В начале октября будет выпущена русская редакция международного стандарта ISO/IEC 27005:2008 “Информационные технологии – Методы обеспечения безопасности – Управление рисками информационной безопасности”.
Во-первых, следует отметить очень хорошее качество и проработанность нового стандарта. Документ отлично структурирован и явно написан людьми, управляющими реальными рисками в реальных компаниях. Ничего ни убавить, ни прибавить. Материал излагается коротко, четко и посуществу. При чтении стандарта невольно сравнивал с новой методологией GlobalTrust и с удовлетворением отмечал полную совместимость и, во многих местах, тождественность подходов и выводов.
Во-вторых, вопреки ожиданиям, ISO 27005 вовсе не является международной версией BS 7799-3. Более того, в нем даже не встречается упоминания о последнем. Структура и содержание этих стандартов существенно различаются, насколько вообще могут различаться два документа, написанные одними и теми же людьми об одном и том же. Существенно различаются и источники разработки. Неизменным остается лишь общий понятийный аппарат, общий подход и процессы управления рисками. По этой причине BS 7799-3 RU не будет сниматься с продаж, как это было с его предшественниками BS 7799-1 RU и BS 7799-2 RU, и будет продолжать использоваться, наряду с ISO 27005 RU. Эти два документа прекрасно дополняют друг друга.
В-третьих, мы можем видеть, что происходит позитивный процесс замещения старой серии стандартов ИТ безопасности ISO 13335, относительно новой серией стандартов в области управления информационной безопасностью – ISO 27000. В результате данного процесса стандартов становится меньше, а их качество заметно улучшается. Новый стандарт ISO 27005 заменит сразу два морально устаревших стандарта ISO 13335-3 и ISO 13335-4, на базе которых он в основном и был разработан. ISO 27005 также опирается на следующие стандарты управления рисками, перечисленные в его библиографическом списке: ISO Guide 73, ISO 16085, AS/NZS 4360 и NIST SP 800-30. Можно сделать вывод о том, что существующий международный опыт был учтен в полной мере, в отличие от предыдущих стандартов серии ISO 27000, в которых использовались исключительно наработки BSI и других британских организаций.
Другими словами, с управлением рисками дела обстоят нормально, изучайте, осознавайте и начинайте применять на практике. Нет тайного знания, нет шаманства, нет бесполезного теоретизирования, нет оторванных от практики требований и рекомендаций, никому не надо ни до чего “зреть”. Все логично, прагматично, доступно и осуществимо в любой организации, как и обещали разработчики.