понедельник, 26 декабря 2011 г.

Информационная безопасность: ISO 27002 – что нового будет в очередной редакции стандарта?

Статья Деяна Косутича (Dejan Kosutic) была опубликована на сайте Infosec Island («Остров инфобезопасности») 28 ноября 2011 года

Прошло уже шесть лет с момента последнего пересмотра стандарта ISO/IEC 27002 «Информационные технологии – Методы обеспечения безопасности – Свод хорошей практики управления информационной безопасностью» (Information technology - Security techniques - Code of practice for information security management) в 2005 году – с тех пор многое изменилось в области информационной безопасности, и этот стандарт, безусловно, нуждается в некотором «освежении» (В России действует ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью», идентичный редакции этого стандарта 2000 года – Н.Х.).

Так как ISO 27002 тесно связан с ISO 27001 «Информационные технологии - Методы и средства обеспечения безопасности - Системы менеджмента информационной безопасности - Требования» (Information technology - Security techniques - Information security management systems – Requirements, в России действует идентичный ему ГОСТ Р ИСО/МЭК 27001-2006 – Н.Х.), пересмотр обоих стандартов следует проводить одновременно, и, как ожидается, это произойдет или во второй половине 2012 года, или в 2013 году.

ISO 27001 и ISO 27002

То общее, что эти два стандарта имеют между собой, это 133 меры и средства контроля и управления - они приведены в виде своего рода каталога в приложении А к ISO 27001, и предполагается, что подходящие меры и средства контроля выбираются из этого перечня на основе оценки рисков.

В ISO 27002 все эти 133 меры перечислены снова, но уже вместе с детальным объяснением передового опыта их реализации. Подробно о различиях между ISO 27001 и ISO 27002 я уже писал на моем блоге, см. http://blog.iso27001standard.com/2010/09/13/iso-27001-vs-iso-27002/# .

Именно из-за этой взаимосвязи между двумя стандартами ISO 27002 сменил название в 2007 году (ранее он назывался ISO/IEC 17799), и новое название сделало его частью серии стандартов ISO 27000.

Важнейшее связующее звено между ISO 27001 и ISO 27002 - идентичность структуры приложения A стандарта ISO 27001 и мер контроля и управления, описанных в ISO 27002 - скорее всего, сохранится в новых версиях этих стандартов. Однако способ структуризации и отдельные меры, скорее всего, изменятся.

Ожидаемые изменения

На момент написания данной статьи (октябрь 2011 г.) невозможно было предсказать все изменения в ISO 27002, так как окончательный проект новой редакции еще не был написан. Однако о наиболее вероятных изменениях можно было судить по высказываниям экспертов по ISO 27001, - ниже приведена краткая сводка предложений, поступивших от форума ISO 27000, являющегося ведущим форумом экспертов по стандартам ISO 27001/ISO 27002:
  • Подотчетность (Accountability) - определение того, что это понятие означает по отношению к управлению кадровыми ресурсами;

  • Аутентификация, управление идентификационными данными (identity management), кража личности (identity theft) – эти понятия следует лучше описать ввиду той ключевой роли, которую они играют для веб-сервисов;

  • Облачные вычисления - эта модель становится все более и более доминирующей в реальной жизни, но до сих пор в стандарте о ней ничего сказано не было;

  • Безопасность баз данных – технические аспекты не были систематически изложены в текущей редакции;

  • Этика и доверие - важные концепции, которые совсем не рассматриваются в действующей редакции стандарта;

  • Мошенничество, фишинг, хакинг, социальная инженерия – эти специфические виды угроз приобретают все большее значение, но в текущей редакции они систематически не описаны;

  • Управление информацией (governance of information) - данное понятие очень важно для организационных аспектов информационной безопасности, и оно не рассматривается в текущей редакции;

  • ИТ-аудит - необходимо обратить больше внимания на аудит компьютерных систем (computer auditing);

  • Неприкосновенность частной жизни – требуется более широко, чем сейчас, рассмотреть вопросы защиты персональных данных и исполнения законодательно-нормативных требований, особенно из-за облачных вычислений;

  • Устойчивость (resilience) - это понятие полностью отсутствуют в текущей редакции;

  • Тестирования уровня безопасности, тестирование приложений, оценка уязвимостей, тесты на проникновение (penetration tests) и т.п. – всё это по существу отсутствует в текущей редакции;
По мнению Гэри Хинсона (Gary Hinson) с форума ISO 27000, некоторые из этих вопросов уже охвачены, но им в текущей редакции стандарта не было уделено достаточного внимания - широко используемые сегодня ключевые термины либо полностью отсутствует, либо на них есть лишь туманные  намеки.

Кроме того, новая редакция ISO 27002 будет чаще ссылаться на другие стандарты, которые более детально описывают конкретные области - например, глава 14 «Управление непрерывностью деловой деятельности» будет ссылаться на ISO 22301 (новый стандарт, специально посвященный управлению непрерывностью деловой деятельности) и ISO/IEC 27031 (делающий упор на ИКТ-аспекты непрерывности деловой деятельности).

Все эти изменения означают, что не только изменятся либо будут добавлены некоторые меры и средства контроля и управления, но изменится и структура стандарта - вместо существующих 11 разделов Приложения A / ISO 27002, вероятно, появится ряд новых разделов, а другие разделы будут объединены.

Эти проблемы структуризации стандарта, вероятно, самые сложные, поскольку отвечающий за пересмотр стандарта орган (технический комитет JTC 1/SC 27) должен будет обеспечить совместимость с существующей редакцией. Именно поэтому в данный момент мы понятия не имеем, как будут выглядеть изменения в  структуре стандарта.

Сертификация по ISO 27002?

Многие до сих пор спрашивают меня, можно ли пройти сертификацию по ISO 27002. Здесь положение дел с выходом новой редакции останется прежним – как сейчас, так и потом нельзя будет получить сертификат соответствия ISO 27002, поскольку, в отличие от ISO 27001, он не является стандартом системы менеджмента.

Это означает, что ISO 27002 останется сводом практики (или наилучшей практики) реализации мер безопасности. Это не будет определять систему менеджмента - например, управление документацией, внутренний аудит, анализ, проводимый руководством, корректирующие и предупреждающие действия, управление рисками и т.д. - все это остается в сфере действия ISO 27001. Таким образом, ISO 27001 останется единственным сертифицированным стандартом в серии ISO 27000.

Последствия для СМИБ

Если у Вас уже внедрена система менеджмента информационной безопасности (СМИБ), то Вам незачем особенно беспокоиться - независимо от того, какие новшества принесет с собой новая редакция, у вас будет достаточно времени (как правило, год с момента публикации обоих стандартов) на реализацию изменений.

Как только будут опубликованы новые редакции, Вам нужно будет привести структуру Ваших мер контроля и управления в соответствие с Заявлением о применимости (Statement of Applicability) в новом приложении A в пересмотренном стандарте ISO 27001. И хотя структура особенно сильно не изменится, это приведение в соответствие станет самой большой работой, которая Вас ожидает.

И вот как раз здесь новый ISO 27002 будет особенно полезен - в переходный период, у Вас будет много обновленных вариантов передовой практики на выбор. А так как ISO 27002 достаточно детален, и у Вас будет свобода выбора только тех мер, что подходят Вашей организации, то он, несомненно, облегчит Вам процесс перехода.

Деян Косутич (Dejan Kosutic)

Источник: сайт Infosec Island
https://www.infosecisland.com/blogview/18345-ISO-27002--What-Will-the-Next-Revision-Bring.html

Комментариев нет:

Отправить комментарий