
От ISO 27001 2005 к большему совершенству
Осенью 2013 года один из основных международных разработчиков стандартов организация ИСО обновила стандарты ISO 27001 2005 и ISO 27002. British Standards Institution — Британский Институт Стандартов (BSI) практически сразу выпустил брошюру, посвящённую переходу от старого стандарту к новому. Её важность просматривается в форме издания – она бесплатна. Для английских документов по стандартизации это достаточно необычно.
Чем не угодил ISO 27001 2005
На 2013 год в мире было получено 22 293 сертификата ISO 27001, что свидетельствует о востребованности. В России сертификаты по ISO 27001 довольно редки (менее ста), в то время как по ISO 9001 – несколько десятков тысяч. Появление новой редакции стандарта подразумевает обновление сертификатов. Соответственно потребители понесут дополнительные финансовые издержки, тем не менее авторы стандарта на это пошли. Почему? Попытаемся разобраться.
К настоящему времени международная организация ИСО с момента возникновения в 1947 году выпустила 19 500 международных стандартов. Тысячи из них актуальны для современной жизни. Опыт работы позволил прийти ИСО к выводу, что для гармонизации знаний, заложенных в стандарты, снятия дублирования, необходимо пересекающиеся стандарты привести к единой форме и терминологической ясности.
Не будем скидывать финансовую составляющую. По подсчетам бывшего Министерства торговли и промышленности Великобритании (ныне Министерство предпринимательства, инноваций и ремесел), количественные стандарты ежегодно приносят экономике Великобритании 2,5 млрд. фунтов стерлингов.
Если посмотреть на показатели прибыли и движения наличности, сразу становится ясно, почему все зависят друг от друга. Это заставляет людей взглянуть на бизнес глазами другого человека и даёт им возможность увидеть более широкую перспективу.
Джек Стэк, Большая игра в бизнес
Введение новых стандартов прибыльное дело, однако, появление ISO IEC 27001 2013 в первую очередь связано со стремлением соответствовать вызовам времени. К таковым можно отнести: появление новых угроз информационной безопасности, не охватываемых ISO IEC 27001 2005; широкое использование потребителями интегрированных систем менеджмента, что требует единого формата стандартов; развитие теоретической базы стандартизации.
Исправленные недочеты старого стандарта
Несмотря на то, что ISO 27001 2005 был достаточно качественно проработан, в нём существовало несколько недоработок. Самая простая из них — это избыточность текста. Например, указывалась недопустимость проверки аудиторами собственной работы. В новом варианте стандарта просто отмечается, что аудит должен быть объективным и беспристрастным. Другой недостаток более серьёзный. Он заключался в возможности сертификации СМИБ с заявлением узких рамок, куда заявлялись 2-3 критичных процесса. Их защищали минимальными усилиями. Таким образом, формально требования ISO IEC 27001 2005 соблюдались, однако основные цели внедрения СМИБ не достигались.
Другой недостаток прятался в отсутствии чёткого управления задачами в рамках СМИБ. В результате выделенные сотрудники издавали груду бумаг о всевозможных процедурах, отчётах. На их основе аудиторы выписывали красочные сертификаты. Формальность соблюдалась, а угрозы информационной безопасности полностью не перекрывались.
Особые нарекания вызывала «холодность» руководства компаний к проблемам ИБ, поэтому в новой редакции ISO 27001 появилось подробное описание того, что должно делать руководство, чтобы СМИБ действовало результативно.