Upplýsingaöryggi - Ný útgáfa af ISO/IEC 27001 og ISO/IEC 27002

Alþjóðastaðlasamtökin (ISO/IEC) gáfu í september út nýja útgáfu af hinum vinsæluMarino G Njalsson upplýsingaöryggisstöðlum ISO/IEC 27001 og ISO/IEC 27002. Óhætt er að segja að breytingarnar eru umtalsverðar.

Ég hef fengið að fylgjast með þróun hinnar nýju útgáfu, bæði sem umsagnaraðili fyrir ISACA í Bandaríkjunum um breytingar á upplýsingaöryggisstöðlum og sem fulltrúi Staðlaráðs Íslands á fundi vinnuhóps ISO um breytinguna. Hafa nokkrar ábendingar mínar ratað inn í hina nýju útgáfu.

Hin nýja útgáfa, ISO/IEC 27001:2013 og ISO/IEC 27002:2013, er fjórða heildstæða útgáfan sem kemur út. Fyrst litu dagsins ljós BS 7799:1995 og BS 7799-2:1998. ISO/IEC gáfu fyrri hlutann út árið 2000 sem ISO/IEC 17799:2000 og báða árið 2005, þ.e. ISO/IEC 27001:2005 og ISO/IEC 17799:2005 sem síðan var endurútgefinn sem ISO/IEC 27002:2005.

ISO/IEC 27001
ISO/IEC 27001:2013 er nánast gjörbreyttur staðall frá síðustu útgáfu. Fyrst ber að nefna að staðlinum hefur verið skipt í tvennt, þ.e. ISO/IEC 27000 og ISO/IEC 27001. Síðar-nefndi staðallinn inniheldur núna bara stjórnkerfishlutann úr eldri útgáfu og þar með vottunarhlutann. Uppbygging stjórnkerfishlutans hefur breyst mikið og er hann orðinn líkari stjórnkerfishluta annarra algengra staðla. Auðveldar það fyrirtækjum og stofnunum að byggja heild-stætt stjórnkerfi gæðastjórnunar. Upplýsingaöryggisstjórnun er jú ekkert annað en eitt form gæðastjórnunar.

Heiti helstu kafla (í óopinberri þýðingu) eru: Grunnur fyrirtækisins, Stjórnhættir, Skipu-lag, Stuðningur, Mat á frammistöðu og Umbætur. Með þessu er verið að leggja áherslu á að stjórnkerfið verður að byggja upp á forsendum starfseminnar og ekki síður þeirra sem eiga hagsmuna að gæta um að reksturinn gangi vel. Breytingar þýða ekki endilega að atriði hafi dottið út, heldur hafa þau verið færð til eða klædd í nýjan búning. Þetta sést best varðandi áhættumatsferlið. Horfið er frá því að áhættumatið sé eigna-bundið, en í staðinn er sjónum beint að áhættunni. Skilgreina þarf "eiganda" á-hættu-nnar, átta sig á áhættunni sem verður af því að trúnaður, réttleiki og tiltækileiki tapast, ekki er lengur minnst á samspil ógna, veikleika og líkinda og loks eru aðferðir við meðhöndlun áhættu ekki tilgreindar.

ISO/IEC 27002
Ýmsar umfangsmiklar breytingar eru gerðar á ISO/IEC 27002. Köflum er fjölgað úr 11 í 14, en stýringum er fækkað úr 134 í 114! Færri stýringar þýða ekki að dregið sé úr kröfum. Ástæðan fyrir fækkun er sameining stýringa og vissulega er nokkrum "óþörfum" stýringum sleppt. Með þessu næst betra flæði og samræmi í staðalinn. Mesta breytingin felst þó í endurflokkun stýringa og að mörgu leyti einföldun. Gallinn við þessar miklu breytingar/uppstokkun er að aðeins þrjár stýringar halda númerum sínum milli útgáfa, þ.e. 5.1.1, 5.1.2 og 12.6.1. Allar aðrar fá ný númer. Þetta mun örugglega valda ruglingi.

Ekki fer á milli mála að ISO/IEC 27001 og ISO/IEC 27002 eru þeir staðlar sem mestra vinsælda njóta þegar kemur að stjórnun upplýsingaöryggis. Hafa skal þó í huga, að stýringarnar sem lýst er í ISO/IEC 27002 og vísað er til í viðauka A í ISO/IEC 27001 eru langt frá því að vera tæmandi upptalning á þeim stýringum sem hægt er að innleiða. Þessu hefur tækninefnd ISO/IEC áttað sig á og því eru fjölmargir aðrir staðlar í ISO/IEC 27000 fjölskyldunni.

Marinó G. Njálsson,
tölvunarfræðingur og sérfræðingur í stjórnun upplýsingaöryggis.

Staðlaráð Íslands    Þórunnartúni 2, 3. hæð, 105 Reykjavík    Kennitala: 591193 2019    Opnunartími    Sími 520 7150 fax 520 7171