Security Lab

Про обновление ISO 27001:2013

Про обновление ISO 27001:2013
<div dir="ltr" style="text-align: left;" trbidi="on"><span style="font-family: inherit;">Первый раз упоминание про появление проекта новой версии ISO 27001 я увидел в твиттере Лукацкого (была ссылка на</span><a href="http://mscservices.blogspot.ru/2013/02/iso-270012013.html" style="font-family: inherit;">пост коллег с обзором</a><span style="font-family: inherit;">;), а потом Сергей Терехов посоветовал посмотреть в блоге "</span><a href="http://blog.iso27001standard.com/" style="font-family: inherit;">ISO 27001 & ISO 22301</a><span style="font-family: inherit;">". Там я и нашел ссылки на проекты </span><a href="http://drafts.bsigroup.com/Home/Toc/50818" style="font-family: inherit;">ISO 27001</a><span style="font-family: inherit;">и </span><a href="http://drafts.bsigroup.com/Home/Toc/50819" style="font-family: inherit;">ISO 27002</a><span style="font-family: inherit;">от 2013 года. Теперь и я их изучил.</span><br /><span style="font-family: inherit;"><br /></span><span style="font-family: inherit;">27002 посмотрел по диагонали, 27001 уже более внимательно. Изменений много и общее ощущение от них позитивное, стандарт стал чуть лучше и удобнее. Хотя чувствуется. что стандарты ITIL (ITSM) и COBIT ушли чуть дальше с точки зрения методологий и ориентации на задачи и цели бизнеса. </span><br /><span style="font-family: inherit;">Изменения ISO 27001 коснулись основной (текстовой) части стандарта и перечня механизмов контроля (Приложение А). Рассматривать их имеет смысл раздельно.</span><br /><span style="font-family: inherit;"><br /></span><h3 style="text-align: left;"><span style="font-family: inherit;">Изменения в текстовой части</span></h3>
  1. <span style="font-family: inherit;">Изменилась структура и наполнение стандарта, теперь пункты такие:</span>
    • <span style="line-height: 19.983333587646484px;"><span style="font-family: inherit; font-size: x-small;">0 Introduction</span></span>
    • <span style="line-height: 19.983333587646484px;"><span style="font-family: inherit; font-size: x-small;">1 Scope</span></span>
    • <span style="line-height: 19.983333587646484px;"><span style="font-family: inherit; font-size: x-small;">2 Normative references</span></span>
    • <span style="line-height: 19.983333587646484px;"><span style="font-family: inherit; font-size: x-small;">3 Terms and definitions</span></span>
    • <span style="line-height: 19.983333587646484px;"><span style="font-family: inherit; font-size: x-small;">4 Context of the organization</span></span>
    • <span style="font-family: inherit; font-size: x-small;"><span style="line-height: 19.983333587646484px;">5 Leadership</span><span style="line-height: 19.983333587646484px;">6 Planning</span></span>
    • <span style="line-height: 19.983333587646484px;"><span style="font-family: inherit; font-size: x-small;">7 Support</span></span>
    • <span style="line-height: 19.983333587646484px;"><span style="font-family: inherit; font-size: x-small;">8 Operation</span></span>
    • <span style="line-height: 19.983333587646484px;"><span style="font-family: inherit; font-size: x-small;">9 Performance evaluation</span></span>
    • <span style="line-height: 19.983333587646484px;"><span style="font-family: inherit; font-size: x-small;">10 Improvement</span></span>
  • <span style="line-height: 19.983333587646484px;"><span style="font-family: inherit;">Уже привычного пункта 4 "Information security management systems" вы не найдете, часть положений включены в п.4-10. Стало удобнее, но пока не привычно.</span></span>
  • <span style="font-family: inherit;"><span style="line-height: 19.983333587646484px;">Появился новый термин "Interested parties", это что-то типа "заинтересованных лиц", хотя странно, что не используют уже привычный "</span></span><span style="line-height: 19.983333587646484px;">stakeholders</span><span style="font-family: inherit;"><span style="line-height: 19.983333587646484px;">". Внедряя СУИБ, мы теперь должны понимать их потребности и ожидания.</span></span>
  • <span style="font-family: inherit;"><span style="line-height: 19.983333587646484px;">Выделен блок "Leadership" (Лидерство), в котором прописано то, как руководству компании следует показывать приверженность СУИБ. Появление данного пункта не может не радовать, в прошлой версии стандарта на п.5 "Management responsibility" было меньше акцента, хотя это, по моему мнению, самая важная часть всей методологии. Без поддержки и приверженности руководства у нас не получится внедрить СУИБ.</span></span>
  • <span style="line-height: 19.983333587646484px;"><span style="font-family: inherit;">Внесены небольшие правки в требования к политике ИБ. Да, именно "политика ИБ", а не "политика СУИБ". </span></span><span style="line-height: 19.983333587646484px;">Обратите внимание, что сам термин СУИБ (ISMS) стал встречаться в тексте намного реже...</span>
  • <span style="line-height: 19.983333587646484px;"><span style="font-family: inherit;">Появилось понятие "risk owner", внесены правки в положения, связанные с оценкой рисков в сторону упрощения подхода.</span></span>
