Контакты
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии и сертификаты
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Старые сказки на новый лад

    11.02.2013

    Старые сказки на новый лад

    Анна Рыженкова (Соколова), ведущий аудитор ISMS

    На российском рынке волна интереса к стандартам серии ISO 2700х (а в частности, к ставшему тогда международным ISO 27001) поднялась в 2005 г. с подачи крупнейшего органа по сертификации и родоначальника этой серии стандартов BSI. Именно тогда стартовали первые проекты по созданию СУИБ, многие из которых если не были остановлены, то существенно притормозились кризисом 2009 г. Потом всех поглотила тема защиты персональных данных и интерес к международным стандартам как-то сам собой угас. Тем не менее, если посмотреть по реестру клиентов BSI (а именно аудиторы BSI провели практически все сертификации СУИБ в России), то сейчас есть как минимум 16 компаний, имеющих действующие сертификаты соответствия СУИБ требованиям стандарта ISO 27001. Причем среди этих компаний есть как новые имена, так и компании из числа «первопроходцев» (и это не считая те компании, которые когда-то тоже были в этом списке, но продержались в нем совсем недолго).

    Что заставляет сейчас одни компании ввязываться в бесконечный цикл PDCA, а другие поддерживать СУИБ и проходить ресертификационные аудиты на протяжении уже почти 10 лет — это тема отдельной статьи, но так или иначе, общая картина говорит о том, что интерес к ISO 27001 по-прежнему есть. И как подтверждение этому можно заметить периодически возникающие дискуссии (как на специализированных мероприятиях, так и на просторах Интернета) о том как трактовать некоторые положения стандартов, как подойти к внедрению СУИБ и вообще кому и зачем это нужно, Многие любят покритиковать международные стандарты этой серии, возможно, даже вполне обоснованно. И вот сейчас у всех появилась уникальная возможность - поучаствовать в создании новых версий ISO 27001 и ISO 27002.

    17 января 2013 г. комитет JTC 1/SC 27 разместил для публичного обсуждения драфты стандартов ISO/IEC DIS 27001 и ISO/IEC DIS 27002 Теперь любой желающий (а процесс инициирован на международном уровне) до 23 марта 2013 г. может высказать свое мнение по поводу текста стандартов и предложить свой вариант (после регистрации на сайте). К сожалению, российское подразделение BSI об этом событии и таких возможностях на своем сайте почему-то умалчивает.

    Даже беглое ознакомление с новым вариантом ISO 27001 позволяет сделать вывод, что текст стандарта существенно изменен. По замыслу создателей новая высокоуровневая структура должна стать общей для всех стандартов, посвященных Системам управления. Помимо этого во всех стандартах должны использоваться единообразные термины и требования, чтобы упростить интеграцию различных Систем управления.

    Кстати, раздел «Термины и определения» в новом варианте ISO 27001 как таковой отсутствует; в нем дается лишь ссылка на стандарт ISO/IEC 27000, в котором собраны термины и определения для всего семейства стандартов ISO 2700х. Также исчезла ссылка на ISO 27002 как на нормативный документ (раздел 2 в ISO 27001:2005).

    Приложение А, как и раньше, составляет значительную часть стандарта и содержит описание мер (или «контролей», как их часто называют, используя кальку с английского). Однако количество этих мер уменьшилось со 133 до 113, при этом какие-то меры были удалены из перечня, какие-то из оставшихся - перефразированы и объединены, а также было добавлено описание новых мер.

    В предлагаемом варианте ISO 27001 уже нет явного упоминания цикла PDCA, хотя идея постоянного совершенствования СУИБ и основные этапы (планирование, реализация, контроль, корректировка) осталась. При этом из стандарта исчезли положения о предупреждающих (или превентивных) мерах, зато появился отдельный раздел «Воздействие на риски и реализация возможностей», содержание которого перекликается с сутью предупреждающих мер.

    Перед определением области действия СУИБ в новой версии стандарта требуется проанализировать внешнюю и внутреннюю среду компании, а также потребности и ожидания заинтересованных сторон. Раньше такие требования в явном виде и как отдельные разделы не фигурировали. Скорее всего, этот шаг направлен на искоренение вечной проблемы отсутствия «взаимопонимания» между безопасностью и бизнесом. Обособление таких моментов должно способствовать созданию СУИБ на основе бизнес-требований, а не в отрыве от них (как это часто бывает, особенно в российской действительности). Ведь сама по себе СУИБ, если она не решает какие-то бизнес-задачи, может быть интересна, в лучшем случае, отделу безопасности, но не руководству компании.

    Именно на руководство нацелено еще одно нововведение - акцент на определении целей, мониторинге функционирования СУИБ и оценке эффективности. Оценка эффективности мер, связанных с обеспечением безопасности, на основе понятных бизнесу показателей - это достаточно сложная и спорная задача. Расширение требований к этому процессу в ISO 27001 станет своеобразным стимулом для ее развития, хотя бы среди тех компаний, которые хотят декларировать соответствие стандарту. Кроме того, многие обратят более пристальное внимание на стандарт ISO/IEC 27004:2009 Information technology. Security techniques. Information security management. Measurement, что будет способствовать комплексному использованию всей линейки стандартов ISO 2700х.

    Стремление встроить СУИБ в бизнес-среду явно прослеживается и по изменениям в требованиях к оценке рисков. В новой версии стандарта эти требования имеют более общий характер и отражают взаимосвязь между ISO 27001 и ISO 31000. Такие обязательные документы как, например, методика оценки рисков или отчет по результатам оценки рисков теперь отсутствуют, упоминается только «План по воздействию на риски» (risk treatment plan).

    Да и в целом, что касается перечня необходимых для создания СУИБ документов, как это было в разделе 4.3.1 действующей версии стандарта, такого теперь не наблюдается. Помимо упомянутого выше «Плана по воздействию на риски» в новом тексте стандарта можно найти названия еще двух документов - Политика информационной безопасности (information security policy) и «Положение о применимости» (Statement of Applicability). Зато практически каждый раздел заканчивается фразой о том, что в компании должна быть соответствующая документация, подтверждающая функционирование процессов СУИБ. При этом вместо термина «записи» (records) в новом варианте стандарта используется понятие «документированная информация» (documented information). По замыслу разработчиков стандарта, внимание должно уделяться, в первую очередь, содержанию документов, а не их названиям. Такая «свобода» будет на руку тем компаниям, которые задумали создать СУИБ, уже имея какие-то действующие процессы и сопутствующую документацию (не будет необходимости тратить время на переименование, изменение нормативных ссылок и т.п.). Что касается компаний-консультантов, то они, скорее всего, будут предлагать разработку документации в соответствии со «стандартным» перечнем, позаимствованным из ISO 27001:2005 и видоизмененным с учетом новых требований. Отсутствие общего перечня документов дает больше гибкости при создании СУИБ, но при этом пропадает единая «система координат». Между прочим, это несколько усложнит работу аудиторов - они должны будут в полной мере адаптироваться к специфике той компании, которую проверяют.

    Останутся ли все эти нововведения в финальной версии стандарта станет известно либо уже в августе, либо в конце 2013 г., когда будет опубликован финальный драфт (FDIS - Final Draft Internetional Standard), все зависит от объема полученных в ходе публичного обсуждения замечаний и их обоснованности. Ну а пока у профессионального сообщества есть время, чтобы принять участие в этом процессе и попробовать что-то изменить в стандартах к лучшему. Может быть потом и поводов для возмущения требованиями международных стандартов будет меньше...


    Возврат к списку