ISO / IEC 27001: 2013 – Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky (druhé vydání)

< Předchozí standard ^ O úroveň výše ^ Další standard >

Úvod

ISO / IEC 27001 formálně specifikuje systém řízení bezpečnosti informací, uspořádání správy zahrnující strukturovanou sadu činností, se kterými se řídí informační rizika (ve standardu nazývaná „rizika zabezpečení informací“) .

ISMS je zastřešujícím rámcem, jehož prostřednictvím management identifikuje, hodnotí a zachází (řeší) informační rizika organizace. ISMS zajišťuje, že bezpečnostní opatření jsou vyladěna tak, aby udržela krok se změnami bezpečnostních hrozeb, zranitelných míst a dopadů na podnikání – důležitý aspekt v takové dynamické oblasti a klíčová výhoda flexibilního přístupu založeného na riziku ISO27k ve srovnání s, řekněme, PCI-DSS.

Norma pokrývá všechny typy organizací (např. komerční podniky, vládní agentury, neziskové organizace) všech velikostí (od mikropodniků po velké nadnárodní společnosti) ve všech průmyslových odvětvích (např. maloobchod, bankovnictví, obrana, zdravotnictví) , školství a vláda). Toto je zjevně velmi široká informace.

ISO / IEC 27001 formálně nepožaduje konkrétní kontroly zabezpečení informací, protože požadované kontroly se výrazně liší v širokém spektru organizací, které standard přijímají. Ovládací prvky informační bezpečnosti z ISO / IEC 27002 jsou shrnuty v příloze A k ISO / IEC 27001, spíše jako nabídka. Organizace, které přijímají ISO / IEC 27001, si mohou svobodně zvolit, které konkrétní ovládací prvky zabezpečení informací jsou použitelné pro jejich konkrétní informační rizika, přičemž mohou čerpat z těch, které jsou uvedeny v nabídce, a případně je doplnit dalšími možnostmi a la carte (někdy označovanými jako rozšířené sady kontrol). Stejně jako v případě ISO / IEC 27002 je klíčem k výběru příslušných kontrol provést komplexní posouzení informačních rizik organizace, které je jednou z důležitých součástí ISMS.

Dále se vedení může rozhodnout vyhnout, sdílet nebo přijímat informační rizika spíše než je zmírňovat pomocí kontrol – rozhodnutí o léčbě rizik v rámci procesu řízení rizik.

Historie

ISO / IEC 27001 je odvozeno z BS 7799 část 2, poprvé publikované Britským institutem pro standardy v roce 1999.

BS 7799 část 2 byla revidována v roce 2002 a výslovně zahrnovala Demingův styl Cyklus Plan-Do-Check-Act.

BS 7799 část 2 byla přijata jako první vydání ISO / IEC 27001 v roce 2005 s různými změnami, které odrážejí její nové správce. .

Druhé vydání ISO / IEC 27001 bylo vydáno v roce 2013 a bylo důkladně přepracováno, aby odpovídalo ostatním normám systémů managementu ISO. PDCA již není explicitní, ale koncept neustálého zdokonalování a systematického zlepšování jistě zůstává.

Struktura normy

ISO / IEC 27001: 2013 má následující části:

    0 Úvod – norma popisuje proces systematického řízení informační rizika.

    1 Rozsah – specifikuje obecné požadavky ISMS vhodné pro organizace jakéhokoli typu, velikosti nebo povahy.

    2 Normativní odkazy – pouze ISO / IEC 27000 je považováno za naprosto nezbytné pro uživatelé 27001: zbývající normy ISO27k jsou volitelné.

    3 Termíny a definice – viz ISO / IEC 27000.

    4 Kontext organizace – porozumění kontextu organizace, potřebám a očekávání „zúčastněných stran“ a vymezení rozsahu ISMS. Oddíl 4.4 velmi jasně uvádí, že „Organizace musí zavést, implementovat, udržovat a neustále zlepšovat“ ISMS.

    5 Vedení – nejvyšší vedení musí prokázat vedení a odhodlání k ISMS, pověřit politiku a přiřadit bezpečnost informací role, odpovědnosti a pravomoci.

    6 Plánování – popisuje proces identifikace, analýzy a plánování léčby informačních rizik a objasnění cílů informační bezpečnosti.

    7 Podpora – přiměřená, musí být přiřazeny kompetentní zdroje, zvýšeno povědomí, připravena a kontrolována dokumentace.

    8 Provoz – trochu více podrobností o hodnocení a léčbě informačních rizik, řízení změn a dokumentování věcí (částečně proto, aby mohly být auditovány certifikační auditoři).

    9 Hodnocení výkonu – monitorujte, měřte, analyzujte a vyhodnocujte / auditujte / kontrolujte bezpečnostní kontroly, procesy a systém správy informací a v případě potřeby systematicky vylepšujte věci.

    10 Improv ement – řešit zjištění auditů a kontrol (např. neshody a nápravná opatření), soustavně vylepšovat ISMS.

    Příloha A Referenční kontrolní cíle a kontroly – ve skutečnosti o něco více než seznam názvů kontrolních sekcí v ISO / IEC 27002. Příloha je „normativní“, což znamená, že se očekává, že ji budou používat certifikované organizace. , ale hlavní orgán říká, že se mohou odklonit nebo jej doplnit za účelem řešení svých konkrétních informačních rizik. Samotnou přílohu A je těžké interpretovat. Více užitečných podrobností o ovládacích prvcích, včetně pokynů k implementaci, najdete v ISO / IEC 27002.

    Bibliografie – uvádí čtenáře na pět souvisejících norem a část 1 směrnic ISO / IEC, kde najdete další informace. Kromě toho je ISO / IEC 27000 v těle normy identifikována jako normativní (tj. Základní) norma a existuje několik odkazů na ISO 31000 o řízení rizik.

Povinné požadavky na certifikaci

ISO / IEC 27001 je formalizovaná specifikace pro ISMS se dvěma odlišnými účely:

  1. Stanovuje koncepci ISMS a popisuje důležité části v poměrně vysoké míře level;
  2. Může ji (volitelně) použít jako základ pro formální posouzení shody akreditovanými certifikačními auditory za účelem certifikace vyhovující organizaci.

Následující povinná dokumentace je výslovně vyžadováno pro certifikaci:

  1. Rozsah ISMS (podle článku 4.3)
  2. Zásady bezpečnosti informací (článek 5.2)
  3. Proces hodnocení informačních rizik ( článek 6.1.2)
  4. Proces zacházení s informačními riziky (článek 6.1.3)
  5. Cíle bezpečnosti informací (článek 6.2)
  6. Důkazy o způsobilosti lidé pracující v oblasti informační bezpečnosti (bod 7.2)
  7. Další dokumenty související s ISMS, které organizace považuje za nezbytné (článek 7.5.1b)
  8. Dokumenty provozního plánování a kontroly (bod 8.1)
  9. Výsledky posouzení rizik (bod 8.2)
  10. Rozhodnutí týkající se léčby rizik (bod 8.3)
  11. Důkazy o monitorování a měření informační bezpečnosti (bod 9.1) )
  12. Program interního auditu ISMS a výsledky provedených auditů (bod 9.2)
  13. Důkazy o přezkoumání vrcholového vedení ISMS (bod 9.3)
  14. Důkazy zjištěných neshod a vzniklých nápravných opatření (článek 10.1)
  15. Různé další: Příloha A uvádí, ale plně neuvádí další dokumentaci, včetně pravidel pro přijatelné použití aktiv, zásady kontroly přístupu, provozní postupy, důvěrnost nebo jiné – dohody o zveřejnění, zásady bezpečného systémového inženýrství, zásady zabezpečení informací pro vztahy s dodavateli, informovat postupy reakce na bezpečnostní incidenty, příslušné zákony, předpisy a smluvní závazky plus související postupy shody a postupy kontinuity zabezpečení informací. Přestože je příloha A normativní, organizace nejsou formálně povinny přijmout a dodržovat přílohu A: mohou k řešení svých informačních rizik použít jiné struktury a přístupy.

Certifikační auditoři téměř jistě zkontrolujte, zda je těchto patnáct typů dokumentace (a) přítomných a (b) vhodných pro daný účel.

Norma přesně neurčuje, jakou formu má mít dokumentace, ale část 7.5.2 hovoří o aspektech, jako jsou tituly, autoři, formáty, média, recenze a schválení, zatímco 7.5.3 se týká kontroly dokumentů , což znamená poměrně formální přístup ve stylu ISO 9000. Elektronická dokumentace (například intranetové stránky) jsou stejně dobré jako papírové dokumenty, ve skutečnosti lepší v tom smyslu, že se snadněji kontrolují a aktualizují.

Rozsah ISMS a prohlášení o použitelnosti (SoA)

vzhledem k tomu, že cílem této normy je podpořit implementaci celopodnikového ISMS a zajistit, aby všechny části organizace měly prospěch z řešení svých informačních rizik vhodným a systematickým způsobem , mohou organizace působit na jejich ISMS tak široce nebo tak úzce, jak si přejí – stanovení rozsahu je ve skutečnosti klíčovým rozhodnutím vrcholového vedení (bod 4.3). Zdokumentovaný rozsah ISMS je jedním z povinných požadavků na certifikaci.

Ačkoli prohlášení o použitelnosti není výslovně definováno, jedná se o povinný požadavek v části 6.1.3. SoA odkazuje na výstup z hodnocení informačních rizik, a zejména na rozhodnutí týkající se léčby těchto rizik. SoA může mít například formu matice identifikující různé typy informačních rizik na jedné ose a možnosti léčby rizik na druhé, ukazující, jak mají být rizika v těle léčena, a možná kdo za ně nese odpovědnost. Obvykle odkazuje na příslušné ovládací prvky z ISO / IEC 27002, ale organizace může používat úplně jiný rámec, jako je NIST SP800-53, standard ISF, BMIS a / nebo COBIT nebo vlastní přístup.Cíle kontroly bezpečnosti informací a kontroly z ISO / IEC 27002 jsou uvedeny jako kontrolní seznam v příloze A, aby se zabránilo „přehlédnutí nezbytných kontrol“: nejsou povinné.

Rozsah ISMS a SoA jsou zásadní, pokud má třetí strana v úmyslu se spolehnout na certifikát shody organizace s normou ISO / IEC 27001. Pokud například organizace zahrnuje ISO / IEC 27001 pouze „Acme Ltd. Department X“, přidružený certifikát neříká vůbec nic o stavu informační bezpečnosti v „Acme Ltd. Department Y“ nebo dokonce „Acme Ltd.“ Podobně, pokud se management z nějakého důvodu rozhodne přijmout rizika malwaru bez implementace konvenčních antivirových kontrol, mohou certifikační auditoři takové odvážné tvrzení napadnout, ale za předpokladu, že související analýzy a rozhodnutí budou v pořádku, samo o sobě by nebylo důvodem pro odmítnout certifikovat organizaci, protože antivirové kontroly nejsou ve skutečnosti povinné.

Metriky

Ve skutečnosti (bez použití termínu „metriky“) Vydání standardu z roku 2013 vyžaduje použití metrik o výkonu a efektivitě kontrol ISMS a bezpečnosti informací v organizaci. Sekce 9, „Hodnocení výkonu“, vyžaduje, aby organizace určila a implementovala vhodné metriky zabezpečení … ale uvádí pouze vysoké požadavky.

ISO / IEC 27004 nabízí rady, co a jak měřit, aby byl splněn požadavek a hodnocena výkonnost ISMS – mimořádně citlivý přístup, který se nijak neliší od přístupu popsaného v PRAGMATIC Security Metrics.

Certifikace

Certifikovaný soulad s ISO / IEC 27001 akreditovaným a respektovaným certifikačním orgánem je zcela volitelný, ale je stále více vyžadován od dodavatelů a obchodních partnerů organizacemi, které jsou (zcela oprávněně!) znepokojeny bezpečností o jejich informacích a o informačních rizicích v celém dodavatelském řetězci / dodavatelské síti.

Certifikace přináší řadu výhod nad rámec pouhého dodržování předpisů, podobně jako Certifikát řady ISO 9000 říká víc n jen „Jsme kvalitní organizace“. Nezávislé posouzení nutně přináší do procesu implementace určitou přísnost a formálnost (implikuje vylepšení informační bezpečnosti a všechny výhody plynoucí ze snížení rizika) a vždy vyžaduje souhlas vrcholového vedení (což je přinejmenším výhoda z hlediska povědomí o bezpečnosti!).

Certifikát má marketingový potenciál a hodnotu pro značku, což dokazuje, že organizace bere správu zabezpečení informací vážně. Jak však bylo uvedeno výše, hodnota záruky certifikátu velmi závisí na rozsahu ISMS a SoA – jinými slovy, nedůvěřujte příliš certifikátu shody organizace s ISO / IEC 27001, pokud jste velmi závislí na jejích informacích bezpečnostní. Stejně jako certifikovaná shoda PCI-DSS neznamená „Garantujeme zabezpečení údajů o kreditní kartě a dalších osobních údajů“, certifikovaná shoda s normou ISO / IEC 27001 je pozitivním znamením, ale ne litinovou zárukou bezpečnosti informací organizace . Říká „Máme zavedený kompatibilní ISMS“, nikoli „Jsme v bezpečí“, jemné, ale důležité rozlišení.

Stav normy

ISO / IEC 27001 byla první publikováno v roce 2005.

Standard byl kompletně přepsán a publikován v roce 2013. Šlo o mnohem víc než jen o vyladění obsahu vydání z roku 2005, protože ISO trvala na podstatných změnách, aby byla tato norma sladěna s dalšími standardy systémů managementu.

ISO / IEC 27002 byla rozsáhle revidována a znovu vydána současně, proto byla také zcela aktualizována příloha A k ISO / IEC 27001: další informace najdete na stránce ISO / IEC 27002.

Technická oprava z roku 2014 objasnila, že informace jsou koneckonců přínosem. Golly.

Druhá technická oprava Endum v roce 2015 objasnilo, že organizace jsou formálně povinny identifikovat stav implementace svých kontrol zabezpečení informací v SoA.

Navrhovaná třetí technická oprava skočila na žraloka: SC 27 odolal nutkání pokračovat v úpravách zveřejněného standard zbytečně se změnami, které měly být navrženy, když byl v konceptu, a stejně nemusí být přijaty. Navzdory tomu, že není osloven, je problém platný: norma skutečně zaměňuje informační riziko s riziky souvisejícími se systémem řízení. Mělo se to zabývat tím druhým, ale místo toho se toho chopit.

Období studie zkoumalo hodnotu a účel přílohy A ve vztahu k SoA a dospělo k závěru, že příloha A je užitečným odkazem na ISO / IEC 27002, ale hlavní znění by mělo objasnit, že příloha A je zcela volitelné: organizace mohou přijmout jakoukoli sadu kontrol (nebo dokonce jiné způsoby léčby rizik), které považují za vhodné k léčbě svých informačních rizik, za předpokladu, že proces výběru, implementace, řízení, monitorování a udržování léčby rizik splňuje hlavní požadavky těla – v jinými slovy, celý proces spadá do ISMS.

Další verze ISO / IEC 27001 bude nutně zahrnovat významné změny odrážející nadcházející aktualizaci ISO / IEC 27002 (což znamená opětovné přepsání přílohy A) plus některé hlavní formulační změny v důsledku probíhajících revizí přílohy SL …

osobní komentáře

příloha SL (dříve známá jako „návrh průvodce 83“, někdy „příloha L“) ) dodatek 2 specifikuje typický text a strukturu standardního štítku všechny standardy systémů managementu ISO a ISO / IEC pokrývající zajištění kvality, ochranu životního prostředí atd. Myšlenka je, že manažeři, kteří jsou obeznámeni s některým z těchto systémů managementu, pochopí základní principy, o které se opírají všechny ostatní. Pojmy jako certifikace, politika, nesoulad, kontrola dokumentů, interní audity a kontroly managementu jsou společné pro všechny standardy systémů managementu a procesy mohou být do značné míry standardizovány v rámci organizace.

Při příští aktualizaci v tomto roce bude příloha 2 přílohy SL pravděpodobně (bude-li schválena):

  • Definujte riziko jako „účinek nejistoty“ (vypuštění „cílů“ z definice použité v aktuální verzi ISO / IEC 27000) se 4 poznámkami (v současné definici jsou vynechány poslední 2 ze 6 poznámek). Zda toto zjednodušení pomůže, poškodí nebo nemá žádný vliv na ISO27k, se teprve uvidí.
  • Nahradit „výsledky“ slovy „výsledky“ – změna provedená především pro snadný překlad.
  • Zahrnout „Plánování změn“, tj. jakékoli změny v systému správy musí být provedeny „v plánovaným způsobem “.
  • Nahraďte„ externě “slovem„ externě poskytnuto “, aby zahrnovalo outsourcing, uzavírání smluv a konvenční nákupy.
  • Samostatně specifikujte obecné požadavky na interní audity (9.2.1) a pro program interního auditu (9.2.2).
  • Samostatně specifikovat obecné požadavky na kontroly vedením (9.3.1) a na jejich vstupy (9.3.2) a výstupy (9.3.3).
  • Znovu zdůraznit potřebu proaktivního zdokonalování systému managementu kromě reaktivních reakcí na nedostatky.
  • Pověřit různými dalšími formulačními změnami všechny standardy systémů managementu ISO, včetně (pravděpodobně) příštích vydání ISO / IEC 27001.

Zmatek SC 27 nad zamýšleným významem „informační aktiva“ přetrvává: rozhodnutí upustit od defi spíše než „zdola-dolů“, mohla být tato otázka taktickou chybou. Návrat k pojmu „aktivum“, který je velmi široce definován jako něco hodnotného, vede k problémům v celé normě ISO27k, pokud je tento výraz nahrazen jeho doslovnou a explicitní definicí. Cihla je aktivum, zatímco zděný smartphone je závazkem. „Hodnota“ je mlhavý koncept. Je fér se ptát „Pro koho má hodnotu?“ také proto, že organizace působí jako správce některých informací náležejících ostatním, včetně osobních a chráněných informací, které vyžadují odpovídající ochranu. Mělo by se na ně vztahovat ISMS, nebo ne? Jedná se o chaotický, nejasný a nakonec neuspokojivý stav mezinárodní standard.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *