Ta witryna wykorzystuje pliki cookie, dowiedz się więcej Zgadzam się
>>> Strona główna >>> Archiwum wiadomości >>> Nowa norma ISO 27001

Nowa norma ISO 27001

2015-01-20 17:52:25

Artykuł Andrzeja Guzika eksperta ds. bezpieczeństwa informatycznego zamieszczony w IT Professional nr 1/2015 dotyczy znowelizowanej normy ISO 27001:2005. Obecne wydanie pochodzi z września 2013 i określa wymagania dotyczące tworzenia, wdrażania, utrzymania i doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Aby utrzymać ważność posiadanych certyfikatów systemy SZBI muszą przejść na nową wersję do 1 października 2015 roku. Dla posiadających certyfikat służy temu specjalny audyt oceny zgodności z nowymi wymogami a dla przystępujących do certyfikacji obowiązuje cała procedura według nowej normy.

W ISO 27001:2013 wykorzystuje podejście procesowe PDCA zgodne z cyklem Deminga, które ilustruje poniższy schemat.

Nowa norma zmienia podejście do tzw. udokumentowanej informacji, czyli informacji, która powinna być utrzymywana i nadzorowana. Zmieniono też podejście do oceny ryzyka związanego z bezpieczeństwem informacji i postępowania z ryzykiem. W starszej wersji w 11 rozdziałach przedstawiano 39 celów zabezpieczeń i 133 zabezpieczenia. W nowej normie usunięto część zabezpieczeń, ale dodano nowe pozycje związane z rozwojem IT, dotyczące bezpieczeństwa informacji w zarządzaniu projektami, ograniczenia w instalowaniu oprogramowania, polityki bezpieczeństwa prac rozwojowych, zasad projektowania bezpiecznych systemów, testowania bezpieczeństwa systemów, polityki bezpieczeństwa informacji dotyczącej dostawców. Autor artykułu zwraca uwagę na pominięcie w nowej normie zagrożeń związanych z przetwarzaniem informacji w chmurze. Brakuje odniesienia do niebezpieczeństw związanych z serwisami społecznościowymi a także został zignorowany ważny trend BYOD – wykorzystanie prywatnego sprzętu do celów służbowych (ang. Bring Your Own Device) który niesie poważne zagrożenia

Nowa wersja normy ISO 27001:2013 kładzie duży nacisk na wymagania systemowe związane z SZBI a mniejszy na zabezpieczenia. Jednak ponieważ bezpieczeństwo informacji należy raczej do procesu zarządzania a w mniejszym stopniu do warunków technicznych, skuteczne SZBI wymaga od organizacji implementacji procesów oceny ryzyka bezpieczeństwa informacji i postępowania z tym ryzykiem.

Autor stwierdza na koniec, że zasadnicze znaczenie dla skutecznego działania SZBI ma zaangażowanie kierownictwa, które musi być gotowe przeznaczyć na ten cel odpowiednie zasoby, a także rozumie, że bezpieczeństwa nie można traktować w oderwaniu od procesów biznesowych. Istotne jest, że o bezpieczeństwie informacji w ostatecznym rozrachunku decyduje świadomość użytkowników systemu. Dlatego tak niepokojące są wyniki badania Fortinet Internet Security Census w 2013 r., gdzie polscy uczestnicy badań wykazali się wyjątkowym brakiem dyscypliny.

1W ubiegłym roku referowałam spory artykuł z IT Professional nr 1/2014 na temat świadomości zagrożeń spowodowanych praktyką BYOD. Na przykład: przechowywanie informacyjnych aktywów korporacyjnych na osobistym koncie w chmurze, stwierdzone w badaniach Fortinet Internet Security Census, a także deklarowany zamiar niestosowania się do ewentualnych zakazów pracodawcy używania własnego sprzętu itp.

Oprac. na podstawie IT Professional
Magdalena Hornowska

Robocik WWSI