Премини към съдържанието
  • публикации
    18
  • коментари
    5
  • прегледи
    24596

Новият ISO 27001:2013 – две в едно: либерализация и хармонизация

mscservices

1013 прегледа

Новият ISO 27001:2013 – две в едно: либерализация и хармонизация

Славчо Ненков – 12.02.2013

Новината за публикуване на драфта на новата версия на стандарта ISO/IEC 27001:2013 беше посрещната от мен с огромен интерес, така както убеден съм и от останалите колеги, работещи в областта на сигурността на информацията. Имаше очаквания за сериозни промени в стандарта. Най-екзотично за мен беше очакването да бъде премахнат Анекс А и изборът на контроли да бъде оставен изцяло на преценката на внедряващите организации. Ето и впечатленията ми след прочита на драфта:

Основната промяна на стандарта за мен е в посока Либерализация. Е, Анекс А е все още на мястото си (и слава богу, не винаги интерпретацията е най-доброто решение, особено когато консултантите бързат с внедряването ... :)), но пък има достатъчно промени в този дух. Ето основните:

Няма ги задължителните документирани процедури

В старата версия на стандарта съществува изискването за четири задължителни документирани процедури, а именно: за управление на документи, за вътрешни одити, за коригиращи действия, за превантивни действия. В новата драфт версия липсва такова изискване.

Липсва списък със задължителните документи на СУСИ

В старата версия на стандарта клауза 4.3.1 съдържа списък със задължителните документи на СУСИ. Драфтът на новата версия не съдържа такъв детайлен списък със задължителни документи.

Либерализация при оценката на риска

За разлика от сега действащата версия на стандарта ISO/IEC 27001:2005, новата драфт версия не съдържа изскването за наличие на документирана методика за оценка на риска. Има изискване за предварително дефиниране на процеса за оценка на риска, но липсва имплицитно изискване за документиране.

Още по-голяма е либерализацията при определяне методиката за оценка на риска. Активите, уязвимостите и заплахите не са фиксирани като основа за оценка на риска, съществува само изискване за идентифициране на рисковете, свързани с конфиденциалността, наличността и целостта. Как – това е оставено на преценката на внедряващата организация. Последствията/въздействието и вероятността остават основа за определяне нивата на риска.

Липсва фокусът върху превантивни действия

В драфт версията на стандарта липсва клаузата за превантивни действия. Акцентът е насочен върху разграничаване на термините корекция и коригиращо действие.

==================================================================

www.mscservices.eu - Вашите ISO консултанти

==================================================================

Втората видима промяна в драфт версията на ISO/IEC 27001:2013 е хармонизацията с изискванията на Анекс SL на ISO/IEC Директивите от 2012 г. Структурата на стандарта е обновена, съдържа вече 11 клуази и познатия Анекс А, и съответства на препоръчваната от ISO/IEC Директивите структура. Впрочем промяна в тази посока очакват и други стандарти, отнасящи се до системи за управление – например ISO 9001, ISO 20000-1 и други.

Освен структурата на стандарта, духът на цялостното му съдържание е насочен към хармонизация с изискванията на останалите стандарти за системи за управление и по-добра интеграция в общия управленски процес.

Другите по-съществени промени в стандарта са свързани с посочените по-долу области:

Въведен е терминът “leadership”, който значително доближава разбирането за ръководство до духа и принципите на стднарта ISO 9001:2008.

Въведен е терминът „заинтересовани страни“, към които се отнасят клиенти, доставчици, партньори, законови и регулаторни органи и други. Заинтересованите страни следва да будат идентифицирани и описани от организацията.

В новата драфт версия е използвана концепцията за „документирана информация“, която обединява термините документи и записи. Като цяло основните изисквания към документи и записи от сегашната версия на стандарта са запазени.

На мястото на познатото „собственик на актив“ е въведено понятието „собственик на риск“, което препраща към стандарта ISO 31000 и разглежда процеса за управление на ниво риск. Този стандарт е адресиран и при определяне на принципите, към които следва да се приведе оценката и третирането на риска.

Определени са по-ясни и конкретни правила по отношение на дефиниране на целите, реда за измерването им и анализа и оценката на резултатите.

Създадена е нова клауза Комуникация, отнасяща се до задълженията по отношение на комуникикациите, свързани със сигурността на информацията във и извън организацията.

Промените в Анекс А на стандарта не са революционни и са свързани предимно с промяна в броя на механизмите за контрол и групите механизми за контрол, разпределението на механизмите за контрол по групи и редактиране на досегашното съдържание на някои от тях.

Общият брой групи от механизми за контрол в Анекс А е 14 вместо досегашните 11 като в тях са разпределни 113 механизма за контрол вместо досегашните 133.

От сега съществуващата версия на стандарта се предвижда да отпаднат 29 механизма за контрол (А.6.1.1, А.6.1.4, А.6.2.1, А.6.2.2, А.10.2.1, А.10.4.2., А.10.7.4, А.10.8.5, А.10.9.3, А.10.10.2, А.10.10.5, А.11.4.2, А.11.4.3, А.11.4.4, А.11.4.6, А.11.4.7, А.11.5.2, А.11.5.5, А.11.5.6, А.11.6.2, А.12.2.1, А.12.2.2, А.12.2.3, А.12.2.4, А.12.5.4, А.14.1.2, А.14.1.4, А.15.1.5, А.15.3.2).

Включени са 9 нови механизмa за контрол както следва:

- А.6.1.4 Information security in project management

- A.12.6.2 Restrictions on software installation

- A.14.2.1 Secure development policy

- A.14.2.5 System development procedures

- A.14.2.6 Secure development environment

- A.14.2.8 System security testing

- A.16.1.4 Assessment and decision of information security events

- A.16.1.5 Response to information security incidents

- A.17.2.1 Availability of information processing facilities

Основният резултат от направените промени в новата драфт версия на ISO/IEC 27001 (либерализацията) е увеличаване свободата на прилагането му при внедряване. По този начин се увеличава отговорността на консултантите/внедрителите на СУСИ за сметка на все по-рамковите изисквания на стандарта. Разбира се ако това не се приеме като възможност стандартът да се чете както дяволът чете евангелието (разбирай като възможност за минимизиране на работата по внедряването), което за съжаление е факт при други стандарти.

Другият важен резултат от промените (харминизирането) е възможност за още по-добро интегриране на СУСИ с другите системи за управление в организацията.

www.mscservices.eu - Вашите ISO консултанти

  • Харесва ми 1


0 Коментара


Препоръчани коментари

Все още няма коментари.

Гост
Добави коментар...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.

  • Разглеждащи това в момента   0 потребители

    Няма регистрирани потребители разглеждащи тази страница.

  • Горещи теми в момента

  • Подобни теми

    • от DarkEdge
      Откакто Microsoft въведоха пакети с актуализации в UUP формат стана по-лесно създаването на iso, позволяващо преинсталирането на Windows.
      Adguard направи този процес още по-лесен и единственото, от което се нуждаете, е добра интернет връзка и място на твърдия диск поне 15GB.
      Посетете https://uup.rg-adguard.net/index.php 


      и изпълнете следните стъпки:

      1. Select type:
      Избирате Windows Final или Windows Insider

      2. Select version
      Избирате желаната версия

      3. Select Language
      Избирате необходимия език

      4. Select edition
      Избирате необходимото издание

      5. Select type Download
      Избирате желаният метод на сваляне и компилиране
      Препоръчвам ви първият в списъка метод

      В дясно в страницата ще се появи линк за изтегляне - кликвате на него. 

      Така изглежда insider 17618 X64 en-US Pro селекцията

      Сваляте на дял, където имате поне 10GB свободно място, разархивирате в директория с името на файла. В случая е папка creatingISO_17618.1000_en-us_amd64_Professional
      Влизате в тази папка и стартирате creatingISO.cmd
      След известно време, в зависимост от компютъра(процесора), в тази папка ще се появи файл с такова или подобно име 17618.1000.180302-1651.RS _PRERELEASE_CLIENTPRO_OEMRET_X64FRE_EN-US.ISO

      А прозорецът с изпълнените команди на финала на процеса ще изглежда така:



      А за директен достъп до iso файлове постете TechBench


      ===================================
      Още един алтернативен метод за изтегляне на Windows 10 - UUP
      https://uup.rg-adguard.net

       

      Избирате типа на Windows - финален или инсайдърски:

      Избирате версията:

       
      Избирате езика на Windows:

       
      Избирате типа на изданието:

      Избирате инструмента, с който ще се изтегля/компилира (аз ползвам осветения ред)

      Изтегляте, разархивирате и стартирате един от двата .bat файла:
      creatingISO.cmd
      multi_creatingISO.cmd
      Първият създава iso файл САМО с една версия на Windows, а вторият създава iso файл с много издания на Win 10.
       
      Алтернативни източници:

      Windows 7:
      home-iso-7

      Windows 8.1
      Windows 10
      Windows 10 Home
      Windows 10 Professional
      Windows 10 Standard
      Windows 10 N,
      Windows 10 KN
      Windows 10 Single-Language.
    • от Славчо Хаджийски
      Здравейте!
      slacko64-6.3.2-uefi.iso
      ме заинтригува. Свалих го на флашка. Работи чудесно от флашката, но когато започна да го инсталирам, иска някаква парола и без нея не посволява да продължа. Реших  да потърся паролата от Puppy Linux Blog, но когато се опитам да се регистрирам в него, се появява следния надпис: Unfortunately, registration is disabled due to copious amounts of spammers. Contact Admin directly if you have any questions. Сега вече възниква въпроса, как да се свържа с Admin?
      Моля, да ми помогнете да изляза от този омагьосан кръг и да се добера до паролата!
      Весели празници!
    • от StefanoV08
      Както всеки нормален човек искам да запиша музика на сд диск за колата, обаче се оказа че СДто на моята кола не чете СД-Ром а само СД-ИСО някой може ли да ми каже как да запиша МУЗИКА на такъв диск, защото знам че ИСО не е разширение за музика 
    • от makata
      Здравейте  , търсих , но явно не намерих ... В сайта на Microsoft има ли начин да изтегля Starter  .. Имам ключ на самата кутия на нетбука .. 
    • от Greak
      Здравейте, искам да попитам първо, какво означава това Raw image format ? Намерих в  Wikipedia, но там не е на български език и не разбрах нищо... За това питам тук... Също така това ISO... Ето това iso:
       

       
      Също така, как е по добре да снимам, когато навън е слънчево - срещу слънцето или от страната от която слънцето огрява предмета ? Благодаря предварително.
×
×
  • Добави ново...