Новый ISO 27001:2013 - два в одном: либерализация и гармонизация

Новый ISO 27001:2013 - два в одном: либерализация и гармонизация
Славчо Ненков – 12.02.2013

Новость для публикации проекта новой версии стандарта ISO / IEC 27001:2013 я встретил с большим интересом как его ожидали и другие коллеги работающие в области информационной безопасности. Существовали ожидания для серьезных изменений в стандарте. Самое экзотическое для меня было ожидание об удалении Анекса А, оставляя решение о выборе средтсв управления информационной безопасностью полностью на усмотрение консультанта (внедряющей организации). Вот мои впечатления после прочтения проекта стандарта:

Основное изменение стандарта для меня направлено в сторону либерализации. И не смотря на то что Анекс А еще находится на своем месте (к счастью, не всегда интерпретация является лучшим решением, особенно когда консультанты спешат с внедрением системы ... :)), есть достаточно изменений в этом духе. Вот основные:

Отсуствуют требования об обязательных документированных процедур
В старой версии стандарта существует требование для наличии четырех обязательных документированных процедур, а именно: управление документами, внутренные аудиты, корректирующие действия, предупреждающие действия. В проекте новой версии стандарта отсутствует такое требование.

Отсуствует перечень обязательных документов СУИБ
В старой версии стандарта пункт 4.3.1 содержит перечень обязательных документов СУИБ. Проект новой версии стандарта не содержит такого подробного списка обязательных документов.

Либерализация в оценке риска
В отличие от действующей версии стандарта ISO / IEC 27001:2005, проект новой версии не содержит требования о наличии документированной методологии для оценки риска. Существует требование для предварительного определения процесса оценки риска, но нет безусловного требования о документировании.
Еще больше либерализация в определении методологии для оценки риска. Активы, угрозы и уязвимости здесь не фиксированы как основа для оценки риска, существует только требование для идентификации рисков, связанных с конфиденциальностью, доступностью и целостностью информации. Как – это решает внедряющая организация. Последствия/воздействие и вероятность остаются основой для определения уровней риска.

Отсуствует акцент на предупреждающие действия
В проекте новой версии стандарта отсуствует пункт о  предупреждающих действиях. Основное внимание сосредоточено на различие между терминами „коррекция“ и „корректирующее действие“, но пункт о предупреждающих действиях отсуствует.

Второе заметное изменение в проекте новой версии ISO/IEC 27001 - это гармонизация с требованиями Анекса SL ISO/IEC 2012 Директивы. Структура стандарта обновлена, содержит уже 11 пунктов и знакомий Анекс А, и соответствует структуре рекомендуемой ISO/IEC Директивой. В самом деле, такие изменения ожидают и другие стандарты, относящиеся к системам управления - такие, как ISO 9001, ISO 20000-1 и другие.
Кроме структуры стандарта, дух общего содержания тоже направлен на гармонизацию с требованиями других стандартов для систем управления и на лучшую интеграцию в общем процессе управления.

 

===========================================

www.mscservices.eu - Ваши ISO консультанты
===========================================

Другие важные изменения в стандарте относятся к следующим областям:
Введен термин „leadership” который значительно приводит понимание руководства к духу и принципам стандарта ISO 9001:2008.
Введен термин "заинтересованные стороны", к которому относятся клиенты, поставщики, партнеры, законодательные и регулирующие органы и другие. Заинтересованные стороны должны быть идентифицираны и описаны со стороны организации.
В проекте новой версии использована концепция «документированная информация», которая включает в себе термины „документы“ и „записи“. В общем, основные требования к документам и записям в текущей версии стандарта сохранены.
На месте знакомого "владелец актива" введено понятие "владелец риска", которое ссылается на ISO 31000 и рассмотривает процесс на уровни рисков. Этот стандарт адресован и при определении принципов, к которым должны быть адаптированы оценка рисков и воздействие на риски.
Определены более конкретные и четкие правила для определения целей, процедуры для их измерения, анализа и оценки результатов.
Создан новый пункт „Коммуникации“, касающийся к обязательствам в отношении коммуникаций, связанные с безопасностью информации внутри и за пределами организации.

