» ПУБЛИКАЦИИ

Новый ISO 27001:2013 - два в одном: либерализация и гармонизация
Славчо Ненков – 12.02.2013

Новость для публикации проекта новой версии стандарта ISO / IEC 27001:2013 я встретил с большим интересом как его ожидали и другие коллеги работающие в области информационной безопасности. Существовали ожидания для серьезных изменений в стандарте. Самое экзотическое для меня было ожидание об удалении Анекса А, оставляя решение о выборе средтсв управления информационной безопасностью полностью на усмотрение консультанта (внедряющей организации). Вот мои впечатления после прочтения проекта стандарта:

Основное изменение стандарта для меня направлено в сторону либерализации. И не смотря на то что Приложение А еще находится на своем месте (к счастью, не всегда интерпретация является лучшим решением, особенно когда консультанты спешат с внедрением системы ... :)), есть достаточно изменений в этом духе. Вот основные:

Отсуствуют требования об обязательных документированных процедур
В старой версии стандарта существует требование для наличии четырех обязательных документированных процедур, а именно: управление документами, внутренные аудиты, корректирующие действия, предупреждающие действия. В проекте новой версии стандарта отсутствует такое требование.

Отсуствует перечень обязательных документов СУИБ
В старой версии стандарта пункт 4.3.1 содержит перечень обязательных документов СУИБ. Проект новой версии стандарта не содержит такого подробного списка обязательных документов.

Либерализация в оценке риска
В отличие от действующей версии стандарта ISO / IEC 27001:2005, проект новой версии не содержит требования о наличии документированной методологии для оценки риска. Существует требование для предварительного определения процесса оценки риска, но нет безусловного требования о документировании.
Еще больше либерализация в определении методологии для оценки риска. Активы, угрозы и уязвимости здесь не фиксированы как основа для оценки риска, существует только требование для идентификации рисков, связанных с конфиденциальностью, доступностью и целостностью информации. Как – это решает внедряющая организация. Последствия/воздействие и вероятность остаются основой для определения уровней риска.

Отсуствует акцент на предупреждающие действия
В проекте новой версии стандарта отсуствует пункт о  предупреждающих действиях. Основное внимание сосредоточено на различие между терминами „коррекция“ и „корректирующее действие“, но пункт о предупреждающих действиях отсуствует.

Второе заметное изменение в проекте новой версии ISO/IEC 27001 - это гармонизация с требованиями Приложения SL ISO/IEC 2012 Директивы. Структура стандарта обновлена, содержит уже 11 пунктов и знакомое Приложение А, и соответствует структуре рекомендуемой ISO/IEC Директивой. В самом деле, такие изменения ожидают и другие стандарты, относящиеся к системам управления - такие, как ISO 9001, ISO 20000-1 и другие.
Кроме структуры стандарта, дух общего содержания тоже направлен на гармонизацию с требованиями других стандартов для систем управления и на лучшую интеграцию в общем процессе управления.
Другие важные изменения в стандарте относятся к следующим областям:

Введен термин „leadership” который значительно приводит понимание руководства к духу и принципам стандарта ISO 9001:2008.
Введен термин "заинтересованные стороны", к которому относятся клиенты, поставщики, партнеры, законодательные и регулирующие органы и другие. Заинтересованные стороны должны быть идентифицираны и описаны со стороны организации.
В проекте новой версии использована концепция «документированная информация», которая включает в себе термины „документы“ и „записи“. В общем, основные требования к документам и записям в текущей версии стандарта сохранены.
На месте знакомого "владелец актива" введено понятие "владелец риска", которое ссылается на ISO 31000 и рассмотривает процесс на уровне рисков. Этот стандарт адресован и при определении принципов, к которым должны быть адаптированы оценка рисков и воздействие на риски.
Определены более конкретные и четкие правила для определения целей, процедуры для их измерения, анализа и оценки результатов.
Создан новый пункт „Коммуникации“, касающийся к обязательствам в отношении коммуникаций, связанные с безопасностью информации внутри и за пределами организации.

Изменения в Приложение А стандарта не особо революционные и в основном связаны с изменениями в число средств контроля и группы средтсв контроля, с распределением средств контроля по группам и редактированием текущего содержания некоторых из них.
Общее количество груп средтв контроля в новой версии Приложения А уже 14 вместо нынешних 11. В группах распределены 113 средств контроля вместо нынешних 133.
Ожидается удаление 29 средств контроля из Анекса А текущей версии стандарта (A.6.1.1, A.6.1.4, A.6.2.1, A.6.2.2, A.10.2.1, A.10.4.2 ., A.10.7.4, A.10.8.5, A.10.9.3, A.10.10.2, A.10.10.5, A.11.4.2, A.11.4.3, A.11.4.4, A.11.4.6, A.11.4.7, A.11.5.2, A.11.5.5, A.11.5.6, A.11.6.2, A.12.2.1, A.12.2.2, А. 12.2.3, A.12.2.4, A.12.5.4, A.14.1.2, A.14.1.4, A.15.1.5, A.15.3.2).
Добавлены 9 новых средств контроля как следует:
- А.6.1.4 Information security in project management
- A.12.6.2 Restrictions on software installation
- A.14.2.1 Secure development policy
- A.14.2.5 System development procedures
- A.14.2.6 Secure development environment
- A.14.2.8 System security testing
- A.16.1.4 Assessment and decision of information security events
- A.16.1.5 Response to information security incidents
- A.17.2.1 Availability of information processing facilities

Основным результатом изменений в проекте новой версии ISO/IEC 27001 (либерализация) является увеличение свободы применения при построении систем. Таким образом увеличаетсч ответственность консультантов/внедрителей СУИБ за счет более общих требований стандарта. Конечно, это нельзя рассматриваться как возможность читать стандарт так как дьявол читает Евангелие (как возможность для минимизации работ по построению СУИБ), которое к сожалению уже случилось с некторыми стандартами (например ISO 9001).
Другим важным результатом изменения (гармонизация) является возможность для еще лучшей интеграции СУИБ с другими системами управления в организации.


Архив:

1. Пять величайших мифов о ISO 27001 - Деян Кошутич
2. Является ли ISO 27001 "техническим" стандартом? - Славчо Ненков
3. Использование ISO 9001 для внедрения ISO 27001 - Деян Кошутич
4. "Облачные" услуги и ISO 27001 / BS 25999 - Деян Кошутич
5. ISO 20000 - Сложно ли внедрить систему управления услугами? - Славчо Ненков
6. Используйте ISO 22301, чтобы помочь развитию своей системы управления рисками - Чарльз Рединджар

Связаться с нами

  • 1111 София ул. Гео Милев 47, бл.2
  • office@mscservices.eu
  • +359 2 4422 637
  • +359 889 622 637