» ПУБЛИКАЦИИ

Новият ISO 27001:2013 – две в едно: либерализация и хармонизация
Славчо Ненков – 12.02.2103

Новината за публикуване на драфта на новата версия на стандарта ISO/IEC 27001:2013 беше посрещната от мен с огромен интерес, така както убеден съм и от останалите колеги, работещи в областта на сигурността на информацията. Имаше очаквания за сериозни промени в стандарта. Най-екзотично за мен беше очакването да бъде премахнат Анекс А и изборът на контроли да бъде оставен изцяло на преценката на внедряващите организации. Ето и впечатленията ми след прочита на драфта:

Основната промяна на стандарта за мен е в посока Либерализация. Е, Анекс А е все още на мястото си (и слава богу, не винаги интерпретацията е най-доброто решение, особено когато консултантите бързат с внедряването ... :)), но пък има достатъчно промени в този дух. Ето основните:

Няма ги задължителните документирани процедури
В старата версия на стандарта съществува изискването за четири задължителни документирани процедури, а именно: за управление на документи, за вътрешни одити, за коригиращи действия, за превантивни действия. В новата драфт версия липсва такова изискване.

Липсва списък със задължителните документи на СУСИ
В старата версия на стандарта клауза 4.3.1 съдържа списък със задължителните документи на СУСИ. Драфтът на новата версия не съдържа такъв детайлен списък със задължителни документи.

Либерализация при оценката на риска
За разлика от сега действащата версия на стандарта ISO/IEC 27001:2005, новата драфт версия не съдържа изскването за наличие на документирана методика за оценка на риска. Има изискване за предварително дефиниране на процеса за оценка на риска, но липсва имплицитно изискване за документиране.
Още по-голяма е либерализацията при определяне методиката за оценка на риска. Активите, уязвимостите и заплахите не са фиксирани като основа за оценка на риска, съществува само изискване за идентифициране на рисковете, свързани с конфиденциалността, наличността и целостта. Как – това е оставено на преценката на внедряващата организация. Последствията/въздействието и вероятността остават основа за определяне нивата на риска.

Липсва фокусът върху превантивни действия
В драфт версията на стандарта липсва клаузата за превантивни действия. Акцентът е насочен върху разграничаване на термините корекция и коригиращо действие.

Втората видима промяна в драфт версията на ISO/IEC 27001:2013 е хармонизацията с изискванията на Анекс SL на ISO/IEC Директивите от 2012 г. Структурата на стандарта е обновена, съдържа вече 11 клуази и познатия Анекс А, и съответства на препоръчваната от ISO/IEC Директивите структура. Впрочем промяна в тази посока очакват и други стандарти, отнасящи се до системи за управление – например ISO 9001, ISO 20000-1 и други.
Освен структурата на стандарта, духът на цялостното му съдържание е насочен към хармонизация с изискванията на останалите стандарти за системи за управление и по-добра интеграция в общия управленски процес.

Другите по-съществени промени в стандарта са свързани с посочените по-долу области:
Въведен е терминът “leadership”, който значително доближава разбирането за ръководство до духа и принципите на стднарта ISO 9001:2008.
Въведен е терминът „заинтересовани страни“, към които се отнасят клиенти, доставчици, партньори, законови и регулаторни органи и други. Заинтересованите страни следва да будат идентифицирани и описани от организацията.
В новата драфт версия е използвана концепцията за „документирана информация“, която обединява термините документи и записи. Като цяло основните изисквания към документи и записи от сегашната версия на стандарта са запазени.
На мястото на познатото „собственик на актив“ е въведено понятието „собственик на риск“, което препраща към стандарта ISO 31000 и разглежда процеса за управление на ниво риск. Този стандарт е адресиран и при определяне на принципите, към които следва да се приведе оценката и третирането на риска.
Определени са по-ясни и конкретни правила по отношение на дефиниране на целите, реда за измерването им и анализа и оценката на резултатите.
Създадена е нова клауза Комуникация, отнасяща се до задълженията по отношение на комуникикациите, свързани със сигурността на информацията във и извън организацията.

Промените в Анекс А на стандарта не са революционни и са свързани предимно с промяна в броя на механизмите за контрол и групите механизми за контрол, разпределението на механизмите за контрол по групи и редактиране на досегашното съдържание на някои от тях.
Общият брой групи от механизми за контрол в Анекс А е 14 вместо досегашните 11 като в тях са разпределни 113 механизма за контрол вместо досегашните 133.
От сега съществуващата версия на стандарта се предвижда да отпаднат 29 механизма за контрол (А.6.1.1, А.6.1.4, А.6.2.1, А.6.2.2, А.10.2.1, А.10.4.2., А.10.7.4, А.10.8.5, А.10.9.3, А.10.10.2, А.10.10.5, А.11.4.2, А.11.4.3, А.11.4.4, А.11.4.6, А.11.4.7, А.11.5.2, А.11.5.5, А.11.5.6, А.11.6.2, А.12.2.1, А.12.2.2, А.12.2.3, А.12.2.4, А.12.5.4, А.14.1.2, А.14.1.4, А.15.1.5, А.15.3.2).
Включени са 9 нови механизмa за контрол както следва:
- А.6.1.4 Information security in project management
- A.12.6.2 Restrictions on software installation
- A.14.2.1 Secure development policy
- A.14.2.5 System development procedures
- A.14.2.6 Secure development environment
- A.14.2.8 System security testing
- A.16.1.4 Assessment and decision of information security events
- A.16.1.5 Response to information security incidents
- A.17.2.1 Availability of information processing facilities

Основният резултат от направените промени в новата драфт версия на ISO/IEC 27001 (либерализацията) е увеличаване свободата на прилагането му при внедряване. По този начин се увеличава отговорността на консултантите/внедрителите на СУСИ за сметка на все по-рамковите изисквания на стандарта. Разбира се ако това не се приеме като възможност стандартът да се чете както дяволът чете евангелието (разбирай като възможност за минимизиране на работата по внедряването), което за съжаление е факт при други стандарти.
Другият важен резултат от промените (харминизирането) е възможност за още по-добро интегриране на СУСИ с другите системи за управление в организацията.

Архив публикации:

1. Какво ново в сериите стандарти ISO 27000, ISO 20000 и ISO 22300 (бизнес непрекъсваемост)? - от Славчо Ненков
2. ISO 20000 - Трудно ли е да се внедри система за управление на ИТ услугите? - от Славчо Ненков
3. Как да се справим с вътрешни заплахи - от Деян Кошутич
4. Петте най-големи мита за ISO 27001 - от Деян Кошитич
5. Планиране на бизнес непрекъсвамеостта - от Ник Орчистън
6. Пет тайни за сигурността, които ИТ администраторите не искат да знаете - от Филип Либерман
7. Консултиране по ISO 9001 - Как да извлечете полза, работейки с консултант по ISO 9001 - от Артър Луис
8. Възстановяване след бедствие или непрекъсваемост на бизнеса - от Пол Е. Муур
9. ISO 20000: Изборът на подходящия процес за внедряване - от Изабел Перон.
10. Прилики и разлики между ISO 27001 и BS 25999-2 - от Деян Кошутич
11. Управление на риска в информационните технологии - от Алан Калдър
12. "Облачните" компютърни услуги и ISO 27001 / BS 25999 - от Деян Кошутич
13. Абонаментна поддръжка на системи за управление (ISO системи) - от Славчо Ненков
14. Използвайте ISO 22301, за да подпомогнете развитието на вашата система за управление на риска - от Чарлз Рединджър