Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ЧИТАЛЬНЫЙ ЗАЛ Стандарты информационной безопасности Предстоящие обновления семейства стандартов ISO/IEC 27000 в 2009 году
Навигация
 

Предстоящие обновления семейства стандартов ISO/IEC 27000 в 2009 году

Операции с документом
Специалист в области ИТ-управления Гэри Хинсон (Gary Hinson) рассказывает про предстоящее обновление влиятельного семейства стандартов ISO/IEC 27000

22.11.2008

Мало кто сомневается, что главным следствием текущего экономического спада будет увеличение регулирования для частного сектора. Новые инструкции почти всегда означают увеличение расходов на безопасность и защиту тайны частной жизни. Для выяснения того, что можно ожидать, интернет издание «Главный Офицер Безопасности» (CSO) обратилось к Гэри Хинсону (Gary Hinson), специалисту в области ИТ-управления из Новой Зеландии и CEO компании IsecT Ltd.

Хинсон говорит, что ожидает изменений в наступающем году, но они не обязательно будут привязаны к новому регулированию, порожденному финансовым кризисом. Вместо этого, он фокусируется на изменениях в семействе стандартов ISO/IEC 27000. В число его усилий в этой области входит регулярно обновляемый веб сайт: ISO27001security. Хинсон беседует со старшим редактором CSOonline.com Биллом Бреннером об обновлениях этих важных стандартов и сроках их выхода.

Где Вы видите наиболее значительные изменения в регулировании в 2009 году?

На следующий год запланировано большое количество изменений к семейству стандартов на системы управления информационной безопасностью (СУИБ) ISO/IEC 27000 (ISO27k). Несколько дополнительных стандартов, находятся в процессе разработки, несколько стандартов, запланировано к выпуску, а более ранние выпуски стандартов, подвергнутся плановому обновлению.

Давайте начнем с плановых обновлений.

В подкомитете JTC1/SC27 работа идет полным ходом, комитет ISO/IEC, ответственный за ISO27k, пересматривает и, в случае необходимости, адаптирует  ISO/IEC 27001 и 27002. Конечно, оба стандарта активно используются по всему миру, повышая вероятность того, что изменения будут относительно небольшими, чтобы избежать ущерба для существующих внедрений и особенно процессов сертификации. Я полагаю, что, например, в Японии ISO/IEC 27002 настоятельно рекомендуется, если не требуется в обязательном порядке, для обеспечения соответствия законодательству по защите данных и тайны частной жизни, хотя ISO/IEC первоначально не предполагали обязательного использования стандартов. Никто в действительности не знает, сколько организаций по всему миру внедряют ISO/IEC 27002, но я могу предположить, что их количество к настоящему времени должно составлять сотни тысяч.

На каких обновлениях ISO/IEC 27002 вы стараетесь сконцентрировать внимание   комитета?

1. Обратить внимание и устранить путаницу вокруг "политики информационной безопасности" по отношению к "политике системы управления информационной безопасностью" — последняя, на мой взгляд, ближе к стратегии.

2. Расширить концепцию персональной подотчетности по сравнению с ответственностью и уточнить, что означается понятие "информационный актив".

3. Расширить состав типичных средств  контроля компьютерных залов, например мониторинг внешней среды с локальными и удаленными оповещениями о возгорании, затоплении, вторжении, проблемах электропитания и т.д.

4. Обновить раздел 10.8 "Обмен информацией", чтобы улучшить охват мобильного кода, Web 2.0, программного обеспечения как сервиса (SaaS) и т.д. Технические усовершенствования — коварная вещь для ISO27k, так как публикация стандартов  —  весьма длительный и медленный процесс. Разработчики пытаются в максимально возможной степени сохранить стандарты технологически нейтральными, но это может привести к тому, что они будут недостаточны для регламентирования некоторых областей.

5. Расширить раздел 11.2 "Управление доступом пользователей", чтобы дополнить методы идентификации и особенно аутентификации удаленных пользователей.

6. Обеспечить прагматическое руководство по тестированию безопасности новых/измененных прикладных систем в разделе 12.

7. Расширить раздел 14 "Управление непрерывностью бизнеса", чтобы охватить вопросы отказоустойчивости, а также восстановления в аварийных ситуациях. Этот раздел также выграет от более подробного разъяснения термина "непредвиденная ситуация" (contingency).

8. Обновить раздел 15, чтобы отразить законодательные и нормативные изменения, такие как: повышение популярности e-discovery (поиск информации на компьютерных носителях данных для целей юриспруденции), сохранение документов/сообщений электронной почты и увеличивающееся использование компьютерных данных в качестве доказательства в суде.

9. Подчеркнуть в разделе 15.3 значение процессов ИТ-аудита.

С учетом того, что около 4 или 5 тыс. организаций, сертифицированы на соответствие  ISO/IEC 27001, официальному стандарту сертификации СУИБ, вероятно изменения там должны быть сведены к относительно незначительным редакционным правкам. Я не ожидаю значительных обновлений.

Каков график выхода некоторых из этих изменений?

