“Технически” стандарт ли е ISO 27001?
от Слав Петров
Забелязал съм в своята практика, че огромното мнозинство от клиентите, пристъпващи към осъществяване на проект по разработка и внедряване на система за управление на сигурността на информацията, са убедени че това е чисто технически ИТ проект. Много хора, които не са участвали в такова внедряване, но са чували за стандарта ISO 27001 също, са убедени, че това е чисто технически стандарт. Така казват и много специалисти по ИТ и комуникации, които са чували за стандарта, но никога не са го чели. Освен всичко друго въпросният стандарт е класифициран в групата стандарти ISO Information technology. Да добавим и че голямата част от механизмите за контрол на сигурността на информацията в информационната система на организацията са технически – хардуерни и софтуерни. Всички тези средства се управляват от сериозно подготвени ИТ специалисти.
А всичко това какво означава? Означава, че стандартът е технически.
Да, но не, не е така. ISO 27001 не е технически, а преди всичко организационен стандарт, каквито са ISO 9001, ISO 14001, OHSAS 18001.
Термините “информация” и “сигурност на информацията” не бива да ни подвеждат. Информацията може да съществува в най-различни форми: написана на хартия, в електронна форма, записана на микрофилм, споделена в разговор. И във всяка форма на съществуване системата за управление на сигурността на информацията (СУСИ) трябва да осигури нейната сигурност (конфиденциалност, цялостност, наличност). Колкото и странно да звучи например, напълно възможно е да се внедри, сертифицира и управлява СУСИ на организация без нито един компютър.
Основни задачи за решаване при внедряване на СУСИ се явяват определянето на обхвата, политиката по сигурността на информацията и оценката на риска. Всикчи те са преди всичко стратегически и организационни задачи.
================================================
www.mscservices.eu - Вашите ISO консултанти
================================================
А какво ще кажете за задължителните процедури на системата? Процедурите за управ;ение на документите, за вътрешните одити, за коригиращи и превантивни действия са практически иденточни на тези по ISO 9001 с малки допълнения.
А измерването на ефективността? Техническото оборудване и софтуер се явяват само средство за достигане на определените цели, нищо повече.
Знаете ли от къдеидват най-големите потенциални заплахи за сигурността на информацията? Не, хакерите не са най-опасните за вашата система. Персоналът – най-големите потенциални заплахи за сигурността на информацията идват от вашите служители – поради некомпетентни или злонамарени действия.
А какво да кажем за такива важни въпроси като например осигуряването на ресурси за работа на системата и преглед от ръководството? Те технически мероприятия ли са или организационни?
Да, разбира се, за осигуряване на сигурността на информацията в системата, в обхвата на която се намира голяма и сложна информационна система, обработваща и съхраняваща чувствителна информация, от жизнена важност е наличието на квалифицирани ИТ специалисти. Но във всеки случай стандартът ISO 27001 изисква преди всичко усилия в разработка и реализация на организационни мерки, та били те и в областта на ИТ.
В подкрепа на това твърдение ще ви разкажа за един случай на неуспешно вбедряване на СУСИ. Голяма компютърна фирма, започваща проект по внедряване на СУСИ, нае за консултант по внедряването водещ специалист в областта на ITIL.. Проектът продължи няколко месеца като компанията инвестира немалко средства в съвременни ИТ технологии за проекта, а също и немалко средства за заплащане труда на консултанта. По време на сертификационния одит водещият одитор повдигна 25 несъответствия – 4 съществени и 21 несъществени. И познайте какви коригиращи действия бяха изпълнени след още няколко месеца от страна на компанията – организационни мерки.
Надявам се повдигнатите в статията въпроси да предизвикат различни коментари мнения по тази тема.
www.mscservices.euВторник, 07 септември, 2010
Публикувано от: Деян Кошутич
Вие вече сте внедрили ISO 9001? Чули сте, че ISO 27001 може да е добра идея? Но как може нещо, което трябва да се направи с качеството, да ви помогне да внедрите информационната сигурност?
