Современный международный стандарт ISO/IEC 27001:2013 является первой и запоздалой ревизией стандарта ISO/IEC 27001 с момента его выхода в 2005 году. На основе руководящих документов BSI постараемся здесь раскрыть суть изменений и стратегию перехода на новую версию самого востребованного в мире стандарта информационной безопасности.
Основные концептуальные изменения в новой версии ISO/IEC 27001
В новой версии ISO/IEC 27001 была учтена существующая практика применения стандарта (в настоящее время имеется более 17 000 сертифицированных организаций по всему миру). Эта практика выдвинула требование к дальнейшему повышению универсальности и гибкости Стандарта, расширению границ подходов, методик и моделей, которые организации могли бы использовать для реализации его требований. Многие требования были переформулированы, чтобы предоставить организации большую свободу выбора.
Развитие предметной области постоянно предъявляет требования к актуализации, уточнению и совершенствованию описания областей и механизмов контроля, содержащихся в ISO 27002. Поэтому Приложение А к ISO 27001, представляющее собой перечень областей, целей и механизмов контроля, описанных в ISO 27002, существенным образом изменилось, а также перестала быть инструментом для выбора контролей.
Поскольку число стандартов постоянно увеличивается, наличие раздела “Термины и определения” в каждом отдельном стандарте потеряло смысл. Соответствующий раздел был изъят и из ISO/IEC 27001:2013. Все термины теперь собраны в одном стандарте ISO/IEC 27000:2014, а то чего нет в нем, надо смотреть в Оксфордском словаре английского языка.
Кроме этого, на изменения стандарта повлияли еще два существенных фактора: потребность в унификации стандартов на системы менеджмента и приведении этих стандартов в соответствие с положениями ISO 31000 (управление риском).
Унификация стандартов на системы менеджмента
Первый фактор – это требование ISO о соответствии структуры и базовых положений всех новых стандартов на системы менеджмента требованиям соответствующей директивы (Annex SL to Part 1 of the ISO/IEC Directives). Обеспечение соответствия этим требованиям позволяет унифицировать все системы менеджмента таким образом, чтобы соответствующие требования, не зависящие от предметной области, имели бы одинаковые формулировки во всех стандартах. Это особенно важно для организаций, внедряющих интегрированные системы менеджмента, соответствующие одновременно нескольким стандартам ISO 9001, ISO 22301, ISO/IEC 27001 и т.п.
Соответствие ISO 31000
Второй фактор – это приведение ISO/IEC 27001 в соответствие с положениями ISO 31000 (управление риском) с целью применения общей методологии управления риском для различных предметных областей и систем менеджмента. В связи с этим были изменены требования к оценке и обработке риска, а также скорректированы понятия “система менеджмента”, “механизм контроля”, “владелец актива” и др.
В результате, структура ISO/IEC 27001:2013 сильно отличается от его первоначальной редакции ISO/IEC 27001:2005. Было устранено дублирование определенных требований.
Повышение гибкости и универсализация ISO 27001
Одно из концептуальных изменений, внесенных в ISO/IEC 27001:2013, связано с попыткой разработчиков сделать его еще более универсальным и гибким. Для этого многие требования были переформулированы таким образом, чтобы предоставить организациям больше свободы в выборе способов их реализации, а именно:
- Идентификация активов, угроз и уязвимостей больше не является обязательным условием для идентификации рисков информационной безопасности. Это потенциально расширяет круг методик, которые организация может использовать для оценки рисков.
- Механизмы контроля теперь должны выбираться не из Приложения А к Стандарту, а определяться в процессе обработки рисков. Это дает большую свободу выбора контролей. (Приложение А продолжает использоваться лишь для контроля полноты выбранных контролей, чтобы не пропустить чего-то важного).
- Постоянное совершенствование СМИБ теперь не завязано на цикл PDCA. Организация может использовать другие подходы и модели. Информация о цикле PDCA была удалена из Стандарта.
- Стандарт больше не содержит перечень входных и выходных данных для пересмотра СМИБ руководством организации. Вместо этого определяется перечень тем, которые должны рассматриваться в ходе пересмотра. Организация может сама определять требования к входной информации и формам отчетности.
Изменение состава и классификации механизмов контроля в ISO 27002
В новой версии ISO/IEC 27002 формальное количество контролей уменьшилось с 133 до 114, а количество областей контроля (классов контролей) увеличилось с 11 до 14.
Новые области контроля: Криптография, Взаимодействие с поставщиками. “Безопасность коммуникаций” и “Безопасность операций” разделены.
Новые механизмы контроля: ИБ в управлении проектами, Ограничения на установку ПО, политика безопасности при разработке ПО, принципы безопасности в системном инжиниринге, безопасная среда разработки, тестирование безопасности, политика безопасности при взаимодействии с поставщиками и др.
