Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Консaлтинг ISO 27001, ISO 20000, BS 25999, ISO 22301, ISO 31000 Новый ISO 27001:2013 - два в одном: либерализация и гармонизация
Навигация
 

Новый ISO 27001:2013 - два в одном: либерализация и гармонизация

Автор: Слав Петров опубликовано: 13-02-2013 последнее изменение: 13-02-2013

С нетерпением прочитал проект новой версии стандарта ISO 27001:2013. Вот мои первые впечатления после ознакомления:

Новый ISO 27001:2013 - два в одном: либерализация и гармонизация
Славчо Ненков – 12.02.2013

Новость для публикации проекта новой версии стандарта ISO / IEC 27001:2013 я встретил с большим интересом как его ожидали и другие коллеги работающие в области информационной безопасности. Существовали ожидания для серьезных изменений в стандарте. Самое экзотическое для меня было ожидание об удалении Анекса А, оставляя решение о выборе средтсв управления информационной безопасностью полностью на усмотрение консультанта (внедряющей организации). Вот мои впечатления после прочтения проекта стандарта:

Основное изменение стандарта для меня направлено в сторону либерализации. И не смотря на то что Анекс А еще находится на своем месте (к счастью, не всегда интерпретация является лучшим решением, особенно когда консультанты спешат с внедрением системы ... :)), есть достаточно изменений в этом духе. Вот основные:

Отсуствуют требования об обязательных документированных процедур
В старой версии стандарта существует требование для наличии четырех обязательных документированных процедур, а именно: управление документами, внутренные аудиты, корректирующие действия, предупреждающие действия. В проекте новой версии стандарта отсутствует такое требование.

Отсуствует перечень обязательных документов СУИБ
В старой версии стандарта пункт 4.3.1 содержит перечень обязательных документов СУИБ. Проект новой версии стандарта не содержит такого подробного списка обязательных документов.

Либерализация в оценке риска
В отличие от действующей версии стандарта ISO / IEC 27001:2005, проект новой версии не содержит требования о наличии документированной методологии для оценки риска. Существует требование для предварительного определения процесса оценки риска, но нет безусловного требования о документировании.
Еще больше либерализация в определении методологии для оценки риска. Активы, угрозы и уязвимости здесь не фиксированы как основа для оценки риска, существует только требование для идентификации рисков, связанных с конфиденциальностью, доступностью и целостностью информации. Как – это решает внедряющая организация. Последствия/воздействие и вероятность остаются основой для определения уровней риска.

Отсуствует акцент на предупреждающие действия
В проекте новой версии стандарта отсуствует пункт о предупреждающих действиях. Основное внимание сосредоточено на различие между терминами „коррекция“ и „корректирующее действие“, но пункт о предупреждающих действиях отсуствует.

Второе заметное изменение в проекте новой версии ISO/IEC 27001 - это гармонизация с требованиями Анекса SL ISO/IEC 2012 Директивы. Структура стандарта обновлена, содержит уже 11 пунктов и знакомий Анекс А, и соответствует структуре рекомендуемой ISO/IEC Директивой. В самом деле, такие изменения ожидают и другие стандарты, относящиеся к системам управления - такие, как ISO 9001, ISO 20000-1 и другие.
Кроме структуры стандарта, дух общего содержания тоже направлен на гармонизацию с требованиями других стандартов для систем управления и на лучшую интеграцию в общем процессе управления.

Другие важные изменения в стандарте относятся к следующим областям:
Введен термин „leadership” который значительно приводит понимание руководства к духу и принципам стандарта ISO 9001:2008.
Введен термин "заинтересованные стороны", к которому относятся клиенты, поставщики, партнеры, законодательные и регулирующие органы и другие. Заинтересованные стороны должны быть идентифицираны и описаны со стороны организации.
В проекте новой версии использована концепция «документированная информация», которая включает в себе термины „документы“ и „записи“. В общем, основные требования к документам и записям в текущей версии стандарта сохранены.
На месте знакомого "владелец актива" введено понятие "владелец риска", которое ссылается на ISO 31000 и рассмотривает процесс на уровни рисков. Этот стандарт адресован и при определении принципов, к которым должны быть адаптированы оценка рисков и воздействие на риски.
Определены более конкретные и четкие правила для определения целей, процедуры для их измерения, анализа и оценки результатов.
Создан новый пункт „Коммуникации“, касающийся к обязательствам в отношении коммуникаций, связанные с безопасностью информации внутри и за пределами организации.

Изменения в Анексе А стандарта не особо революционные и в основном связаны с изменениями в число средств контроля и группы средтсв контроля, с распределением средств контроля по группам и редактированием текущего содержания некоторых из них.
Общее количество груп средтв контроля в новой версии Анекса А уже 14 вместо нынешних 11. В группах распределены 113 средств контроля вместо нынешних 133.
Ожидается удаление 29 средств контроля из Анекса А текущей версии стандарта (A.6.1.1, A.6.1.4, A.6.2.1, A.6.2.2, A.10.2.1, A.10.4.2 ., A.10.7.4, A.10.8.5, A.10.9.3, A.10.10.2, A.10.10.5, A.11.4.2, A.11.4.3, A.11.4.4, A.11.4.6, A.11.4.7, A.11.5.2, A.11.5.5, A.11.5.6, A.11.6.2, A.12.2.1, A.12.2.2, А. 12.2.3, A.12.2.4, A.12.5.4, A.14.1.2, A.14.1.4, A.15.1.5, A.15.3.2).
Добавлены 9 новых средств контроля как следует:
- А.6.1.4 Information security in project management
- A.12.6.2 Restrictions on software installation
- A.14.2.1 Secure development policy
- A.14.2.5 System development procedures
- A.14.2.6 Secure development environment
- A.14.2.8 System security testing
- A.16.1.4 Assessment and decision of information security events
- A.16.1.5 Response to information security incidents
- A.17.2.1 Availability of information processing facilities- A.12.6.2 Ограничения на установку программного обеспечения

Основным результатом изменений в проекте новой версии ISO/IEC 27001 (либерализация) является увеличение свободы применения при построении систем. Таким образом увеличаетсч ответственность консультантов/внедрителей СУИБ за счет более общих требований стандарта. Конечно, это нельзя рассматриваться как возможность читать стандарт так как дьявол читает Евангелие (как возможность для минимизации работ по построению СУИБ), которое к сожалению уже случилось с некторыми стандартами (например ISO 9001).
Другим важным результатом изменения (гармонизация) является возможность для еще лучшей интеграции СУИБ с другими системами управления в организации.

-------------------------------------------
www.mscservices.eu - Ваши ISO консультанты
-------------------------------------------

Comments (8)

Александр Астахов 13-02-2013 01:38

форматирование текста

Ваш пост очень актуальный, но читать и воспринимать неформатированный текст очень сложно. Вы хотя бы абзацы расставляйте.
Александр Астахов 13-02-2013 02:10

изменения ISO 27001

Новую редакцию стандарта пока подробно не изучал, но судя по вашему посту изменения не очень позитивные. Упрощение требований к оценке рисков и документированию СУИБ не очень хорошо. По документированию надо вообще отдельный стандарт делать (как сделано по рискам), а то лепят документы какие кому вздумается.
Слав Петров 14-02-2013 01:37

изменения ISO 27001

Здравствуйте, в целом стандарт очень похож на ISO 9001 в новом виде и вообще такая тенденция у всех стандартов которые относятся к системам управления. Они все больше и больше РАМКА. Да, есть что-то негативное к сожалению по моему мнению - новая версия стандарта позволить в какой то степени консультантам и аудиторам интепретировать требования стандарта, а результат от интерпретации часто не очень хороший ... требования стндарта должни быть одни и те же в России, Германии, США, Индии, Пакистане и т.д. Конечно применения зависит от масштаба и специфики бизнеса.
Павел Пирожков 25-02-2013 05:50

изменения ISO 27001

Ждём от Вас переведённую версию. Вместе и поизучаем :-)
Бончо Антонов Поптодоров 08-06-2013 12:19

интерпретации стандартов

Не надо бояться и судить практику интерпретирования стандартов. "Интерпретация" позволяеть наити самого удачного способа применить общие требования стандарта к особеностям данной организации. Надо однако судить трафаретное (шаблонное) интерпретирование когда некоторие "консултанти" сулят едни и те же решения к любой организации. Некоторие аудитори тоже привикают к знакомим решениям и способам имплементирования и ищуть их в любой организации. Чаще всего такие "привикания" возникают в процессе подготовке аудиторов на спецкурсов. Извините за грамматические ошибки... (:
Александр Астахов 10-06-2013 11:41

интерпретации стандартов

Мне кажется, что не всем будет понятно что такое "шаблонное интерпретирование стандарта". Ведь сами стандарты, в общем случае, представляют собой ни что иное как набор шаблонов и типовых решений (best practice).
Посетитель 11-04-2014 12:59

ISO 27001 и Windows XP после 8 апреля 2014.

Здравствуйте.

Хотелось бы услышать ваше мнение по поводу использования Windows XP в компаниях которые хотят сертифицироваться по стандарту 27001, или проходить повторную сертификацию.

Как повлияет наличие данных операционных систем на получение сертификата соответствия стандарту ISO 27001?
Александр Астахов 12-04-2014 12:22

ISO 27001 и Windows XP после 8 апреля 2014.

никак не повлияет
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2018 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex