Staðlamál

Upplýsingaöryggi - Ný útgáfa ISO/IEC 17799 framfaraskref (26.10.2005)

Helstu breytingar

Nýja útgáfan er mikið framfara skref frá fyrri útgáfu. Efnisbreytingar eru ekki miklar, en þess meiri á uppbyggingu og skipulagi. Hver einasta grein verður fyrir einhverjum breytingum, mismiklum þó.

Í nýju útgáfunni er greinum skipt upp í þrjá hluta: „Control” eða stýring, „Implementation
guidance” eða leiðbeiningar um innleiðingu og „Other information” eða aðrar upplýsingar. Með þessu verða markmið hverrar greinar skýr og skilmerkileg. Gerir það staðlinum kleift að standa einum, meðan eldri útgáfan þurfti alltaf stuðning frá ÍST BS 7799-2. fiessi breyting snertir hverja einustu grein staðalsins

Kaflaskipting staðalsins breytist lítið en tveir kaflar bætast við fremst í staðalinn, annar fjallar um uppbyggingu staðalsins (nýr 3. kafli) en hinn um áhættumat og meðferð (nýr 4. kafli). Síðan hefur efni sem áður var í greinum 6.3, 8.1.3 og 12.1.7 verið fært yfir í kafla 13, sem einnig er nýr. Að öðru leyti detta 10 greinar út, ýmist vegna þess að efni þeirra þótti óþarft eða þær renna saman við aðrar greinar. Hundrað og átján greinar halda sér en margar þeirra breytast mjög mikið. Loks bætast 20 nýjar greinar við, en talsvert ber á því að efni þeirra hafi áður verið í öðrum greinum staðalsins. Við þetta fjölgar greinum staðalsins úr 127 í 137 og köflum úr 12 í 15.

Greinar detta út aðrar bætast inn

Þær greinar sem detta út eru: 4.1.5 Sérfræðiráðgjöf um upplýsingaöryggi, 4.3 Útvistun (einnig grein 4.3.1), 8.1.6 Umsjón með búnaði utan fyrirtækis, 8.7.7 Upplýsingaskipti af öðru tagi, 9.4.2 Föst tengileið, 9.4.4 Sannvottun hnúts, 9.5.6 Neyðarkallbúnaður til verndar notendum, 10.3.2 Dulritun, 10.3.3 Stafrænar undirskriftir og 10.5.4 Laumurásir og Trójuhestar.

Dæmi um greinar sem bætast við eru: Kafli 4: 4.1 Assessing security risks, 4.2 Treating security risks; í kafla 6 (áður kafli 4): 6.1.7 Contact with special interest groups, 6.2.2 Addressing security when dealing with customers; í kafla 7 (áður kafli 5): 7.1.2 Ownership of assets, 7.1.3 Acceptable use of assets; kafli 8 (áður kafli 6) breytist mikið og nú skipt í atriði sem gera skal fyrir ráðningu, á ráðningartíma og við starfslok eða tilflutning í starfi.

Tvær breytingar hafa mest áhrif. Annars vegar að skilgreint er á skýran hátt hvaða stýringu er stefnt að í hverri grein og hins vegar að fjallað er um áhættumat og áhættumeð ferð. Með þessu tvennu er staðallinn gerður sjálfstæðari frá „bróður sínum” ÍST BS 7799-2. Hjá Staðlaráði er unnið við að þýða nýju útgáfuna. Samhliða því verður unnið að þýðingu ISO 27001.

Breytingin frá ISO 17799:2000 í ISO 17799:2005 mun ekki hafa mikil áhrif á þá sem þegar hafa innleitt stjórnkerfi upplýsingaöryggis samkvæmt staðlinum. Eldri útgáfan verður ennþá tekin góð og gild í tvö ár og því verður hægt að sækja um vottun samkvæmt henni vel fram á árið 2007. Auðvelt verður að aðlaga þau stjórnkerfi upplýsingaöryggis, sem þegar hafa verið innleidd að nýju útgáfunni.

Marinó G. Njálsson, sérfræðingur í stjórnkerfi upplýsingaöryggis, mgn@islandia.is.