, партнеры, законодательные и регулирующие органы и другие. Заинтересованные стороны должны быть идентифицираны и описаны со стороны организации.
В проекте новой версии использована концепция «документированная информация», которая включает в себе термины „документы“ и „записи“. В общем, основные требования к документам и записям в текущей версии стандарта сохранены.
На месте знакомого "владелец актива" введено понятие "владелец риска", которое ссылается на ISO 31000 и рассмотривает процесс на уровни рисков. Этот стандарт адресован и при определении принципов, к которым должны быть адаптированы оценка рисков и воздействие на риски.
Определены более конкретные и четкие правила для определения целей, процедуры для их измерения, анализа и оценки результатов.
Создан новый пункт „Коммуникации“, касающийся к обязательствам в отношении коммуникаций, связанные с безопасностью информации внутри и за пределами организации.
Введен термин „leadership” который значительно приводит понимание руководства к духу и принципам стандарта ISO 9001:2008.
Введен термин "заинтересованные стороны", к которому относятся клиенты, поставщики, партнеры, законодательные и регулирующие органы и другие. Заинтересованные стороны должны быть идентифицираны и описаны со стороны организации.
В проекте новой версии использована концепция «документированная информация», которая включает в себе термины „документы“ и „записи“. В общем, основные требования к документам и записям в текущей версии стандарта сохранены.
На месте знакомого "владелец актива" введено понятие "владелец риска", которое ссылается на ISO 31000 и рассмотривает процесс на уровни рисков. Этот стандарт адресован и при определении принципов, к которым должны быть адаптированы оценка рисков и воздействие на риски.
Определены более конкретные и четкие правила для определения целей, процедуры для их измерения, анализа и оценки результатов.
Создан новый пункт „Коммуникации“, касающийся к обязательствам в отношении коммуникаций, связанные с безопасностью информации внутри и за пределами организации.
Изменения в Анексе А стандарта не особо революционные и в основном связаны с изменениями в число средств контроля и группы средтсв контроля, с распределением средств контроля по группам и редактированием текущего содержания некоторых из них.
Общее количество груп средтв контроля в новой версии Анекса А уже 14 вместо нынешних 11. В группах распределены 113 средств контроля вместо нынешних 133.
Ожидается удаление 29 средств контроля из Анекса А текущей версии стандарта (A.6.1.1, A.6.1.4, A.6.2.1, A.6.2.2, A.10.2.1, A.10.4.2 ., A.10.7.4, A.10.8.5, A.10.9.3, A.10.10.2, A.10.10.5, A.11.4.2, A.11.4.3, A.11.4.4, A.11.4.6, A.11.4.7, A.11.5.2, A.11.5.5, A.11.5.6, A.11.6.2, A.12.2.1, A.12.2.2, А. 12.2.3, A.12.2.4, A.12.5.4, A.14.1.2, A.14.1.4, A.15.1.5, A.15.3.2).
Добавлены 9 новых средств контроля как следует:
- А.6.1.4 Information security in project management
- A.12.6.2 Restrictions on software installation
- A.14.2.1 Secure development policy
- A.14.2.5 System development procedures
- A.14.2.6 Secure development environment
- A.14.2.8 System security testing
- A.16.1.4 Assessment and decision of information security events
- A.16.1.5 Response to information security incidents
- A.17.2.1 Availability of information processing facilities- A.12.6.2 Ограничения на установку программного обеспечения
Общее количество груп средтв контроля в новой версии Анекса А уже 14 вместо нынешних 11. В группах распределены 113 средств контроля вместо нынешних 133.
Ожидается удаление 29 средств контроля из Анекса А текущей версии стандарта (A.6.1.1, A.6.1.4, A.6.2.1, A.6.2.2, A.10.2.1, A.10.4.2 ., A.10.7.4, A.10.8.5, A.10.9.3, A.10.10.2, A.10.10.5, A.11.4.2, A.11.4.3, A.11.4.4, A.11.4.6, A.11.4.7, A.11.5.2, A.11.5.5, A.11.5.6, A.11.6.2, A.12.2.1, A.12.2.2, А. 12.2.3, A.12.2.4, A.12.5.4, A.14.1.2, A.14.1.4, A.15.1.5, A.15.3.2).
Добавлены 9 новых средств контроля как следует:
- А.6.1.4 Information security in project management
- A.12.6.2 Restrictions on software installation
- A.14.2.1 Secure development policy
- A.14.2.5 System development procedures
- A.14.2.6 Secure development environment
- A.14.2.8 System security testing
- A.16.1.4 Assessment and decision of information security events
- A.16.1.5 Response to information security incidents
- A.17.2.1 Availability of information processing facilities- A.12.6.2 Ограничения на установку программного обеспечения
Основным результатом изменений в проекте новой версии ISO/IEC 27001 (либерализация) является увеличение свободы применения при построении систем. Таким образом увеличаетсч ответственность консультантов/внедрителей СУИБ за счет более общих требований стандарта. Конечно, это нельзя рассматриваться как возможность читать стандарт так как дьявол читает Евангелие (как возможность для минимизации работ по построению СУИБ), которое к сожалению уже случилось с некторыми стандартами (например ISO 9001).
Другим важным результатом изменения (гармонизация) является возможность для еще лучшей интеграции СУИБ с другими системами управления в организации.
Другим важным результатом изменения (гармонизация) является возможность для еще лучшей интеграции СУИБ с другими системами управления в организации.
www.mscservices.eu - Ваши ISO консультанты