Подводные камни ISO 27001 2013 на русском языке поймёт не каждый
На 2015 год во многих странах система менеджмента информационной безопасности, как правило, организуется по стандарту ISO 27001 2013. В Российской Федерации насчитывается в области защиты информации более 30 национальных стандартов. В их число входит стандарт ИСО/МЭК 27001 – 2006, который является переводом ISO/IEC 27001:2005.
Учитывая то, что замена стандарта от 2005 года произошла в рамках общей политики ISO приведения различных стандартов на системы менеджмента к единому формату, то в ближайшее время следует ожидать официального российского варианта ISO 27001 2013 на русском языке.
Либеральность ISO 27001 2013, которую нужно правильно воспринять
В новой редакции ISO 27001 произошли серьёзные изменения, которые коснулись структуры, обобщённых положений, терминологии, описания роли руководителей; приложений. Она построена согласно требованиям Указания ISO (приложение SL (Annex SL)), в которой отмечается, что для гарантии сочетаемости с иными системами менеджмента необходимо в новых стандартах применять общую конфигурацию, текст и терминологию. В Приложении SL (Annex SL) зафиксирована так.
А) Структура стандарта из 10 разделов:
область применения; нормативные ссылки; термины и определения; контекст организации; лидерство; планирование; поддержка; эксплуатация (операционные процессы); оценка эффективности; улучшение
Б) Общая терминология из 22 понятий:
организация; заинтересованная сторона; требование; система менеджмента; высшее руководство; результативность; политика; цель; риск; компетентность; документированная информация; процесс; продуктивность (эффективность) (performance); передавать на аутсорсинг; мониторинг; измерение; аудит; соответствие; несоответствие; коррекция; корректирующее действие; улучшение.
Чтобы выполнить большой и важный труд, необходимы две вещи: ясный план и ограниченное время.
Элберт Хаббард
В ISO 27001 2013 предусмотрено планирование (Planning), функционирование (Operation ), оценка результативности (Performance evaluation), улучшение (Improvement). По сути, данный процесс построен на основе ранее использованной модели Деминга (план — действие – контроль (сопоставление ожидаемого результата с полученным) – коррекция действий (улучшение).
На английском языке модель описывается как PDCA или Plan-Do-Check-Act. Отсюда делаем вывод, что в новой редакции стандарта не отказываются от использования модели Деминга, а переодели её в «новые одежды». Имеет ли это какой-то глубинный смысл, мы увидим в будущем, а пока будем считать терминологические изыски «подводным камнем». Тот, кто поспешит отказаться от имеющегося опыта работы с моделью Деминга на этом «камешке» может простор зря потратить время.
Вторым «подводным камнем» стандарта можно считать видимую либеральность. Она просматривается в отказе подробно описывать процесс оценки рисков информационной безопасности.
Отсутствие в новом тексте термина «актив» (asset) и соответственно «идентификации активов» позволяет предположить возможность оценивать риски без изучения активов.
Тем не менее, терминология, установленная для стандартов серии 27000 и закреплённая в ISO 27000: 2014, показывает, что формой актива для ISO 27001 2013 выступает информация. Таким образом, как и раньше оценку рисков необходимо проводить через идентификацию информации, то есть через asset («актив»). Дополнительно уточним, что понимание «информации» в английском варианте и русском несколько различаются. Английский термин включает как сами данные, так и технологии передачи этих данных.