  • <span style="line-height: 19.983333587646484px;"><span style="font-family: inherit;">Сделан акцент на необходимость понимания и пересмотра "information security objectives" (п.6.2).</span></span>
  • <span style="line-height: 19.983333587646484px;"><span style="font-family: inherit;">Довольно удобно выделен пункт "Support" (п.7). В нем сделан акцент на предоставление ресурсов, наличию компетенций, повышение осведомленности и управление. коммуникациями. Кстати, аналога последнему (Communication) в прошлой версии не было.</span></span>
  • <span style="line-height: 19.983333587646484px;"><span style="font-family: inherit;">Внесены правки в требования по документации. Сейчас пункт называется "Documented Information", требования к документам и записям объединены и упрощены.</span></span>
  • <span style="font-family: inherit;"><span style="line-height: 19.983333587646484px;">Внесены небольшие правки в пункты, связанные с аудитом, мониторингом и оценкой руководства. Они представлены в п.9 "</span><span style="line-height: 19.983333587646484px;">Performance evaluation"</span></span>
  • <span style="line-height: 19.983333587646484px;"><span style="font-family: inherit;">В пункте "Improvement" (Совершенствование) пропало упоминание превентивных действий, вместо них предлагается использовать немного другой подход, основанный на оценке  "Nonconformity" (несоответствие). </span></span><h3 style="text-align: left;"><span style="font-family: inherit;">Изменения в перечне механизмов контроля</span></h3><span style="font-family: inherit;">Первое, что бросается в глаза - это изменение доменов и перечня механизмов контроля (кстати, их стало меньше). Вот актуальный список доменов:</span><br />
    • <span style="font-family: inherit;">A.5 Security Policies. Внесены минимальные правки по тексту, но обратите внимание, что теперь в явном виде указано, что политика не одна, а их несколько...</span>
    • <span style="font-family: inherit;">A.6 Organisation of information security. Блок A.6.2 "External paties" исключен (даже скорее перенесен в другие домены), в блоке А.6.1 "Internal organisation" серьезные правки в списке механизмов контроля (в явном виде прописали про роли и ответственность, добавили разделение полномочий, и управление проектами и пр.). Добавлен блок "Mobile devices and teleworking" (в прошлой версии удаленная работа была в домене "A.11. Access Control";).</span>
    • <span style="font-family: inherit;">A.7 Human resource security. Минимальные правки по тексту в А.7.1 и А.7.2, в А.7.3 сокращен перечень механизмов контроля.</span>
    • <span style="font-family: inherit;">A.8 Asset management.А.8.1 с минимальными правками, А.8.2 перечень механизмов  онтроля расширен (например, сюда "пришел" "Return of assets" из A.7.3). Добавлена группа A.8.3 "Media handling" (раньше была в А.10.7).</span>
    • <span style="font-family: inherit;">A.9 Access control. Сильно изменен перечень механизмов контроля и их группировка, общее количество сокращено. Но, на мой взгляд, стало понятнее и удобнее.</span>
    • <span style="font-family: inherit;">A.10 Cryptography. Сделали самостоятельным доменом (раньше был A.12.3), содержит как и A.5 всего 2 механизма контроля.</span>
    • <span style="font-family: inherit;">A.11 Physical and environmental security. Небольшие правки в перечень механизмов контроля.</span>
    • <span style="font-family: inherit;">A.12 Operations security. Небольшие правки связанные скорее с перегруппировкой механизмов контроля. Из приятного, механизмы контроля против "malicious code" и "mobile code" логично объединены в A.12.2 "Protection from malware".</span>
    • <span style="font-family: inherit;">A.13 Communications security. Новый домен, но механизмы контроля нам уже знакомы. Состоит из групп: </span><ul>
    • <span style="font-family: inherit;">A.13.1 Network security management</span>
    • <span style="font-family: inherit;">A.13.2 Information transfer</span>
    </li>
  • <span style="font-family: inherit;">A.14 System acquisition, development and maintenance. Много правок.</span>
  • <span style="font-family: inherit;">A.15 Supplier relationships. Новый домен, состоит из групп: </span>
    • <span style="font-family: inherit;">A.15.1 Security in supplier relationships</span>
    • <span style="font-family: inherit;">A.15.2 Supplier service delivery management</span>
    </li>
  • <span style="font-family: inherit;">A.16 Information security incident management. Увеличили число механизмов контроля до 7 и поместили в одну группу "Management of incident management"</span>
  • <span style="font-family: inherit;">A.17 Information security aspects of business continuity management. Сократили число механизмов контроля.</span>
  • <span style="font-family: inherit;">A.18 Compliance. Пересмотрен серьезно. В частности, удалена группа A.15.3 "Information security systems audit considerations"</span></ul><div><span style="font-family: inherit;"><br /></span></div><div><span style="font-family: inherit;">В своем блоге Dejan Kosutic <a href="http://blog.iso27001standard.com/2013/02/11/main-changes-in-the-new-iso-27002-2013-draft-version/?utm_source=rss&utm_medium=rss&utm_campaign=main-changes-in-the-new-iso-27002-2013-draft-version">приводит </a>еще и такую информацию:</span></div><div>