Може повече, отколкото можете да си помислите. ISO 9001 определя как системите за управление на качеството (СУК) трябва да изглеждат, докато ISO / IEC 27001 дефинира системите за управление на сигурността на информацията (СУСИ). Затова частта "системи за управление" е една и съща – и така, за какво всъщност става въпрос?
Философията на системите за управление се е развила от теорията, разработена от У. Едуардс Деминг през втората половина на 20 век, и се основава на цикъла Plan-Do-Check-Act.(Планирай-Прави-Проверявай-Действай).
По принцип, този цикъл се състои в следното: във фазата Планиране, вие трябва да планирате какво искате да постигнете със системата за управление; във фазата Прави вие го внедрявате; във фазата Проверявай вие постоянно следите дали сте постигнали това, което сте планирали, а във фазата Действай вие правите подобрения, т.е. да запълвате прпуските между това, което сте планирали и това, което сте постигнали.
Въпреки, че този цикъл е изобретен имайки предвид управление на качеството, той се превърна в основа за всички други системи за управление - на сигурността на информацията (ISO / IEC 27001), околната среда (ISO 14001), непрекъсваемостта на бизнеса (BS 25999-2) и др.
======================================
www.mscservices.eu - Вашите ISO консултнати
======================================
Това означава, че някои от елементите, които сте приложили за системата за управление на качеството съгласно ISO 9001, можете също така да използвате за системата за управление на сигурността на информацията, ето списъка:
• Управление на документи - процедурата, използвана за управление на документи в СУК може да се използва за същата цел в СУСИ, само с малки корекции
• Вътрешен одит – една и съща процедура може да се използва за СУК и СУСИ, въпреки че самият вътрешен одит обикновено се прави от различни хора, тъй като не е много вероятно, че един и същи човек ще има достатъчно дълбоки познания едновременно в сигурността на информацията и качеството
• Коригиращи и превантивни действия - процедурата, използвана за СУК може да се използва за същата цел в СУСИ, въпреки че е вероятно различни лица да решават въпроси, свързани със СУК или СУСИ
• Управление на човешките ресурси - един и същи цикъл на планиране на човешките ресурси, обучение и оценяване се използва и за двете системи за управление, естествено разликата е в профила на необходимите умения и знания
• Преглед от ръководството - принципите за прегледа от ръководството са едни и същи и за двете системи за управление на, въпреки че не би било препоръчително да се изпълняват и двата прегледа паралелно – ако ръководството вече е свикнало да взема решения за СУК, тогава то ще има по-добро разбиране за това как да да взема решения в контекста на СУСИ
• Поставяне на бизнес цели и проследяване дали те са постигнати - един и същ механизъм е предвиден в двата стандарта, затова ръководството ще бъде използвано за такова систематично планиране
• Поради това, ако вече сте внедрили ISO 9001, вие ще имате по-лесно задача да внедрите ISO 27001 (и обратно) - можете да спестите до 30% от времето. Освен това, вие ще имате по-евтини одити за сертифициране тъй като сертифициращите органи предлагат т. нар. "интегрирани одити", което означава, че те ще направят и ISO 9001, и ISO 27001 в един и същи одит, натоварвайки ви с по-малка такса в сравнение с отделните одити.
• Ако вашата СУК функционира добре, вие ще видите, че вашият СУСИ - проект се развива по-гладко - ръководството ще има по-добро разбиране за потенциалните ползи за бизнеса, а същевременно всички организационни единици ще бъдат свикнали с необходимостта от дефиниране на точни процедури, отговорности и документирането.
• Наличието на СУК наистина дава много добра основа за сигурността на информацията - ако вече имате ISO 9001, помислете сериозно за ISO 27001.
www.mscservices.eu - Вашите ISO консултанти
