ISO 27001 (или то, во что он превратился) в редакции НБУ

ISO 27001 (или то, во что он превратился) в редакции НБУ
Уверен, не для кого не новость, что в конце прошлого года НБУ наконец-то совершил то, о чем так долго говорилось на всевозможных симпозиумах, конференциях и просто посиделках по информационной безопасности: выпустил отраслевой стандарт банков Украины СОУ Н НБУ 65.1 СУИБ:2010. Технически стандарт состоит из двух частей, которые являются переведенными и модифицированными ISO/IEC 27001 и 27002. "Модификация" состоит в основном в серии Дополнений и Пояснений, которыми пестрит текст перевода. Также, совсем недавно увидели свет Методические рекомендации НБУ по построению СУИБ и оценке рисков, которые, похоже, основываются на ISO/IEC 27003 и 27005 соответственно. По предыстории вроде бы все, теперь по сути поста.

Сразу же после опубликования стандарт вызвал волну бурной критики в сообществе специалистов по ИБ. Реакция вполне естественная, если принимать во внимание требующее существенного улучшения качество перевода и некоторые весьма неординарные рекомендации, выданные в Дополнениях и Пояснениях.

<ЛИРИЧЕСКОЕ ОТСТУПЛЕНИЕ />
Примеры наиболее эффектных трудностей перевода: в стандарте слова confidence, sensitivityи confidentialityпереведены одинаково: конфіденційність. Это, во-первых, не совсем верно, а во-вторых, и я уже раз пять слышал это заблужнение, наталкивает читателя на мысли, что стандарт концентрируется только на конфиденциальности информации, не уделяя при этом внимание целостности и доступности, а это несовсем нетак. Также, у переводчиков очень ярко получилось перевести одинаково слова shallи should, которые в стандартах, законах и аудиторских отчетах означают весьма различные типы предписаний: в случае shall требование следует выполнять без вопросов, а в случае should это и не требование вовсе, а рекомендация. В переведенном стандарте эта разница стерта и все предписания звучат именно как требования. Эта неточность порождает массу недоразумений в восприятии читателей, особенно тех, кто знает, что в оригинале 27001 является сводом требований (should встречается 11 раз, а shall – 189 раз), а 27002 - сводом практических рекомендаций (should - 1032, shall – 4).

Что касается "добавок" Нацбанка к переводу, на меня наибольшее впечатление произвела рекомендация минимальной длины пароля (6 символов) и методов безопасного удаления данных (двойное форматирование). Надеюсь, эти советы имеют под собой практические мотивы, например технические ограничения существующих legacy систем. 
</ЛИРИЧЕСКОЕ ОТСТУПЛЕНИЕ>

Признаюсь честно, я завершил знакомство с СОУ Н НБУ 65.1 совсем недавно, поэтому в о(б)суждении стандартов участия не принимал. Теперь, когда у меня сложилось какое-то мнение о документе, я хочу им поделиться.

Да, я полностью согласен с мнением, что стандарты не идеальны и требуют существенной до- и переработки. И номера стандартов - 1.0 и 2.0 - дают мне повод надеяться, что за первым релизом последуют версии 1.1/2.1, 1.2/2.2 и т.д., в которых документы будут улучшаться.

С другой стороны, если задуматься об инициативе в целом, - создании отраслевого стандарта по управлению информационной безопасностью, - и подходе, который выбрал НБУ, - перевод и модификация международного стандарта де факто, долгие годы служившего эталоном в данной области, - неизбежно приходишь к мысли, что в сложившейся ситуации и с учетом доступных ресурсов, Нацбанк поступил наилучшим возможным образом.

Как этим новым инструментом воспользуются банки Украины, это уже совсем другая история, так что на этом посте мои мысли на данную тему не заканчиваются. Комментарии и критика традиционно приветствуются и вызывают искреннюю благодарность. 
Alt text

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

Vlad Styran

информационно. безопасно.*