Прошло уже шесть лет с момента последнего пересмотра стандарта ISO/IEC 27002 «Информационные технологии – Методы обеспечения безопасности – Свод хорошей практики управления информационной безопасностью» (Information technology - Security techniques - Code of practice for information security management) в 2005 году – с тех пор многое изменилось в области информационной безопасности, и этот стандарт, безусловно, нуждается в некотором «освежении» (В России действует ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью», идентичный редакции этого стандарта 2000 года – Н.Х.).
Так как ISO 27002 тесно связан с ISO 27001 «Информационные технологии - Методы и средства обеспечения безопасности - Системы менеджмента информационной безопасности - Требования» (Information technology - Security techniques - Information security management systems – Requirements, в России действует идентичный ему ГОСТ Р ИСО/МЭК 27001-2006 – Н.Х.), пересмотр обоих стандартов следует проводить одновременно, и, как ожидается, это произойдет или во второй половине 2012 года, или в 2013 году.
ISO 27001 и ISO 27002
То общее, что эти два стандарта имеют между собой, это 133 меры и средства контроля и управления - они приведены в виде своего рода каталога в приложении А к ISO 27001, и предполагается, что подходящие меры и средства контроля выбираются из этого перечня на основе оценки рисков.
В ISO 27002 все эти 133 меры перечислены снова, но уже вместе с детальным объяснением передового опыта их реализации. Подробно о различиях между ISO 27001 и ISO 27002 я уже писал на моем блоге, см. http://blog.iso27001standard.com/2010/09/13/iso-27001-vs-iso-27002/# .
Именно из-за этой взаимосвязи между двумя стандартами ISO 27002 сменил название в 2007 году (ранее он назывался ISO/IEC 17799), и новое название сделало его частью серии стандартов ISO 27000.
Важнейшее связующее звено между ISO 27001 и ISO 27002 - идентичность структуры приложения A стандарта ISO 27001 и мер контроля и управления, описанных в ISO 27002 - скорее всего, сохранится в новых версиях этих стандартов. Однако способ структуризации и отдельные меры, скорее всего, изменятся.
Ожидаемые изменения
На момент написания данной статьи (октябрь 2011 г.) невозможно было предсказать все изменения в ISO 27002, так как окончательный проект новой редакции еще не был написан. Однако о наиболее вероятных изменениях можно было судить по высказываниям экспертов по ISO 27001, - ниже приведена краткая сводка предложений, поступивших от форума ISO 27000, являющегося ведущим форумом экспертов по стандартам ISO 27001/ISO 27002:
- Подотчетность (Accountability) - определение того, что это понятие означает по отношению к управлению кадровыми ресурсами;
- Аутентификация, управление идентификационными данными (identity management), кража личности (identity theft) – эти понятия следует лучше описать ввиду той ключевой роли, которую они играют для веб-сервисов;
- Облачные вычисления - эта модель становится все более и более доминирующей в реальной жизни, но до сих пор в стандарте о ней ничего сказано не было;
- Безопасность баз данных – технические аспекты не были систематически изложены в текущей редакции;
- Этика и доверие - важные концепции, которые совсем не рассматриваются в действующей редакции стандарта;
- Мошенничество, фишинг, хакинг, социальная инженерия – эти специфические виды угроз приобретают все большее значение, но в текущей редакции они систематически не описаны;
- Управление информацией (governance of information) - данное понятие очень важно для организационных аспектов информационной безопасности, и оно не рассматривается в текущей редакции;
- ИТ-аудит - необходимо обратить больше внимания на аудит компьютерных систем (computer auditing);
- Неприкосновенность частной жизни – требуется более широко, чем сейчас, рассмотреть вопросы защиты персональных данных и исполнения законодательно-нормативных требований, особенно из-за облачных вычислений;
- Устойчивость (resilience) - это понятие полностью отсутствуют в текущей редакции;
- Тестирования уровня безопасности, тестирование приложений, оценка уязвимостей, тесты на проникновение (penetration tests) и т.п. – всё это по существу отсутствует в текущей редакции;
Кроме того, новая редакция ISO 27002 будет чаще ссылаться на другие стандарты, которые более детально описывают конкретные области - например, глава 14 «Управление непрерывностью деловой деятельности» будет ссылаться на ISO 22301 (новый стандарт, специально посвященный управлению непрерывностью деловой деятельности) и ISO/IEC 27031 (делающий упор на ИКТ-аспекты непрерывности деловой деятельности).
Все эти изменения означают, что не только изменятся либо будут добавлены некоторые меры и средства контроля и управления, но изменится и структура стандарта - вместо существующих 11 разделов Приложения A / ISO 27002, вероятно, появится ряд новых разделов, а другие разделы будут объединены.
Эти проблемы структуризации стандарта, вероятно, самые сложные, поскольку отвечающий за пересмотр стандарта орган (технический комитет JTC 1/SC 27) должен будет обеспечить совместимость с существующей редакцией. Именно поэтому в данный момент мы понятия не имеем, как будут выглядеть изменения в структуре стандарта.
Сертификация по ISO 27002?
Многие до сих пор спрашивают меня, можно ли пройти сертификацию по ISO 27002. Здесь положение дел с выходом новой редакции останется прежним – как сейчас, так и потом нельзя будет получить сертификат соответствия ISO 27002, поскольку, в отличие от ISO 27001, он не является стандартом системы менеджмента.
Это означает, что ISO 27002 останется сводом практики (или наилучшей практики) реализации мер безопасности. Это не будет определять систему менеджмента - например, управление документацией, внутренний аудит, анализ, проводимый руководством, корректирующие и предупреждающие действия, управление рисками и т.д. - все это остается в сфере действия ISO 27001. Таким образом, ISO 27001 останется единственным сертифицированным стандартом в серии ISO 27000.
Последствия для СМИБ
Если у Вас уже внедрена система менеджмента информационной безопасности (СМИБ), то Вам незачем особенно беспокоиться - независимо от того, какие новшества принесет с собой новая редакция, у вас будет достаточно времени (как правило, год с момента публикации обоих стандартов) на реализацию изменений.
Как только будут опубликованы новые редакции, Вам нужно будет привести структуру Ваших мер контроля и управления в соответствие с Заявлением о применимости (Statement of Applicability) в новом приложении A в пересмотренном стандарте ISO 27001. И хотя структура особенно сильно не изменится, это приведение в соответствие станет самой большой работой, которая Вас ожидает.
И вот как раз здесь новый ISO 27002 будет особенно полезен - в переходный период, у Вас будет много обновленных вариантов передовой практики на выбор. А так как ISO 27002 достаточно детален, и у Вас будет свобода выбора только тех мер, что подходят Вашей организации, то он, несомненно, облегчит Вам процесс перехода.
Деян Косутич (Dejan Kosutic)
Источник: сайт Infosec Island
https://www.infosecisland.com/blogview/18345-ISO-27002--What-Will-the-Next-Revision-Bring.html
Комментариев нет:
Отправить комментарий