Я полагаю, что публикация ISO/IEC 27000 неизбежна. Это поможет увязать ISO27k, объясняя структуру и цель стандартов, и обеспечивая глоссарий общих терминов. Много кропотливой работы сделано в ходе разработки этого стандарта. Везде, где возможно, использовались определения из существующих стандартов, а разъяснения или изменения вносились только по-необходимости. Недавно выпущенный стандарт по управлению рисками ISO/IEC 27005 внесет некоторую общность в способы оценки рисков, используемые различными организациями перед выбором и внедрением подходящих механизмов безопасности. Оценка риска была, возможно, самым слабым местом ISO/IEC 27002 из-за очень ограниченных инструкций, предоставленных в разделе 4. Новый стандарт не требует использования конкретного метода или подхода к оценке риска, фактически предполагая, что организации должны сами выбрать методы, которые удовлетворяют их целям. Нет никакого дефицита методов для выбора, и подразумевается, что организации, возможно, нуждаются в нескольких методах для различных ситуаций.

Мы надеемся, что новые стандарты ISO27k, появятся в течение следующих 1-2 лет и обеспечат прагматический подход к реализации СУИБ, как универсальных, так и адаптированных под определенные рыночные сегменты (такие как, правительственные структуры) и аспекты информационной безопасности (такие как, безопасность приложений и расследования ИТ-инцидентов). Метрический стандарт ISO/IEC 27004 — близок к состоянию готовности (хотя лично у меня есть серьезные основания полагать, что он слишком академичен и сложен для применения).

Что вызывает у вас наибольшее беспокойство?

Я чувствую, что если он будет выпущен в своей текущей редакции, то это фактически будет шаг назад — лицензия на печатание денег для консультантов, с весьма незначительной перспективой достижения цели, которая заключается в оказании помощи руководству организации в понимании, управлении и совершенствовании СУИБ. Еще хуже то, что существует риск недобросовестного внедрения метрик, которое дискредитирует ценность показателей безопасности в целом и возвращает предметную область на 10 лет назад.

Вы предположили, что вносятся некоторые изменения в процесс аудита. Пожалуйста, объясните.

Идет работа по стандартам аудита ISO27k с интересным расхождением мнений относительно потребностей в руководстве по механизмам аудита информационной безопасности. В настоящее время, сертификационные аудиты (описанные в ISO/IEC 27006) сосредоточены на элементах управления СУИБ и, в значительной степени, игнорируют аспекты информационной безопасности. Организация, которая имеет превосходную структуру управления и соответствующие процессы управления, но предприняла мало реальных усилий для внедрения механизмов информационной безопасности, потенциально могла бы быть сертифицирована на соответствие ISO/IEC 27001, но очевидно при этом оставаясь незащищенной. Это привносит большую веру в способность менеджмента завершить непрерывные усовершенствования безопасности, которые будут — в конечном счете, мы надеемся,  —  приводить вещи в нормальное состояние. Как прагматичный ИТ-аудитор, я бы значительно больше доверял сертификату ISO/IEC 27001, если бы я знал, что механизмы информационной безопасности были независимо исследованы, как по отношению к требованиям, определенным в соответствии с оценкой риска, так и по отношению к ISO/IEC 27002.

Проблема отклонения от данного маршрута состоит в том, что, похоже, есть глобальная нехватка сертифицированных аудиторов с достаточным опытом и экспертизой для оценки механизмов информационной безопасности. Органы сертификации — аудиторы «перекрестного» обучения, знакомые с проверкой качества и управлением экологической безопасностью, включая также и аудиты СУИБ, но я сомневаюсь, что все они достаточно компетентны, чтобы глубоко исследовать механизмы информационной безопасности. Однако, в эту работу теперь вовлечена ISACA (Ассоциация Аудита и Контроля Информационных Систем) и значительная часть ее членов, имеющих квалификации CISA (Сертифицированный Аудитор Информационных Систем) и CISM (Сертифицированный Менеджер Информационной Безопасности) представляют собой мощный пул компетентных специалистов. Есть надежда!

Анонимный комментарий

Новые номативные требования означают новые механизмы безопасности? НЕПРАВИЛЬНО! Эта «утка»  — работа недобросовестных поставщиков аппаратных средств безопасности. Основой  для всех обоснованных действий менеджмента является информация и процесс. К сожалению, процесс получения полезной информации был заслонен сложными, дорогими и сфокусированными на технике сетевыми инструментами. Извлечение полезной "информации для управления" из этого является процессом утомительным и отнимающим много времени. Все, что предоставляет ISO27000, - это базовая структура. Люди все еще нуждаются в информации, чтобы обосновывать управленческие решения. С моей точки зрения, здесь слишком много сосредоточения на всех этих стандартах, и люди потеряли из виду то, как используется сеть. Я предполагаю, что это происходит из-за технологического "ТУМАНА", выпускаемого на рынк технократами... они лишь заинтересованы в продаже дорогого оборудования, а НЕ в реальной  помощи людям в достижении их целей бизнеса экономически оправданным способом.

Источник: csoonline.com

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2018 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex