Актуални статии и мнения в областта на внедряване на системи за управление на сигурността на информацията, ИТ услугите, непрекъсваемостта на бизнеса, качеството. ISO 27001, ISO 20000, BS 25999, ISO 22301, ISO 9001. Едно мнение в почвече никога не е излишно
Постинги в блога от Февруари, 2013 г.
12.02.2013 23:47 -
Новият ISO 27001:2013 – две в едно: либерализация и хармонизация
Новият ISO 27001:2013 – две в едно: либерализация и хармонизация
Славчо Ненков – 12.02.2013
Новината за публикуване на драфта на новата версия на стандарта ISO/IEC 27001:2013 беше посрещната от мен с огромен интерес, така както убеден съм и от останалите колеги, работещи в областта на сигурността на информацията. Имаше очаквания за сериозни промени в стандарта. Най-екзотично за мен беше очакването да бъде премахнат Анекс А и изборът на контроли да бъде оставен изцяло на преценката на внедряващите организации. Ето и впечатленията ми след прочита на драфта:
Основната промяна на стандарта за мен е в посока Либерализация. Е, Анекс А е все още на мястото си (и слава богу, не винаги интерпретацията е най-доброто решение, особено когато консултантите бързат с внедряването ... :)), но пък има достатъчно промени в този дух. Ето основните:
Няма ги задължителните документирани процедури
В старата версия на стандарта съществува изискването за четири задължителни документирани процедури, а именно: за управление на документи, за вътрешни одити, за коригиращи действия, за превантивни действия. В новата драфт версия липсва такова изискване.
Липсва списък със задължителните документи на СУСИ
В старата версия на стандарта клауза 4.3.1 съдържа списък със задължителните документи на СУСИ. Драфтът на новата версия не съдържа такъв детайлен списък със задължителни документи.
Либерализация при оценката на риска
За разлика от сега действащата версия на стандарта ISO/IEC 27001:2005, новата драфт версия не съдържа изскването за наличие на документирана методика за оценка на риска. Има изискване за предварително дефиниране на процеса за оценка на риска, но липсва имплицитно изискване за документиране.
Още по-голяма е либерализацията при определяне методиката за оценка на риска. Активите, уязвимостите и заплахите не са фиксирани като основа за оценка на риска, съществува само изискване за идентифициране на рисковете, свързани с конфиденциалността, наличността и целостта. Как – това е оставено на преценката на внедряващата организация. Последствията/въздействието и вероятността остават основа за определяне нивата на риска.
Липсва фокусът върху превантивни действия
В драфт версията на стандарта липсва клаузата за превантивни действия. Акцентът е насочен върху разграничаване на термините корекция и коригиращо действие.
Втората видима промяна в драфт версията на ISO/IEC 27001:2013 е хармонизацията с изискванията на Анекс SL на ISO/IEC Директивите от 2012 г. Структурата на стандарта е обновена, съдържа вече 11 клуази и познатия Анекс А, и съответства на препоръчваната от ISO/IEC Директивите структура. Впрочем промяна в тази посока очакват и други стандарти, отнасящи се до системи за управление – например ISO 9001, ISO 20000-1 и други.
Освен структурата на стандарта, духът на цялостното му съдържание е насочен към хармонизация с изискванията на останалите стандарти за системи за управление и по-добра интеграция в общия управленски процес.
======================================================
www.mscservices.eu - Вашите ISO консултанти
======================================================
Другите по-съществени промени в стандарта са свързани с посочените по-долу области:
Въведен е терминът “leadership”, който значително доближава разбирането за ръководство до духа и принципите на стднарта ISO 9001:2008.
Въведен е терминът „заинтересовани страни“, към които се отнасят клиенти, доставчици, партньори, законови и регулаторни органи и други. Заинтересованите страни следва да будат идентифицирани и описани от организацията.
В новата драфт версия е използвана концепцията за „документирана информация“, която обединява термините документи и записи. Като цяло основните изисквания към документи и записи от сегашната версия на стандарта са запазени.
На мястото на познатото „собственик на актив“ е въведено понятието „собственик на риск“, което препраща към стандарта ISO 31000 и разглежда процеса за управление на ниво риск. Този стандарт е адресиран и при определяне на принципите, към които следва да се приведе оценката и третирането на риска.
Определени са по-ясни и конкретни правила по отношение на дефиниране на целите, реда за измерването им и анализа и оценката на резултатите.
Създадена е нова клауза Комуникация, отнасяща се до задълженията по отношение на комуникикациите, свързани със сигурността на информацията във и извън организацията.
Промените в Анекс А на стандарта не са революционни и са свързани предимно с промяна в броя на механизмите за контрол и групите механизми за контрол, разпределението на механизмите за контрол по групи и редактиране на досегашното съдържание на някои от тях.
Общият брой групи от механизми за контрол в Анекс А е 14 вместо досегашните 11 като в тях са разпределни 113 механизма за контрол вместо досегашните 133.
От сега съществуващата версия на стандарта се предвижда да отпаднат 29 механизма за контрол (А.6.1.1, А.6.1.4, А.6.2.1, А.6.2.2, А.10.2.1, А.10.4.2., А.10.7.4, А.10.8.5, А.10.9.3, А.10.10.2, А.10.10.5, А.11.4.2, А.11.4.3, А.11.4.4, А.11.4.6, А.11.4.7, А.11.5.2, А.11.5.5, А.11.5.6, А.11.6.2, А.12.2.1, А.12.2.2, А.12.2.3, А.12.2.4, А.12.5.4, А.14.1.2, А.14.1.4, А.15.1.5, А.15.3.2).
Включени са 9 нови механизмa за контрол както следва:
- А.6.1.4 Information security in project management
- A.12.6.2 Restrictions on software installation
- A.14.2.1 Secure development policy
- A.14.2.5 System development procedures
- A.14.2.6 Secure development environment
- A.14.2.8 System security testing
- A.16.1.4 Assessment and decision of information security events
- A.16.1.5 Response to information security incidents
- A.17.2.1 Availability of information processing facilities
Основният резултат от направените промени в новата драфт версия на ISO/IEC 27001 (либерализацията) е увеличаване свободата на прилагането му при внедряване. По този начин се увеличава отговорността на консултантите/внедрителите на СУСИ за сметка на все по-рамковите изисквания на стандарта. Разбира се ако това не се приеме като възможност стандартът да се чете както дяволът чете евангелието (разбирай като възможност за минимизиране на работата по внедряването), което за съжаление е факт при други стандарти.
Другият важен резултат от промените (харминизирането) е възможност за още по-добро интегриране на СУСИ с другите системи за управление в организацията.
www.mscservices.eu - Вашите ISO консултанти
Славчо Ненков – 12.02.2013
Новината за публикуване на драфта на новата версия на стандарта ISO/IEC 27001:2013 беше посрещната от мен с огромен интерес, така както убеден съм и от останалите колеги, работещи в областта на сигурността на информацията. Имаше очаквания за сериозни промени в стандарта. Най-екзотично за мен беше очакването да бъде премахнат Анекс А и изборът на контроли да бъде оставен изцяло на преценката на внедряващите организации. Ето и впечатленията ми след прочита на драфта:
Основната промяна на стандарта за мен е в посока Либерализация. Е, Анекс А е все още на мястото си (и слава богу, не винаги интерпретацията е най-доброто решение, особено когато консултантите бързат с внедряването ... :)), но пък има достатъчно промени в този дух. Ето основните:
Няма ги задължителните документирани процедури
В старата версия на стандарта съществува изискването за четири задължителни документирани процедури, а именно: за управление на документи, за вътрешни одити, за коригиращи действия, за превантивни действия. В новата драфт версия липсва такова изискване.
Липсва списък със задължителните документи на СУСИ
В старата версия на стандарта клауза 4.3.1 съдържа списък със задължителните документи на СУСИ. Драфтът на новата версия не съдържа такъв детайлен списък със задължителни документи.
Либерализация при оценката на риска
За разлика от сега действащата версия на стандарта ISO/IEC 27001:2005, новата драфт версия не съдържа изскването за наличие на документирана методика за оценка на риска. Има изискване за предварително дефиниране на процеса за оценка на риска, но липсва имплицитно изискване за документиране.
Още по-голяма е либерализацията при определяне методиката за оценка на риска. Активите, уязвимостите и заплахите не са фиксирани като основа за оценка на риска, съществува само изискване за идентифициране на рисковете, свързани с конфиденциалността, наличността и целостта. Как – това е оставено на преценката на внедряващата организация. Последствията/въздействието и вероятността остават основа за определяне нивата на риска.
Липсва фокусът върху превантивни действия
В драфт версията на стандарта липсва клаузата за превантивни действия. Акцентът е насочен върху разграничаване на термините корекция и коригиращо действие.
Втората видима промяна в драфт версията на ISO/IEC 27001:2013 е хармонизацията с изискванията на Анекс SL на ISO/IEC Директивите от 2012 г. Структурата на стандарта е обновена, съдържа вече 11 клуази и познатия Анекс А, и съответства на препоръчваната от ISO/IEC Директивите структура. Впрочем промяна в тази посока очакват и други стандарти, отнасящи се до системи за управление – например ISO 9001, ISO 20000-1 и други.
Освен структурата на стандарта, духът на цялостното му съдържание е насочен към хармонизация с изискванията на останалите стандарти за системи за управление и по-добра интеграция в общия управленски процес.
======================================================
www.mscservices.eu - Вашите ISO консултанти
======================================================
Другите по-съществени промени в стандарта са свързани с посочените по-долу области:
Въведен е терминът “leadership”, който значително доближава разбирането за ръководство до духа и принципите на стднарта ISO 9001:2008.
Въведен е терминът „заинтересовани страни“, към които се отнасят клиенти, доставчици, партньори, законови и регулаторни органи и други. Заинтересованите страни следва да будат идентифицирани и описани от организацията.
В новата драфт версия е използвана концепцията за „документирана информация“, която обединява термините документи и записи. Като цяло основните изисквания към документи и записи от сегашната версия на стандарта са запазени.
На мястото на познатото „собственик на актив“ е въведено понятието „собственик на риск“, което препраща към стандарта ISO 31000 и разглежда процеса за управление на ниво риск. Този стандарт е адресиран и при определяне на принципите, към които следва да се приведе оценката и третирането на риска.
Определени са по-ясни и конкретни правила по отношение на дефиниране на целите, реда за измерването им и анализа и оценката на резултатите.
Създадена е нова клауза Комуникация, отнасяща се до задълженията по отношение на комуникикациите, свързани със сигурността на информацията във и извън организацията.
Промените в Анекс А на стандарта не са революционни и са свързани предимно с промяна в броя на механизмите за контрол и групите механизми за контрол, разпределението на механизмите за контрол по групи и редактиране на досегашното съдържание на някои от тях.
Общият брой групи от механизми за контрол в Анекс А е 14 вместо досегашните 11 като в тях са разпределни 113 механизма за контрол вместо досегашните 133.
От сега съществуващата версия на стандарта се предвижда да отпаднат 29 механизма за контрол (А.6.1.1, А.6.1.4, А.6.2.1, А.6.2.2, А.10.2.1, А.10.4.2., А.10.7.4, А.10.8.5, А.10.9.3, А.10.10.2, А.10.10.5, А.11.4.2, А.11.4.3, А.11.4.4, А.11.4.6, А.11.4.7, А.11.5.2, А.11.5.5, А.11.5.6, А.11.6.2, А.12.2.1, А.12.2.2, А.12.2.3, А.12.2.4, А.12.5.4, А.14.1.2, А.14.1.4, А.15.1.5, А.15.3.2).
Включени са 9 нови механизмa за контрол както следва:
- А.6.1.4 Information security in project management
- A.12.6.2 Restrictions on software installation
- A.14.2.1 Secure development policy
- A.14.2.5 System development procedures
- A.14.2.6 Secure development environment
- A.14.2.8 System security testing
- A.16.1.4 Assessment and decision of information security events
- A.16.1.5 Response to information security incidents
- A.17.2.1 Availability of information processing facilities
Основният резултат от направените промени в новата драфт версия на ISO/IEC 27001 (либерализацията) е увеличаване свободата на прилагането му при внедряване. По този начин се увеличава отговорността на консултантите/внедрителите на СУСИ за сметка на все по-рамковите изисквания на стандарта. Разбира се ако това не се приеме като възможност стандартът да се чете както дяволът чете евангелието (разбирай като възможност за минимизиране на работата по внедряването), което за съжаление е факт при други стандарти.
Другият важен резултат от промените (харминизирането) е възможност за още по-добро интегриране на СУСИ с другите системи за управление в организацията.
www.mscservices.eu - Вашите ISO консултанти
Търсене
За този блог
Гласове: 6
Блогрол
