Международный стандарт ISO/IEC 27001:2013 Взгляд в будущее индустрии ИБ

Дмитрий
Бирюков

Старший консультант отдела контроля и управления рисками, PwC

Екатерина
Токарева

Консультант отдела контроля и управления рисками, PwC

• В 1995 г. Британский институт стандартов (BSI) принял Кодекс управления информационной безопасностью в качестве национального стандарта Великобритании и зарегистрировал его под номером BS7799.
• В 1998 г. BSI публикует стандарт BS7799-2. В стандарте была представлена процедура совершенствования мер обеспечения ИБ, описанных в BS7799, в соответствии с циклом Деминга (Plan - Do - Check - Act), а также системный подход к управлению мерами.
• В 2000 г. британский стандарт BS7799 был адаптирован под требования Международной организации по стандартизации (ISO) и издан под номером ISO/IEC 17799.
• В 2005 г. BS7799-2 становится Международным стандартом ISO/IEC 27001:2005.
• В 2007 г. стандарт ISO/IEC 17799 был включен в линейку стандартов 27-й серии и получил новый номер - ISO/IEC 27002:2005.
• С 2005 г. сертификационный аудит на соответствие требованиям стандарта ISO/IEC 27001:2005 прошло более 17 тыс. компаний по всему миру (по данным BSI). Еще больше компаний не подавали заявок на проведение сертификационного аудита, но использовали стандарт в качестве источника лучших практик при проектировании систем управления ИБ.

Текущая версия стандарта не лишена недостатков

• За 8 лет технологии ушли вперед и некоторые меры безопасности сейчас уже недостаточны. Например, требование по проверке вводимых данных, необходимое для минимизации риска SQL-инъекций, в настоящее время является лишь небольшой частью защиты от хакерских атак, и данный контроль уже не может самостоятельно обеспечить заметное снижение риска.
• Стандарт включает несколько требований, которые являются частными случаями других требований. Например, мера "защита системной документации" подразумевает, что мы должны уделить ей особое внимание, однако, по своей сути, системная документация является таким же информационным активом, как и любая другая информация, для которой в ходе инвентаризации активов и оценки рисков определены требования по защите.
• В ходе приведения в соответствие стандарта BS7799-2 требованиям ISO меру "предотвращение неподобающего использования систем обработки данных", являющуюся требованием британского законодательства, по ошибке оставили в стандарте. Однако необходимости в ней нет, так как мера "Определение всех применимых договорных требований и требований законодательства" успешно ее закрывает.

Кроме того, за последние несколько лет были обновлены стандарты, с которыми гармонизирован ISO/IEC 27001:2005, а также был разработан ряд вспомогательных стандартов 27-й серии.

По этим причинам стало очевидно - стандарту необходим пересмотр. В 2010 г. появилась первая информация, что предварительная версия новой редакции стандарта уже обсуждается в BSI и ожидается к опубликованию в 2013 г.

Специалисты по ИБ всего мира следили за новостями с закрытых обсуждений в стенах BSI, чтобы узнать, какие изменения требований вероятнее всего появятся в стандарте. Необходимо было спрогнозировать, насколько сложно будет выполнить новые требования, и понять, что делать тем, кто уже прошел сертификационный аудит по устаревающей версии стандарта.

В начале 2013 г. предварительные версии стандартов ISO/IEC 27001 и ISO/IEC 27002 были опубликованы на сайте BSI для публичного обсуждения. Теперь мы можем оценить, в каком направлении развиваются стандарты, и постараемся ответить на возникающие в связи с этим вопросы.

Анализ изменений основных разделов стандарта

Первое, что бросается в глаза при анализе предложенных изменений новой редакции стандарта, - это его структура, которую мы уже видели в ISO 22301:2012 "Требования к системам управления непрерывностью бизнеса". Глядя на обновленную структуру, складывается впечатление, что текст стандарта также претерпел значительные изменения, однако это не совсем так - при более детальном изучении становится понятно, что требования были просто перенесены из одних разделов старой редакции в другие разделы новой, а кроме того, были удалены дублирующиеся требования. На рис. 1 видно, каким образом распределены требования старой версии стандарта относительно новой.

Кроме того, стандарт содержит ряд интересных изменений и нововведений.

Оценка и обработка рисков

В 2011 г. был выпущен стандарт ISO/IEC 27005:2011, подробно раскрывающий данную тему, поэтому из стандарта было исключено детальное описание рекомендуемого подхода к оценке рисков. Теперь компания может самостоятельно выбирать подходящую методологию (метод "актив - угроза - уязвимость" останется как лучшая практика для этого стандарта) и это не скажется на результатах проведения оценки. Кроме того, из стандарта пропал термин "владелец актива" (asset owner), вместо него используется термин "владелец риска" (risk owner).

Заинтересованные стороны

Обновленный стандарт учитывает интересы всех сторон, взаимодействующих с организацией (акционеров, регуляторов, клиентов, партнеров) и позволяет определить отдельные требования для каждого из них.

Взаимодействие

Новое требование стандарта, касающееся необходимости определения перечня лиц (внутри и вне организации), с которыми необходимо взаимодействовать по вопросам, связанным с управлением ИБ. Теперь компания должна определить информацию, которую необходимо довести до сведения заинтересованных лиц, а также когда, кто и как должен это делать. С введением такой процедуры должно упроститься вовлечение руководства и владельцев бизнес-процессов в управление ИБ, так как теперь они могут получать всю актуальную информацию, касающуюся функционирования системы управления ИБ.

Документированная информация

В новой редакции стандарта произошло объединение двух терминов, которые использовались ранее в стандарте, - "документы" (documents) и "записи" (records). Для любой документированной информации теперь определены единые требования.

Несоответствия и корректирующие меры

Термин "превентивные меры" больше не используется в стандарте. Теперь предлагается сосредоточить внимание на существующих несоответствиях и корректирующих мерах, позволяющих их исправить. Тем не менее превентивные меры остались в приложении А, хотя в явном виде так больше и не называются.

Задачи ИБ и планы по их выполнению

В прошлой версии стандарта не было четкой структуры требований о том, как необходимо формулировать задачи и как планировать их выполнение - подобные требования были разнесены по разным разделам стандарта. Теперь все собрано воедино и вместе с разделом "Мониторинг, измерение, анализ и оценка" представляет собой мощный инструмент по управлению ИБ в организации, который будет необходим высшему руководству для оценки текущей ситуации и планирования дальнейших действий.

Изменения структуры приложения А и положений стандарта ISO/IEC 27002:2013

Структура разделов приложения А и соответствующего ему стандарта ISOMEC 27002:2013 также претерпела некоторые изменения:

• Изменен порядок разделов (см. табл. 1).
• Раздел "Управление коммуникациями и операциями" теперь разделен на два самостоятельных раздела: "Безопасность операций" и "Безопасность коммуникаций".
• Выделены два новых раздела: "Криптография" и "Взаимодействие с поставщиками". Требования данных разделов ранее были распределены по другим разделам приложения и стандарта.

Изменения мер по обеспечению безопасности в приложении А ISO/IEC 27001:2013

В обновленной версии приложения А стандарта приводятся 113 мер обеспечения безопасности (раньше было 133 меры). Большинство мер не изменились, однако многие из них были перенесены в другие разделы приложения, которых теперь 14 (раньше было 11). Например, мера "Разграничение полномочий" была перенесена из раздела "Управление коммуникациями и операциями" в раздел "Организация ИБ", где она распространяется не только на системы, но и на несвязанные с информационными технологиями бизнес-процессы. Всего было перенесено 23 меры (см. табл. 2).

Некоторые меры, описанные в приложении А, были логически объединены между собой. Например, меры "Электронная коммерция" и "Общедоступная информация" объединены в меру "Защита сервисов серверов приложений в публичных сетях". Всего произведено пять таких объединений (см. табл. 3).

Кроме того, в приложение А добавили 10 новых мер обеспечения ИБ, подробные инструкции по применению которых приводятся в обновленном стандарте ISO/IEC 27002:2013 (см. табл. 4).

Был удален ряд мер, которые признаны разработчиками неактуальными, дублирующими требования обновленных основных разделов стандарта либо слишком узконаправленными (другие меры включают их в себя). Всего было удалено 26 мер (см. табл. 5).

Что делать тем, кто уже прошел сертификационный аудит?

В настоящее время BSI и другие сертифицирующие органы не опубликовали план перехода на новую версию стандарта, однако существует несколько планов, которые были использованы в схожих ситуациях с другими стандартами.

Наиболее вероятно, что будет установлен срок в 2 года, за которые все сертифицированные компании должны будут адаптироваться к новым требованиям стандарта. Возможно, будет разрешено провести адаптацию в несколько подходов - аудиторы будут проверять только ту область, которую компания успеет привести в соответствие.

Кроме того, после публикации финальной версии стандарта всем компаниям, выразившим желание пройти сертификационный аудит впервые, скорее всего будет предложено пройти его уже по новой версии, так как наиболее вероятно, что регистрация на аудит по старой версии будет закрыта.

Планы по изменению стандартов 27-й серии

27-я серия стандартов активно развивается - за восемь лет было выпущено 16 дополнительных стандартов. Обновление ISO/IEC 27001 и ISO/IEC 27002 в этом году - это всего лишь очередной рубеж, который к концу года преодолеют разработчики серии. На ближайшие два года в BSI запланированы следующие обновления и издания новых стандартов:

• ISO/IEC 27014 "Управление ИБ высшим руководством". В настоящее время стандарт находится на финальной стадии разработки и, вероятнее всего, будет опубликован в самое ближайшее время.
• ISO/IEC 27011 "Управление ИБ для телекоммуникационных компаний". Данный стандарт является отраслевой версией ISO/IEC 27002, поэтому он будет обновлен в кратчайшие сроки сразу после публикации финальной версии данного стандарта. Наиболее вероятно, что в начале 2014 г.
• ISO/IEC 27004 "Метрики ИБ". Первая редакция стандарта была опубликована в 2009 г. и в настоящее время находится на стадии пересмотра в BSI. Наиболее вероятно, что новая версия будет опубликована к концу 2014 г.

Выводы

В целом новая версия стандарта оставляет благоприятное впечатление:

• Стандарт способствует большему вовлечению в процессы управления ИБ руководства организации и дает в руки инструмент, который позволит эффективнее взаимодействовать топ-менеджменту и лицам, ответственным за ИБ.
• Некоторые требования стандарта стали менее жесткими, что дает большую гибкость для компании в выборе методик и защитных мер.
• Требования и меры предыдущей версии были существенно оптимизированы, таким образом, многие спорные моменты будут преодолены.
• Гармонизация со всеми современными стандартами, выпущенными Международной организацией по стандартизации, позволит компаниям интегрировать свои системы управления ИБ в существующие процессы наиболее эффективно. Естественно, если процессы построены на методологиях стандартов ISO.

Однако излишнее упрощение и обобщение требований может привести к тому, что компании станут злоупотреблять своей свободой и идти на множество открывающихся перед ними новых возможных ухищрений для того, чтобы получить сертификат соответствия. Но не стоит забывать, что основной целью всех стандартов 27-й серии является помощь компании в построении постоянно совершенствующейся системы управления информационной безопасностью, которая позволит ей выжить в современном, заполненном угрозами мире.