    • <span style="font-family: inherit;">Перечень новых механизмов контроля:</span><ul>
    • <span style="font-family: inherit; font-size: x-small;">14.2.1 Secure development policy</span>
    • <span style="font-family: inherit; font-size: x-small;">14.2.5 System development procedures</span>
    • <span style="font-family: inherit; font-size: x-small;">14.2.6 Secure development environment </span>
    • <span style="font-family: inherit; font-size: x-small;">14.2.8 System security testing</span>
    • <span style="font-family: inherit; font-size: x-small;">16.1.4 Assessment and decision of information security events</span>
    • <span style="font-family: inherit; font-size: x-small;">17.2.1 Availability of information processing facilities</span>
  • <span style="font-family: inherit;">Перечень убранных механизмов контроля </span>
    • <span style="font-family: inherit; font-size: x-small;">6.2.2 Addressing security when dealing with customers</span>
    • <span style="font-family: inherit; font-size: x-small;">10.4.2 Controls against mobile code</span>
    • <span style="font-family: inherit; font-size: x-small;">10.7.3 Information handling procedures</span>
    • <span style="font-family: inherit; font-size: x-small;">10.7.4 Security of system documentation</span>
    • <span style="font-family: inherit; font-size: x-small;">10.8.5 Business information systems</span>
    • <span style="font-family: inherit; font-size: x-small;">10.9.3 Publicly available information</span>
    • <span style="font-family: inherit; font-size: x-small;">11.4.2 User authentication for external connections</span>
    • <span style="font-family: inherit; font-size: x-small;">11.4.3 Equipment identification in networks</span>
    • <span style="font-family: inherit; font-size: x-small;">11.4.4 Remote diagnostic and configuration port protection</span>
    • <span style="font-family: inherit; font-size: x-small;">11.4.6 Network connection control</span>
    • <span style="font-family: inherit; font-size: x-small;">11.4.7 Network routing control</span>
    • <span style="font-family: inherit; font-size: x-small;">12.2.1 Input data validation</span>
    • <span style="font-family: inherit; font-size: x-small;">12.2.2 Control of internal processing</span>
    • <span style="font-family: inherit; font-size: x-small;">12.2.3 Message integrity</span>
    • <span style="font-family: inherit; font-size: x-small;">12.2.4 Output data validation</span>
    • <span style="font-family: inherit; font-size: x-small;">11.5.5 Session time out</span>
    • <span style="font-family: inherit; font-size: x-small;">11.5.6 Limitation of connection time</span>
    • <span style="font-family: inherit; font-size: x-small;">11.6.2 Sensitive system isolation</span>
    • <span style="font-family: inherit; font-size: x-small;">12.5.4 Information leakage</span>
    • <span style="font-family: inherit; font-size: x-small;">14.1.2 Business continuity and risk assessment</span>
    • <span style="font-family: inherit; font-size: x-small;">14.1.3 Developing and implementing business continuity plans</span>
    • <span style="font-family: inherit; font-size: x-small;">14.1.4 Business continuity planning framework</span>
    • <span style="font-family: inherit; font-size: x-small;">15.1.5 Prevention of misuse of information processing facilities</span>
    • <span style="font-family: inherit; font-size: x-small;">15.3.2 Protection of information systems audit tools</span>
    </li></ul></div><div><span style="font-family: inherit;">Эх, хорошо было бы сделать маппинг старой и новой версий...</span></div><div><span style="font-family: inherit;"><br /></span></div><h3 style="text-align: left;"><span style="font-family: inherit;">Итого</span></h3><div><span style="font-family: inherit;">Появление уже практически финальной версии документов не может не радовать. Стандарт развивается, становится удобнее. Заметно, что ISO очень хорошо гармонизировала свои стандарты, те нововведения, которые мы увидели в ISO 22301, появились и в проекте ISO 27001 (это явно видно по структуре и содержанию текстовой части, они практически идентичны за исключением специфичных вопросов). При этом обновление стандарта скорее "косметическое" принципиально новых идей я не увидел. А это большой минус. Сравнивая с изменениями в других методологиях (переход с ITIL v2 на ITIL v3 и с COBIT4/4.1 на COBIT5), ISO 27001 начинает выглядеть уже "отстающим", для решения насущных вопросов безопасности я уже начинаю использовать другие стандарты и методологии, т.к. в них приводятся чуть более конкретные примеры перечней документов и записей, ролей (в том числе и RACI-chart), хорошие описания процессов и их взаимосвязи, а также другие полезные и важные идеи ("governance", стратегии, цели бизнеса и пр.).</span></div></div>
  • Alt text

    Большой брат следит за вами, но мы знаем, как остановить его

    Подпишитесь на наш канал!

    Andrey Prozorov

    Информационная безопасность в России и мире