Изменение требований к документированию
Требования относительно состава документов СМИБ разбросаны по соответствующим разделам Стандарта, к которым они относятся. Всего выделяется 14 тем, которые должны быть документированы в обязательном порядке, т.е. в среднем можно говорить о 14 базовых документах СМИБ. Помимо этих 14 базовых документов, организация самостоятельно определяет какие еще документы ей необходимы для создания эффективной СМИБ. Если создавать отдельный документ (политику) для каждой области контроля из Приложения А, то получится как минимум еще 14 политик безопасности. Таким образом, количество документов стандартной СМИБ составляет число от 28 и выше.
Должны быть документально оформлены следующие вещи:
4.3 Область действия СМИБ
5.2 Политика информационной безопасности
6.1.2 Процесс оценки рисков ИБ
6.1.3 Процесс обработки рисков ИБ
6.1.3 d) Декларация о соответствии
6.2 Цели и задачи ИБ
7.2 d) Свидетельства компетентности
7.5.1 b) Набор документов, самостоятельно определяемый организацией, которые необходимы для создания эффективной СМИБ
8.1 Операционное планирование и контроль
8.2 Результаты оценки рисков ИБ
8.3 Результаты обработки рисков ИБ
9.1 Результаты мониторинга и измерений
9.2 g) Программа и результаты аудита
9.3 Результаты пересмотра СМИБ руководством
10.1 f) Свидетельства выявленных несоответствий и планов их устранения
10.1 g) Результаты корректирующих мер
Как можно видеть из перечисленного, определения состава большей части документов СМИБ (политик, стандартов, регламентов, процедур и т.п.) целиком отдано на откуп организации (пункт 7.5.1 b)).
Переход на новую версию ISO/IEC 27001
Теперь рассмотрим вопрос о том, что необходимо сделать организации уже имеющей СМИБ, построенную в соответствии с ISO/IEC 27001:2005, для обеспечения соответствия этой СМИБ требованиям новой редакции стандарта – ISO/IEC 27001:2013.
Наши рекомендации базируются на руководстве BSI по переходу к новой версии стандарта “Moving from ISO/IEC 27001:2005 to ISO/IEC 27001:2013 (Transition guide)”, основанном на новых книгах Давида Брюйера (David Brewer) “Введение в ISO/IEC 27001:2013” (“An introduction to ISO/IEC 27001:2013”) и “Понимание новых требований ISO к системам менеджмента” (“Understanding the new ISO management system requirements”). Давид является одним из основных разработчиков BS 7799-2 и одним из первых консультантов британского правительства по вопросам информационной безопасности, еще начиная с 1980 годов. Являясь членом профильного комитета ISO по стандартам серии ISO/IEC 27000, он сыграл ведущую роль в разработке ISO/IEC 27001:2013, а также первой ревизии стандарта ISO/IEC 27004. Т.е. мы здесь опираемся на информацию из первых рук.
Стратегии перехода от ISO/IEC 27001:2005 к ISO/IEC 27001:2013
Организация может выбрать одну из двух стратегий перехода к новой версии Стандарта:
- стратегия внесения минимально возможных изменений в существующую СМИБ
- стратегия полного пересмотра существующей СМИБ
Минималистская стратегия предполагает фрагментарные улучшения СМИБ согласно перечню изменений, внесенных в Стандарт.
В случае полного пересмотра начинать надо с анализа расхождений СМИБ с требованиями новой версии стандарта (gap analysis), по результатам которого может быть сформирован базовый перечень задач по совершенствованию СМИБ.
Рекомендации по внесению изменений в СМИБ
Следующие области СМИБ подверглись минимальным изменениям:
- Документация СМИБ и процедуры управления документами
- Политика ИБ
- Оценка риска
- Задачи высшего руководства
- Распределение ответственности за ИБ
- Осведомленность в вопросах ИБ
- Внутренний аудит
- Пересмотр СМИБ руководством организации
- Корректирующие меры
- Совершенствования СМИБ
Следующие области СМИБ, потенциально требуют переосмысления:
- Область действия системы менеджмента
- Цели и задачи ИБ
Следующие области СМИБ должны быть переделаны в духе новой версии стандарта:
- Декларация о применимости механизмов контроля
Следующие требования к СМИБ являются новыми, однако они уже могут быть реализованы:
- Заинтересованные стороны и их требования
- Интеграция требований СМИБ в бизнес-процессы организации
- Коммуникации
Следующие требования к СМИБ, являются новыми и могут вызвать определенные затруднения, а также потребовать изменений:
- Определение проблем (мотивация к созданию СМИБ, основные приоритеты и потребности в сфере ИБ, роль высшего руководства, мотивация персонала и т.п.)
- Выбор способов и мер по обработке риска
- Мониторинг, измерения, анализ и оценка (новая версия Стандарта определяет более детальные и четко сформулированные требования в этой области, поэтому лучше всего начинать реализацию данных требований с чистого листа)
Еще по этой теме можно почитать у нас в блогах:
Финальные проекты (FDIS) ISO/IEC 27001:2013 и ISO/IEC 27002:2013. Что изменилось?
Новый ISO 27001:2013 – два в одном: либерализация и гармонизация