ISO / IEC 27001: 2013 – Tehnologia informației – Tehnici de securitate – Sisteme de management al securității informațiilor – Cerințe (ediția a doua)

< Standardul anterior ^ Sus un nivel ^ Următorul standard >

Introducere

ISO / IEC 27001 specifică formal un sistem de management al securității informațiilor, un aranjament de guvernanță care cuprinde o suită structurată de activități cu care să gestioneze riscurile informaționale (denumite „riscuri de securitate a informațiilor” în standard) .

ISMS este un cadru general prin care managementul identifică, evaluează și tratează (adresează) riscurile informaționale ale organizației. ISMS se asigură că aranjamentele de securitate sunt ajustate pentru a ține pasul cu modificările amenințărilor la adresa securității, vulnerabilităților și impactului asupra afacerii – un aspect important într-un domeniu atât de dinamic și un avantaj cheie al abordării flexibile a riscului ISO27k în comparație cu, să spunem, PCI-DSS.

Standardul acoperă toate tipurile de organizații (de exemplu, întreprinderi comerciale, agenții guvernamentale, organizații non-profit) de toate dimensiunile (de la micro-întreprinderi la multinaționale uriașe) din toate industriile (de exemplu, comerțul cu amănuntul, serviciile bancare, apărarea, asistența medicală) , educație și guvernare). Acesta este în mod clar un rezumat foarte larg.

ISO / IEC 27001 nu obligă în mod oficial controale specifice de securitate a informațiilor, deoarece controalele necesare variază semnificativ în întreaga gamă de organizații care adoptă standardul. Controalele de securitate a informațiilor din ISO / IEC 27002 sunt rezumate în anexa A la ISO / IEC 27001, mai degrabă ca un meniu. Organizațiile care adoptă ISO / IEC 27001 sunt libere să aleagă oricare dintre controalele specifice de securitate a informațiilor care se aplică riscurilor lor specifice de informații, bazându-se pe cele enumerate în meniu și potențial completându-le cu alte opțiuni à la carte (uneori cunoscute sub numele de seturi de control extinse). Ca și în cazul ISO / IEC 27002, cheia pentru selectarea controalelor aplicabile este efectuarea unei evaluări cuprinzătoare a riscurilor informaționale ale organizației, care este o parte vitală a ISMS.

Mai mult, conducerea poate alege să evite, să împartă sau să accepte riscurile de informare, mai degrabă decât să le atenueze prin controale – o decizie de tratare a riscului în cadrul procesului de gestionare a riscurilor.

Istoric

ISO / IEC 27001 este derivat din BS 7799 Partea 2, publicat pentru prima dată ca atare de British Standards Institute în 1999.

BS 7799 Partea 2 a fost revizuit în 2002, încorporând în mod explicit stilul Deming Ciclul Plan-Do-Check-Act.

BS 7799 partea 2 a fost adoptată ca prima ediție a ISO / IEC 27001 în 2005, cu diferite modificări pentru a reflecta noii săi custodi .

A doua ediție a ISO / IEC 27001 a fost publicată în 2013, după ce a fost revizuită extensiv pentru a se alinia la celelalte standarde ale sistemelor de management ISO. PDCA nu mai este explicit, dar conceptul de rafinament continuu și îmbunătățire sistematică rămâne, cu siguranță.

Structura standardului

ISO / IEC 27001: 2013 are următoarele secțiuni:

    0 Introducere – standardul descrie un proces de gestionare sistematică riscuri de informare.

    1 Domeniu de aplicare – specifică cerințe ISMS generice adecvate pentru organizații de orice tip, dimensiune sau natură.

    2 Referințe normative – numai ISO / IEC 27000 este considerat absolut esențial pentru utilizatorii „27001: restul standardelor ISO27k sunt opționale.

    3 Termeni și definiții – vezi ISO / IEC 27000.

    4 Contextul organizației – înțelegerea contextului organizațional, a nevoilor și așteptările „părților interesate” și definirea domeniului de aplicare al ISMS. Secțiunea 4.4 afirmă foarte clar că „Organizația va stabili, implementa, întreține și îmbunătăți continuu” ISMS.

    5 Conducere – conducerea superioară trebuie să demonstreze conducerea și angajamentul față de ISMS, politica mandatului și să atribuie securitatea informațiilor roluri, responsabilități și autorități.

    6 Planificare – prezintă procesul de identificare, analiză și planificare pentru tratarea riscurilor informaționale și clarificarea obiectivelor de securitate a informațiilor.

    7 Suport – adecvat, resursele competente trebuie să fie alocate, conștientizate, documentația pregătită și controlată.

    8 Funcționare – un pic mai detaliat despre evaluarea și tratarea riscurilor legate de informații, gestionarea modificărilor și documentarea lucrurilor (parțial pentru a putea fi auditate de auditorii de certificare).

    9 Evaluarea performanței – monitorizează, măsoară, analizează și evaluează / auditează / revizuiește controalele de securitate a informațiilor, procesele și sistemul de management, îmbunătățind sistematic lucrurile acolo unde este necesar.

    10 Îmbunătățire ement – abordează rezultatele auditurilor și revizuirilor (de ex. neconformități și acțiuni corective), îmbunătățesc continuu ISMS.

    Anexa A Obiective și controale de control de referință – puțin mai mult decât o listă de titluri ale secțiunilor de control din ISO / IEC 27002. Anexa este „normativă”, ceea ce implică faptul că organizațiile certificate sunt de așteptat să o utilizeze , dar organismul principal spune că sunt liberi să se abată de la sau să le completeze pentru a aborda riscurile lor specifice de informații. Anexa A singură este greu de interpretat. Vă rugăm să consultați ISO / IEC 27002 pentru detalii mai utile despre controale, inclusiv ghiduri de implementare.

    Bibliografie – indică cititorii către cinci standarde conexe, plus partea 1 din directivele ISO / IEC, pentru mai multe informații. În plus, ISO / IEC 27000 este identificat în corpul standardului ca standard normativ (adică esențial) și există mai multe referințe la ISO 31000 privind gestionarea riscurilor.

Cerințe obligatorii pentru certificare

ISO / IEC 27001 este o specificație formalizată pentru un ISMS cu două scopuri distincte:

  1. Prezintă proiectarea unui ISMS, descriind părțile importante la un nivel destul de ridicat nivel;
  2. Poate fi (opțional) utilizat ca bază pentru evaluarea formală a conformității de către auditori de certificare acreditați pentru a certifica conformitatea unei organizații.

Următoarea documentație obligatorie este explicit necesar pentru certificare:

  1. Domeniul ISMS (conform clauzei 4.3)
  2. Politica de securitate a informațiilor (clauza 5.2)
  3. Procesul de evaluare a riscului informațional ( clauza 6.1.2)
  4. Procesul de tratare a riscului informațional (clauza 6.1.3)
  5. Obiectivele securității informațiilor (clauza 6.2)
  6. Dovezi ale competenței persoane care lucrează în securitatea informațiilor (clauza 7.2)
  7. Alte documente legate de ISMS considerate necesare de către organizație (clauza 7.5.1b)
  8. Documente de planificare și control operațional (clauza 8.1)
  9. Rezultatele evaluărilor riscurilor (clauza 8.2)
  10. Deciziile privind tratarea riscurilor (clauza 8.3)
  11. Dovezi ale monitorizării și măsurării securității informațiilor (clauza 9.1 )
  12. Programul de audit intern ISMS și rezultatele auditurilor efectuate (clauza 9.2)
  13. Dovezi ale revizuirilor din partea conducerii superioare a ISMS (clauza 9.3)
  14. Dovezi a neconformităților identificate și a acțiunilor corective care apar (clauza 10.1)
  15. Diverse altele: Anexa A menționează, dar nu specifică pe deplin alte documente, inclusiv regulile pentru utilizarea acceptabilă a activelor, politica de control a accesului, procedurile de operare, confidențialitatea sau -acorduri de divulgare, principii sigure de inginerie a sistemului, politica de securitate a informațiilor pentru relațiile cu furnizorii, informați proceduri de răspuns la incidente de securitate, legi, reglementări și obligații contractuale relevante, plus procedurile de conformitate asociate și procedurile de continuitate a securității informațiilor. Cu toate acestea, în ciuda faptului că Anexa A este normativă, organizațiilor nu li se cere în mod oficial să adopte și să respecte Anexa A: pot utiliza alte structuri și abordări pentru a-și trata riscurile legate de informație.