Изменения в Анексе А стандарта не особо революционные и в основном связаны с изменениями в число средств контроля и группы средтсв контроля, с распределением средств контроля по группам и редактированием текущего содержания некоторых из них.
Общее количество груп средтв контроля в новой версии Анекса А уже 14 вместо нынешних 11. В группах распределены 113 средств контроля вместо нынешних 133.
Ожидается удаление 29 средств контроля из Анекса А текущей версии стандарта (A.6.1.1, A.6.1.4, A.6.2.1, A.6.2.2, A.10.2.1, A.10.4.2 ., A.10.7.4, A.10.8.5, A.10.9.3, A.10.10.2, A.10.10.5, A.11.4.2, A.11.4.3, A.11.4.4, A.11.4.6, A.11.4.7, A.11.5.2, A.11.5.5, A.11.5.6, A.11.6.2, A.12.2.1, A.12.2.2, А. 12.2.3, A.12.2.4, A.12.5.4, A.14.1.2, A.14.1.4, A.15.1.5, A.15.3.2).
Добавлены 9 новых средств контроля как следует:
- А.6.1.4 Information security in project management
- A.12.6.2 Restrictions on software installation
- A.14.2.1 Secure development policy
- A.14.2.5 System development procedures
- A.14.2.6 Secure development environment
- A.14.2.8 System security testing
- A.16.1.4 Assessment and decision of information security events
- A.16.1.5 Response to information security incidents
- A.17.2.1 Availability of information processing facilities- A.12.6.2 Ограничения на установку программного обеспечения

Основным результатом изменений в проекте новой версии ISO/IEC 27001 (либерализация) является увеличение свободы применения при построении систем. Таким образом увеличаетсч ответственность консультантов/внедрителей СУИБ за счет более общих требований стандарта. Конечно, это нельзя рассматриваться как возможность читать стандарт так как дьявол читает Евангелие (как возможность для минимизации работ по построению СУИБ), которое к сожалению уже случилось с некторыми стандартами (например ISO 9001).
Другим важным результатом изменения (гармонизация) является возможность для еще лучшей интеграции СУИБ с другими системами управления в организации.

www.mscservices.eu - Ваши ISO консультанты

Как я бы выбрал консультанта для построения системы управления (ISO системы)?

Как я бы выбрал консультанта для построения системы управления (ISO системы)?
Славчо Ненков - iSMS Lead auditor; QMS, iSMS, ITSMS, BCMS consultant

Прежде всего я хотел бы уточнить, что эта статья не относится к менеджерам, которые хотели бы «купить» систему управления, или говоря короче - купить сертификат. Для них критерий вибора только один - самая низкая цена, и эта статья является пустой затратой времени. Эта статья предназначена для менеджеров, которые кроме сертификата хотели бы получить и преимущества действительно работающей системы управления в своей организации.

Как поступают все когда решили, что пора внедрить систему менеджмента (ISO системы) в своей организации? Нет проблемов - ответите вы - на рынке большое количество консалтинговых организаций. Обычно все обращаются к консультанту, который уже строил вам другую систему управления. Или ищут рекомендации для консультанта который строил систему управления у знакомого. Или просто делают поиск в Интернете по ключевым словам, выбирают 2-3 консультантов с первой страницы Google и выбирают консультанта дающий лучшее финансовое предложение.

А вы уверены ли что делаете так лучший выбор? Любой человек может ответить себе, но вот как бы я действовал на основе прошлого опыта в этой области:

Идея для первичного отбора среди консультантов, строили систему для вас или ваших коллег, хорошая - это дает информацию о коректности консультанта. Если у меня нет такой возможности, я бы посмотрел в Интернете по ключевым словам, описывающие максимально желаемую систему управления.

После отбора потенциальных консультантов, мы должны выбрать своего консультанта.

Во-первых, я бы запросил информацию и доказательства какие системы строил каждый из этих отобранных консультантов.

Некоторые системы управления считаются «массовыми» - системы менеджмента качества, охраны окружающей среды, безопасносных условий труда, разработаны в соответствии с требованиями ISO 9001, ISO 14001, OHSAS 18001. По построению этих систем работают на практике почти все консультанты и здесь риск нахождения неопытного консультанта не очень большой. Однако внедрение таких систем также требует компетентности и я бы искал доказательства построения таких систем и обратную связь с предыдущими клиентами.

Несколько иначе обстоит вопрос об осуществлении некоторых систем, которые требуют специальных знаний и опыта - такие системы строятся в соответствии с требованиями новых стандартов для рынка СНГ - это ISO 20000-1 (системы управления услугами) ISO 27001 (для систем управления информационной безопасностью), ISO 22000 (для систем управления безопасностью пищевых продуктов), ISO 22301 (для систем управления непрерывности бизнеса), ISO 50001 (для системы энергоменеджмента), ISO 31000 (управление рисками). Выбор консультанта по этим стандартам является значительно более рискованным, потому что там не так много консультантов с опытом работы в странаг СНГ (за исключением ISO 22000).

В этом случае первостепенное значение имеет тщательное изучение опыта консалтинговых организаций. Здесь вы можете легко быть введены в заблуждение, вот некоторые популярные способы:

==========================================================

www.mscservices.eu - ISO 9001, ISO 27001, ISO 20000, ISO 22301, ISO 31000

==========================================================

1. Выбираете консультантов с первых страниц Google

Ошибка - рейтинг в Google основан на платных услугах, или просто на очень хорошей SEO оптимизации, а не на консалтинговой компетентности.

2. Выбираете консультанта, который показал огромное количество стандартов на своей странице.

Ошибка - некоторые консультанты пишут в своей странице все известные им стандарты и ждут когда некоторый клиент "укусить" через поисковые системы любой из них.

Честно говоря, я бы выбрал специализированного консультанта, а не "эксперта во всем». Объяснит это не сложно - каждый из этих стандартов имеет свои особенности и требует глубокого знания, а во многих случаях физически невозможно изучить такую разнообразную и объемную информацию по всем стандартам.

Например, в стандартах группы ISO 27000 насчитывается более 20 стандартов, необходимые для внедрения и аудита систем менеджмента информационной безопасности. Учитывая, что консалтинговые компании как правило имеют не больше 6-7 специалистов по системам управления, вы понимаете что практически невозможно одной компанией охватить в глубине все ведущие стандарты.

3. Выбираете самую низкую предложенную цену и кратчайшие сроки построения.

Большая ошибка - это обычно означает, что вы получите только т.наз. шаблоны, после которого в будущем вы должны своими силами оптимизировать свой бизнес. И не пытаясь быть наставником, я бы сказал, что цены ниже 22 000 - 25 000  USD для построения ISO 27001 в небольшой организации являются подозрительными, а для внедрения ISO 20000-1, ISO 22301 - прямо скажем это смешно.

Кроме того, сроки реализации меньше 5-6 месяцев достаточно нереальные.

После того как я изучил профессиональный опыт и выбрал своего консультанта, необходимо четко определить обязательства сторон, план построения и способ отчета этапов проекта.

Распространенная ошибка со стороны заказчика здесь - не входя в детали плана, сроков и ответственностей за выполнение. Таким образом вы можете получить что-то различное от того, что вы ожидали, а при отсутствии четкого регламента можете попасть в бесконечный спор с консультантом.

И еще одна важная вещь, которую я бы не пропустил - обязательно привлечь своих сотрудников к активному участию в процессе построения. На первый взгляд, это пустая трата ресурсов, потому что мы заплатили за построение консультанту. Но в долгосрочной перспективе я буду иметь подготовленных сотрудников для управления системой и успею снизить зависимость от будущих консультантов.

Я надеюсь, эта статья была полезной для тех, которые решилш внедрить систему управления. А почему консультант будет писать такие статьи? - Потому что консультанты, работающие професионально, предпочитают работать с клиентами, которые знают «правила игры».

По всем дополнительным вопросам, пожалуйста обращайтесь к www.mscservices.eu.

ISO 20000 - Сложно ли внедрить систему управления услугами?

ISO 20000 - Сложно ли внедрить систему управления услугами?
Славчо Ненков - 16.04.2012

Сложно ли внедрить систему управления услугами в соответствии со стандартом ISO 20000-1:2001? Ответ вполне ожидаемый и очень прост - зависит ! И чтобы мой ответ не был очень уклончивым, я обьясню что имею ввиду.

Если в вашей организации уже внедрили систему менеджмента качества (ISO 9001), систему менеджмента информационной безопасности (ISO 27001) и процессы ITIL-a (IT Infrastructure Library), без особых усилий вы можете развернуть свою системu управления услугами (ISO 20000). Потому что у вас и вашего руководства уже есть понимание важности и навыки для внедрения и поддержания систем управления. У вас уже есть основные процедуры, требуемые стандартов как: процедуры для управления документами и записями, для внутренних аудитов, для предупреждающих и корректирующих действий. Вы уже внедрили процессы анализа со стороны руководства и улучшения системы. У вас работают процессы ITIL-а, которые требуются по ISO 20000-1:2011.Вам нужно только привести свои документы к требованиям стандарта, интегрировать свою систему менеджмента сервисов с существующей системой управления качеством и системой управления информационной безопасностью и без особых усилий у вас будет свой ISO 20000.

===================================

http://www.mscservices.eu/ - Ваши ISO консультанты

===================================
Вы скажете - ну, так действительно легко, но сколько таких организациий, которые уже внедрили ISO 9001, ISO 27001 и процессы ITIL-а? Ну не так уж мало.
Тем не менее, продолжим дальше - предположим, что ваша организация большая или средная ИТ-компания, которая имеет опыт сотрудничества с крупнымм международным поставщиком ИТ и телекоммуникационных решений.В этом случае вы неизбежно уже ввели систему управления качеством и систему управления информационной безопасностью из-за требования клиентов (государственные учреждения, банки, телекоммуникационные компании и др). Вы неизбежно должны иметь специалистов, которые знакомы с процессами ITIL-а снова из-за характера Вашей работы. Партнерство с установленными поставщиками ИТ и телекоммуникационных решений неибежно привело вам к внедрению лучших практик в поставки сервисов, потому что это практика крупных производителей - они требуют от своих партнеров соблюдения определенных правил в отношении предоставления услуг и выполняют ежегодные аудиты что бы проверить, как вы соблюдаете их. В этом случае с большой уверенностью можно сказать, что у вас уже реализованы следующие функции и процессы ITIL-а: help desk, планирование и внедрение новых или измененных сервисов, управление уровнем сервисов, отчетность сервисов, управление непрерывностью и доступностью сервисов, управление инцидентами и проблемами, управление изменениями, процесса ввода в эксплуатацию и развертывания. Процесс управления информационной безопасностью обеспечивается внедренной системой управления информационной безопасностью. Процессы управления поставщиками и деловыми отношениями могутбыть предоставлены внедренной системой менеджмента качества. В этом случае необходимо реализовать некоторые дополнительные процессы, такие как: бюджетирование и бухгалтерский учет сервисов, управление емкости, управление конфигурациями, которое при наличии приобретенных навыков организации для внедрения и поддержания процессов, никак не сложно.

Ну, а если ваша организация не имеет опыта сотрудничества с международным производителем ИТ и коммуникационного оборудования и не внедряла ни одного из вышеуказанных процессов? Ну, тогда вам нужно реализовать все это. Конечно, если у вас действует система менеджмента качества и система менеджмента информационной безопасности, это облегчит вашу работу так как вы можете использовать их для обеспечения процессов управления поставщиками, деловыми отношениями и безопасностью информации.

А если вы не внедрили ISO 9001 и ISO 27001? Ну, тогда вам придется больше поработать. Вот почему я начал статью с этим "зависит".
Впрочем вполне нормально ожидать от организации, в которой возникла необходимость осуществления ISO 20000, что она использует передовой опыт в области ИТ-сервисов . ..

http://www.mscservices.eu/ - Ваши ISO консультанты

"Облачные" услуги и ISO 27001 / BS 25999

"Облачные" услуги и ISO 27001 / BS 25999Деян Кошутич - 30 мая 2011

Все чаще и чаще люди спрашивают меня что делать с "облачными" сервисами в контексте ISO 27001 и BS 25999. Мой ответ: руководствуйтесь здравым смыслом.
Их дилемма вполне понятна - эти стандарты были написаны до того времени пока "облачные" услуги не были настолько серьезный фактор и следовательно нет особого акцента на "облачные" услуги в любом из этих стандартов. Что еще хуже, перебои в поставках "облачных" услуг  вызвали серьезные проблемы для других бизнесов, работающих в интернете, как это было недавно в случае с Amazon Web Services (более подробную информацию о AWS и ISO 27001 можете прочитать в статье Означает ли ISO 27001 что информация на 100% безопасна?).
Поэтому их позиция: поскольку мы не можем контролировать информацию в "облаке", безопасность информации в данном случае это просто мертвое слово.

Новая концепция?
Я не согласен с этим. Дело в том - "облачные" услуги являются не чем иным, кроме аутсорсинга (хранения или обработки информации).
А вы уже делаете аутсорсинг иной деятельности, которая может создать угрозу для безопасности вашей информации - программное обеспечение, как правило, разработано вне организации; вы наверное имеете внешних поставщиков, которые поддерживают ваше апаратное и программное обеспечение (иногда с возможностью удаленного доступа к сети); скорее всего у вас есть какой-то внешный обслуживающий персонал на месте (например для инфраструктуры); наверняка у вас есть консультанты и/или аудиторы на месте (которые знают уязвимости вашей компании), и скорее всего, у вас есть внешный персонал по очистке (и они имеют доступ к большей части оборудования, когда никого нет там).
Поэтому, я бы сказал, что хотя "облачные" услуги являются новыми технологическими возможностями, главная проблема аутсорсинга остается прежней - насколько вы можете верить своему аутсорсинг партнеру?

Здравый смысл
Здесь нужно применить здравый смысл, или иными словами исполнить требования ISO 27001 и BS 25999-2 - вы должны сделать  оценку рисков, чтобы узнать потенциальные риски, а затем ви должны выбрать своего партнера мудро и применить необходимые средства управления для уменьшения этих рисков.
В своем механизме контроля ??A.6.2.1 ISO 27001 требует определить "... риски для информации организации и средств обработки информации, вытекающие из бизнес-процессов с участием внешних сторон"; A.6.2.3 требует рассмотрение вопросов безопасности в соглашениях, которые «... должны охватывать все соответствующие требования безопасности "; есть также различные другие средства управления определяющие резервное копирование информации (A.10.5.1), контроль доступа (А.11), классификация (A.7.2.1) и др. В пункте 4.1.1 BS 25999-2 требует "... выявить все зависимости, имеющие отношение к критической деятельности, включая поставщиков и аутсорсинг партнеров", в пункте 4.1.2 "... понять угрозы и уязвимости ... в том числе вызванные поставщиками и аутсорсинг партнерами", а в пункте 4.2 «... определить, как будет восстанавливать каждую критическую деятельность ... в том числе продукты и услуги поставщиков и аутсорсинг партнеров".

========================================================

http://www.mscservices.eu/ - Ваши ISO консультанты

========================================================
Так что же можно сделать, чтобы уменьшить риск от "облачных" сервисов? Вот несколько очень простых советов:

• Сделайте тщательную проверку потенциального поставщика - не только записей его производителности, но и биографии его руководства, были ли реализованы политики и процедуры по информационной безопасности и непрерывности бизнеса, финансовой стабильности, правовых рисков и т.д.
• Введите очень конкретные пункты по безопасности в договоре с поставщиком, где самый большой акцент будет на вопросах, которые вызвали самые высокие опасения в ходе оценки рисков.
• Храните резервное копие информации локально - несмотря на то, что поставщики "облачных" услуг будут (возможно) делать регулярное резервное копирование, это всегда хорошая идея чтобы иметь прямой контроль над информацией. (например, банковские регуляторы в некоторых странах ввели правила для местных банков сохранять резервное копие в стране именно из-за этого риска.) 
• Разработайте свою стратегию о том, как вернуть обработку/архивирование информации обратно в вашу компанию (ре-инсорсинг) в случае возникновения проблем у поставщика "облачных" услуг - вы должны знать какие шаги необходимы, а также какие ресурсы.
• стратегией выхода может быть также иметь альтернативных поставщиков "облачных" услуг, готовы подключиться если существующий партнер работает плохо.
• Регулярно выполняйте проверки вашего поставщика, чтобы узнать соблюдает ли он пункты по безопасности в соглашении.
Конечно, большинство из вещей, упомянутых здесь, кажется невозможны для небольших компаний. Но в таком случае, вы действительно доверите ли им вашу важную информацию, не имея никаких гарантий? Иногда для вас лучше без "облачных" услуг - это то, что ваше руководство должно решить: они должны найти баланс между ценой, удобством и рисками.

Управляйте свои риски
Я не хочу сказать здесь, что риски "облачных" услуг такие же как другие риски аутсорсинга, потому что это не так - "облачные" услуги обычно несут более высокие риски. Я также не хочу сказать, что ISO 27001 и BS 25999-2 (вскоре ставший ISO 22301), не должны быть более конкретными в области "облачных" услуг, потому что они должны быть. Я также думаю, что законодательство должно решить эту проблему очень быстро.

Вот что я хочу сказать здесь: несмотря на то, что риски связанные с "облачными" услугами являются высокими, это не означает что они не могут быть уменьшены.

Поэтому вы должны использовать здравый смысл при выборе поставщика "облачных" сервисов - если вы не верите своему поставщику в полном объеме, то не доверяйте ему свою ценную информацию.

http://www.mscservices.eu/ - Ваши ISO консультанты

Является ли ISO 27001“техническим” стандартом?

 

Я вижу в своей практике, что подавляющее большинство клиентов, приступающие к осуществлению проекта по разработке и внедрению системы управления информационной безопасностью, уверены что это чисто технический ИТ-проект. Многие люди, которые не участвовали в таких реализаций, но слышали о ISO 27001 стандартe, также убеждены, что это чисто технический стандарт. Так говорят и многие специалисты в области ИТ и коммуникаций, которые слышали о стандарте, но никогда не читали его. И между прочим, данный стандарт, классифицируется в группе стандартов ISO- Information technology (Информационные технологии). Кроме того, большая часть средств для управления информационной безопасностью в информационной системе - технические - программное и аппаратное обеспечение. Все эти средства управляются серьезно обученными ИТ специалистами.

А что это значит? Означает, что стандарт технический.

Да, но это не так. ISO 27001 –не технический, а прежде всего организационный стандарт, какие еще ISO 9001, ISO 14001, OHSAS 18001.

Термины «информация» и «информационная безопасность» не следует вводить нас в заблуждение. Информация может существовать в различных формах: в письменной форме на бумаге, в электронной форме, в виде микрофильмов, обмен информацией в разговоре. И в каждой форме ее существования, система управления информационной безопасностью (СУИБ) должна обеспечить ее безопасности (конфиденциальности, целостности и доступности). Как ни странно это звучит, вполне возможно строить, сертифицировать и эксплуатировать СУИБ организации без компютеров.

Основные задачи в строительстве СУИБ являются: определение области применения системы, определение политики информационной безопасности, оценка рисков. Это, прежде всего стратегические и организационные задачи.

=====================================

www.mscservices.eu/ru - Ваши ISO консультанты

===================================== 

 

А что насчет обязательных процедур системы? Процедуры для управления документами, внутренных аудитов, корректирующих и предупреждающих действий практически идентичны тем, которые в ISO 9001, с небольшими дополнениями.

А измерение эффективности? Оборудование и программное обеспечение являются лишь средством для достижения определенных целей.

Знаете ли вы, откуда берутся крупнейшие потенциальные угрозиы для системы? Нет, хакеры не являются самыми опасными для вашей системы. Персонал. крупнейшие потенциальные угрозы для системы происходят от ваших сотрудников- из-за некомпетентных или злонамеренных действий или бездействий. И основные средства управления, которые применяются здесь - правовые и организационные действия.

А как же, для таких важных вопросов, таких как предоставление ресурсов для системы со стороны руководства или анализа системы? Являются ли они техническими, а не организационными мероприятиями?

Да, конечно, для обеспечения информационной безопасности системы, в области применения которой находится крупная и сложная информационная система обрабатывающая и хранящая ценную информацию, являются жизненно важными квалифицированные ИТ-специалисты. Но в любом случае, стандарт ISO 27001 требует прежде всего усилия в разработке и реализации организационных мер, даже если онш в области ИТ.

В поддержку этого заявления я расскажу вам о случае неудачной реализации СУИБ. Большая компьютерная компания в Болгарии, начиная реализацию проекта СУИБ, наняла консультантом в реализации системы ведущий ITIL специалист. Проект длился около 8 месяцев и компания инвестировала более € 80 000 в передовых ИТ-технологий для проекта, а также и немало денег для оплаты консультанта. Во время сертификационного аудита были подняты 25 несоответствий со стороны ведущего консультанта (4 основные и 21 вторичных). И угадайте какие корректируюшие меры были предложены после дополнительных 4-х месяцев со стороны компании – организационные меры !

Я надеюсь, что подняты в статье вопрос вызовет различные комментарии и мнения на эту тему.

www.mscservices.eu/ru

Пять величайших мифов о ISO 27001

Пять величайших мифов о ISO 27001

публикация: Деян Кошутич

Очень часто я слышу вещи о ISO 27001 и не знаю - смеяться или плакать над ними. На самом деле это смешно, как люди склонны принимать решения о чем-то они знают очень мало - вот наиболее распространенные заблуждения:

"Стандарт требует ..."

"Стандарт требует чтобы пароли менялись каждые три месяца." "Стандарт требует, чтобы несколько поставщиков должны существовать." "Стандарт требует чтобы сайт аварийного восстановления был на не менее 50 километров от основного сайта."

Действительно ли это? Стандарт не говорит ничего подобного. К сожалению, такого рода ложную информацию я слышу довольно часто - люди, как правило путают наилучшую практику с требованиями стандарта, но проблема в том, что не все правила безопасности применимы для всех типов организаций. И люди, которые утверждают, что это предписано стандартом, наверное, никогда не читали стандарта.

"Мы оставим ИТ-отдела справиться с этим"

Это любимое руководству - "Информационная безопасность относится исключительно к ИТ, не так ли?" . Ну, не совсем - наиболее важные аспекты информационной безопасности включают в себя не только ИТ-мер,  но  и  организационные вопросы, и управление человеческими ресурсами, которые обычно находятся вне досягаемости ИТ-отдела.

"Мы сможем внедрить его в течение нескольких месяцев"

Вы смогли бы внедрить ISO 27001 в течение 2 или 3 месяца, но он не будет работать - вы только получите кучу политик и процедур, о которых никто не заботится . Внедрение информационной безопасности означает, что надо внести изменения и требуется  время  чтобы  эти изменения  сработали.  Не говоря уже о том, что вы должны внедрить только те механизмов контроля  безопасности,  которые  действительно  необходимы,  и анализ того,  что  действительно  необходимо, требует времени, - это называется оценка рисков и уменшение рисков.

===================================

www.mscservices.eu - Ваши ISO консультанты

===================================

"Этот стандарт относится исключительно к документации"

Документация является важной частью внедрения ISO 27001, однако документация не самоцель. Самое главное, что вы выполняете свою деятельность безопасным способом и документация находится здесь, чтобы помочь вам сделать это.

Кроме того, записи, которые вы производите, помогут вам оценить достигнули ли вы ваши цели для обеспечения информационной безопасности и даст вам возможность исправить те деятельности, которые являются неадекватными.

"Единственное преимущество стандарта - это для маркетинговых целей"

"Мы делаем это только для получения сертификата, не так ли?". Ну, этим (к сожалению) способом 80 процентов компаний думают.  Я не  пытаюсь утверждать здесь,  что ISO 27001  не должны использовать  в рекламных и в целях продажи, но вы можете также достигнуть другие очень важные преимущества - например для предотвращения случая  WikiLeaks в вашей организации.

Дело в том - прочитайте ISO 27001, прежде чем вы формируете свое мнение о нем, или если слишком скучно для Вас читать его  (я признаю -это правда),  проконсультируйтесь с тем,  кто  имеет  некоторые реальные знания о нем.  И постарайтесь получить и некоторые другие преимущества, кроме маркетинговых.

Другими словами, увеличайте свои шансы сделать выгодные инвестиции в области информационной безопасности.

www.mscservices.eu - Ваши ISO консультанты

Управление на риска в информационните технологии

Управление на риска в информационните технологии
oт Алан Калдър

Тъй като информационните технологии все повече попадат в обхвата на корпоративното управление, то мениджмънтът трябва все повече да се фокусира върху управлението на риска за постигането на бизнес целите си.
Има два основни компонента на ефективното управление на риска за информацията и информационните технологии: първият се отнася до стратегическото разгръщане на на информационните технологии в организацията, за да постигне тя своите корпоративни цели, вторият се отнася до рисковете за инфраструктура. ИТ системите обикновено ознчават значителни инвестиции на финансови и изпълнителски ресурси. , Начинът, по който са планирани, управлявани и измервани трябва да бъде съответтно ключов измерител за мениджмънта, както и начина, по който рисковете, свързани с информационните активи, сами по себе си са управлявани.

Ясно е, добре управляваните информационни технологии са бизнес фактор. Всяко внедряване на  информационни технологии носи със себе си непосредствени рискове за организацията и следователно, всеки директор или управленец, който внедрява, или мениджър, който използва по някакъв начин информационните технологии, трябва да разбере тези рискове и стъпките, които трябва да бъдат направени за борба с тях.
ITIL отдавна е предоставил богата колекция от най-добрите практики за управление на ИТ процеси и ръководства за това. Независимо от широката гама от практически-ориентирани сертифицирани  квалификации, не е възможно за всяка организация  да докаже на своето ръководство – камо ли на външна трета страна - че е предприела стъпка за намаляване на риска чрез внедряване на добри практики.
Нещо повече, ITIL е особено слаба, когато що се отнася до управление на информационната сигурност - ITIL книгата за сигурността на информацията, наистина не прави нещо повече, освен да реферира към вече много остарялата- версия на ISO 17799, код от практики по сигурността на информацията.
Появата на международните “Управление на ИТ услугите  (ISO 20000)” и “Управление на сигурността на информацията (ISO27001)” променя всичко това. Те правят възможно,за организации, които имат успешно внедрена ITILсреда, да бъдат външно сертифицирани като собственици на процеси по сигурност на информационната и управление на ИТ услугите, които процеси отговарят на международния стандарт; организации, които демонстрират - пред клиенти и потенциални клиенти – че качеството и сигурността на техните процеси  за осигуряване на ИТ услугите и  сигурността на информацията постигат значителни конкурентни предимства
Риск за информационната сигурност
Ценността на независимия стандарт за информационна сигурност може да бъде по-непосредствено оценена от практикуващите ITIL отколкото от тези,занимаващи се с управление на  ИТ услугите. Разпространението на все по-сложни, усъвършенствани и глобални заплахи за сигурността на информацията в съчетание с изискванията за съответствие на потопа от компютри – и свързаните с правото за неприкосновеност на личния живот регулации по целия свят, кара организациите да погледнат по-стратегически на сигурността на информацията. Стана ясно, че хардуерно-, софтуерно- или доставчик-ориентирани решения за отделни предизвикателства по информационната сигурност са, сами по себе си, опасно неадекватни. ISO / IEC 27001 (какъвто беше BS7799) помага на организациите да направят стъпка към систематично управление и контролиране на риска за техните информационни активи.
====================================================

www.mscservices.eu - Вашите ISO консултанти

====================================================
Риск за ИТ процесите
ИТ трябва да бъдат управлявани систематично за да се подкрепи организацията в постигането на нейните бизнес цели, иначе те ще нарушат бизнес процесите и ще подкопаят бизнес дейността. ИТ управлението, разбира се, има своите собствени процеси - и много от тези процеси са общи за организации от всякакъв мащаб и в много сектори. Процесите, внедрени за управление на ИТ организацията трябва да бъдат ефективни и да гарантират, че ИТ организацията работи според нуждите на бизнеса. Управление на ИТ услугите е концепция, което съдържа схващането, че ИТ организацията (известна в ISO / IEC 20000, както и в ITIL, като "доставчик на услуги") съществува, за да предоставя услуги за бизнес потребителите в съответствие с нуждите на бизнеса, и да гарантира икономически най-ефективното използване на ИТ активите в този общ контекст. ITIL, IT infrastructure library, се утвърди като сборник от най-добрите практики, които могат да бъдат използвани в различни организации. ISO / IEC 20000, стандартът за за управление на ИТ услуги, предоставя спецификация от най-добрите практики, базирана върху ITIL.

Регулаторен риск и риск за съответствието
Всички организации са обект на редица  изисквания на свързаното с информацията национално и международно законодателство. Те варират от общи корпоративни насоки за управление до подробните изисквания на специални разпоредби. Организациите във Великобритания са предмет на някои или всички от следните регулации:
* Combined Code and Turnbull Guidance (UK)
* Basel2
* EU data protection, privacy regimes
* Sectoral regulation: FSA (1) , MiFID (2) , AML (3)
* Human Rights Act, Regulatation of Investigatory Powers Act
* Computer misuse regulation
Тези организации, които оперират в САЩ също могат да бъдат предмет на регламентите на САЩ като Sarbanes Oxley и SEC регулации, както и от секторни регулаци като GLBA (4), HIPAA (5) и USA PATRIOT Act. Повечето организации вероятно също са предмет на щатското законодателство на САЩ, което изисква да имат широк набор от съответствия, включително със SB 1386 (California Information Practice Act) и OPPA (6). Съответствието зависи колкото от сигурността на информацията, толкова и от ИТ процесите и услугите.
Много от тези наредби са се появили едва наскоро и по повечето няма все още достатъчно практика в съдилищата. Не е имало координирани национални или международни усилия, за да се гарантира, че много от тези правила, особено тези около личната неприкосновеност и защитата на данните - са ефективно координирани. В резултат на това има припокриване и конфликти между много от тези регулации и докато това е от малко значение за организации, търгуващи изключително в рамките на една юрисдикция, реалността е, че много предприятия днес търгуват на международно ниво, особено ако те имат сайт или са свързани към Интернет.

Системи за управление
Системата за управление е формален, организиран подход, използван от дадена организация за управление на един или повече компоненти от нейния бизнес, включително качеството, околната среда и здравословните и безопасни условия на труд, управлението на информационната сигурност и ИТ услугите. Повечето организации - особено по-млади, по-малко зрели, имат някаква форма на системата за управление при тях, дори и ако те не са наясно с това. По-развитите организации използват формални системи за управление, които са сертифицирани от трета страна за съответствие със стандарта за управление на системи. Организациите, които използват формални системи за управление днес включват: корпорации, средни и малки предприятия, правителствени агенции и неправителствени организации (НПО).

Стандарти и сертификати
Формалните стандарти предоставят спецификация,спрямо която една система за управение на дадена организацията, може да бъде независимо одитирана от акредитиран орган за сертификация и ако е установено, че системата за управление отговаря на спецификацията, на организацията може да бъде издадено официално удостоверение, потвърждаващо това. Организациите, които са сертифицирани по ISO 9000 вече ще бъдат запознати с процеса на сертифициране.
Интергрирани системи за управление
Организациите могат да изберат да сертифицират своите системи за управление по повече от един стандарт. Това им дава възможност за интегриране на процесите, които са общи - преглед от ръководството, коригиращи и превантивни действия, контрол на документи и записи, както и вътрешни одити на качеството - за всеки един от стандартите, от които са заинтересовани. Съществува вече привеждане в съответствие на клаузи в ISO 9000, ISO 14001 (стандарт за системи за управление на околната среда) и OHSAS 18001 (стандарт за здравословни и безопасни условия на труд), което поддържа тази интеграция, и което позволява на организациите да се възползват от по-ниска цена на първоначалните одити, по-малко посещения за контролни одити и което е най-важното - позволява на организациите да “свържат” техните системи за управление.
Появата на тези международни стандарти сега позволява на организациите да се разработи интегрирана информационна система за управление, която подлежи на  “мулти” (едновременно по няколко стандарта) сертификационни или външни одити от трета страна, като същевременно  се обляга на задълбочените най-добри практики, съдържащи се в ITIL. Това е огромна стъпка напред за света на ITIL.

www.mscservices.eu - Вашите ISO консултанти