Auditorii de certificare aproape sigur verificați dacă aceste cincisprezece tipuri de documentație sunt (a) prezente și (b) sunt adecvate scopului.

Standardul nu specifică cu precizie ce formă ar trebui să ia documentația, dar secțiunea 7.5.2 vorbește despre aspecte precum titluri, autori, formate, suport media, revizuire și aprobare, în timp ce 7.5.3 se referă la controlul documentelor , implicând o abordare destul de formală în stil ISO 9000. Documentația electronică (cum ar fi paginile intranet) este la fel de bună ca documentele pe hârtie, de fapt mai bune în sensul că sunt mai ușor de controlat și actualizat.

Domeniul ISMS și Declarația de aplicabilitate (SoA)

întrucât standardul este destinat să conducă la implementarea unui ISMS la nivelul întregii întreprinderi, asigurându-se că toate părțile organizației beneficiază prin abordarea riscurilor lor de informații într-un mod adecvat și gestionat sistematic , organizațiile își pot extinde ISMS la fel de larg sau de îngust pe care și-l doresc – într-adevăr, stabilirea scopului este o decizie crucială pentru conducerea superioară (clauza 4.3). Un domeniu ISMS documentat este una dintre cerințele obligatorii pentru certificare.

Deși Declarația de aplicabilitate nu este definită în mod explicit, este o cerință obligatorie din secțiunea 6.1.3. SoA se referă la rezultatul evaluărilor riscurilor informaționale și, în special, la deciziile privind tratarea riscurilor respective. SoA poate lua, de exemplu, forma unei matrice care identifică diferite tipuri de riscuri de informații pe o axă și opțiuni de tratament al riscurilor pe de altă parte, arătând modul în care riscurile trebuie tratate în organism și, probabil, cine este responsabil pentru acestea. De obicei, face referință la controalele relevante din ISO / IEC 27002, dar organizația poate utiliza un cadru complet diferit, cum ar fi NIST SP800-53, standardul ISF, BMIS și / sau COBIT sau o abordare personalizată.Obiectivele de control al securității informațiilor și controalele din ISO / IEC 27002 sunt furnizate ca listă de verificare în anexa A pentru a evita „trecerea cu vederea a controalelor necesare”: nu sunt necesare.

Domeniul ISMS și SoA sunt cruciale dacă un terț intenționează să atașeze orice dependență certificatului de conformitate ISO / IEC 27001 al unei organizații. Dacă domeniul de aplicare ISO / IEC 27001 al unei organizații include doar „Acme Ltd. Department X”, de exemplu, certificatul asociat nu spune absolut nimic despre starea securității informațiilor din „Acme Ltd. Department Y” sau chiar „Acme Ltd.” În mod similar, dacă, dintr-un anumit motiv, managementul decide să accepte riscurile malware-ului fără a implementa controale convenționale antivirus, auditorii de certificare pot contesta o astfel de afirmație îndrăzneață, dar, cu condiția ca analizele și deciziile asociate să fie solide, aceasta nu ar fi o justificare pentru refuză certificarea organizației, deoarece controalele antivirus nu sunt de fapt obligatorii.

Valori

În vigoare (fără a utiliza efectiv termenul „valori”) , ediția din 2013 a standardului necesită utilizarea unor indicatori cu privire la performanța și eficacitatea ISMS-ului organizației și a controalelor de securitate a informațiilor. Secțiunea 9, „Evaluarea performanței”, solicită organizației să determine și să implementeze valori de securitate adecvate … dar oferă numai cerințe la nivel înalt.

Oferte ISO / IEC 27004 sfaturi cu privire la ce și cum se măsoară pentru a satisface cerința și a evalua performanța ISMS – o abordare eminamente sensibilă, care nu este diferită de cea descrisă în PRAGMATIC Security Metrics.

Certificare

Conformitatea certificată cu ISO / IEC 27001 de către un organism de certificare acreditat și respectat este în întregime opțională, dar este solicitată din ce în ce mai mult de la furnizori și parteneri de afaceri de către organizații care sunt (cu dreptate!) preocupate de securitatea informațiile lor și despre riscurile informaționale pe întregul lanț de aprovizionare / rețeaua de aprovizionare.

Certificarea aduce o serie de avantaje dincolo de simpla conformitate, în același mod în care o Certificatul din seria ISO 9000 spune mai multe n doar „Suntem o organizație de calitate”. Evaluarea independentă aduce în mod necesar o oarecare rigoare și formalitate procesului de implementare (implicând îmbunătățiri ale securității informațiilor și a tuturor beneficiilor pe care le aduce reducerea riscurilor) și necesită invariabil aprobarea conducerii superioare (ceea ce este cel puțin un avantaj în termeni de conștientizare a securității!).

Certificatul are potențial de marketing și valoare de marcă, demonstrând că organizația ia în serios gestionarea securității informațiilor. Cu toate acestea, așa cum s-a menționat mai sus, valoarea de asigurare a certificatului depinde în mare măsură de domeniul de aplicare al ISMS și SoA – cu alte cuvinte, nu puneți prea multă încredere în certificatul de conformitate ISO / IEC 27001 al unei organizații dacă sunteți foarte dependent de informațiile sale Securitate. În același mod în care conformitatea certificată PCI-DSS nu înseamnă „Garantăm securizarea datelor cardului de credit și a altor informații personale”, conformitatea certificată ISO / IEC 27001 este un semn pozitiv, dar nu o garanție din fontă cu privire la securitatea informațiilor unei organizații. . Se spune „Avem un ISMS conform”, nu „Suntem siguri”, o distincție subtilă, dar importantă.

Starea standardului

ISO / IEC 27001 a fost prima publicat în 2005.

Standardul a fost complet rescris și publicat în 2013. Aceasta a fost mult mai mult decât simplificarea conținutului ediției din 2005, deoarece ISO a insistat asupra unor modificări substanțiale pentru a alinia acest standard cu alte standarde ale sistemelor de management.

ISO / IEC 27002 a fost revizuită extensiv și re-emisă în același timp, prin urmare, și anexa A la ISO / IEC 27001 a fost complet actualizată: consultați pagina ISO / IEC 27002 pentru mai multe.

Un rectificativ tehnic din 2014 a clarificat că informațiile sunt, la urma urmei, un activ. Golly.

Un al doilea corect tehnic endum în 2015 a clarificat faptul că organizațiilor li se cere în mod oficial să identifice starea de implementare a controalelor lor de securitate a informațiilor în SoA.

Un al treilea rectificativ tehnic propus a aruncat rechinul: SC 27 a rezistat dorinței de a continua modificările publicate standard inutil, cu modificări care ar fi trebuit să fie propuse atunci când era în proiect, și oricum nu ar fi putut fi acceptate. Deși nu a fost abordată, îngrijorarea este valabilă: standardul într-adevăr confundă riscul informațional cu riscurile legate de sistemul de management. Ar fi trebuit să se adreseze celei din urmă, dar în schimb să o ia pe prima.

O perioadă de studiu a analizat valoarea și scopul anexei A în raport cu SoA, concluzionând că anexa A este o legătură utilă la ISO / IEC 27002, dar textul principal al corpului ar trebui să arate clar că anexa A este complet opțional: organizațiile pot adopta orice set de controale (sau într-adevăr alte tratamente de risc) pe care le consideră adecvate pentru tratarea riscurilor informaționale, cu condiția ca procesul de selectare, implementare, gestionare, monitorizare și menținere a tratamentelor de risc să îndeplinească cerințele principale ale organismului – în cu alte cuvinte, întregul proces se încadrează în ISMS.

Următoarea versiune a ISO / IEC 27001 va încorpora în mod necesar modificări semnificative care reflectă viitoarea actualizare a ISO / IEC 27002 (care înseamnă rescrierea din nou a anexei A) plus unele modificări ale formulării corpului principal ca urmare a revizuirilor în curs ale anexei SL …

Comentarii personale

Anexa SL (cunoscută anterior ca „Proiect de ghid 83”, uneori „anexa L” ) apendicele 2 specifică textul și structura cazanului obișnuit toate standardele ISO și ISO / IEC privind sistemele de management care acoperă asigurarea calității, protecția mediului etc. Ideea este că managerii care sunt familiarizați cu oricare dintre sistemele de management vor înțelege principiile de bază care stau la baza tuturor celorlalte. Concepte precum certificarea, politica, neconformitatea, controlul documentelor, auditurile interne și revizuirile managementului sunt comune tuturor standardelor sistemelor de management și, de fapt, procesele pot fi, într-o mare măsură, standardizate în cadrul organizației.

La următoarea actualizare a acestui an, anexa SL anexa 2 probabil (dacă va fi aprobată):

  • Definirea riscului ca „efect al incertitudinii” (eliminarea „obiectivelor” din definiția utilizată în versiunea curentă din ISO / IEC 27000) cu 4 note (scăpând ultimele 2 din 6 note în definiția curentă). Rămâne de văzut dacă această simplificare ajută, dăunează sau nu are niciun efect asupra ISO27k.
  • Înlocuiți „rezultatele” cu „rezultatele” – o modificare făcută în primul rând pentru ușurarea traducerii.
  • Includeți „Planificarea modificărilor”, adică orice modificare a sistemului de management trebuie efectuată „în o modalitate planificată .
  • Înlocuiți „externalizat” cu „furnizat extern” pentru a cuprinde externalizarea, contractarea și achizițiile convenționale.
  • Specificați separat cerințele generale pentru auditurile interne (9.2.1) și pentru programul de audit intern (9.2.2).
  • Specificați separat cerințele generale pentru revizuirile managementului (9.3.1) și pentru intrările (9.3.2) și ieșirile acestora (9.3.3).
  • Subliniați din nou necesitatea îmbunătățirii proactive a sistemului de management în plus față de răspunsurile reactive la neajunsuri.
  • Mandați diverse alte modificări de formulare la toate standardele sistemelor de management ISO, inclusiv (probabil) următoarea lansarea ISO / IEC 27001.

Confuzia SC 27 cu privire la semnificația intenționată a „activului informațional” persistă: decizia de a renunța la defi nicio „informație activă” din ISO / IEC 27000, mai degrabă decât cu adevărat de jos, această problemă ar fi putut fi o eroare tactică. Revenirea la termenul „activ”, definit în linii mari ca ceva de valoare, duce la probleme în ISO27k dacă termenul este înlocuit cu definiția sa literală și explicită. O cărămidă este un activ, în timp ce un smartphone cu cărămizi este un pasiv. „Valoare” este un concept nebulos. Este corect să întrebați „De valoare pentru cine?” de asemenea, întrucât organizația acționează ca un custode pentru unele informații aparținând altora, inclusiv informații personale și de proprietate care necesită o protecție adecvată. Ar trebui să fie acoperite de ISMS sau nu? Aceasta este o situație dezordonată, neclară și, în cele din urmă, nesatisfăcătoare pentru un standard internațional.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *