Najveći nedostaci norme ISO 27001

Ako pratite moj blog, vjerojatno mislite da sam uvjeren da je norma ISO 27001 najsavršeniji dokument koji je ikad napisan. To zapravo nije istina. U radu s klijentima i kad predajem na tu temu, obično nailazim na iste nedostatke ove norme. Ovdje ću ih navesti nekoliko zajedno s prijedlozima kako ih riješiti:

Nejasni izrazi

Neki zahtjevi norme prilično su nejasni:

• Točka 4.3.1 c) zahtjeva da ISMS dokumentacija uključuje …”procedure i kontrole koje podržavaju ISMS” – znači li to da se za svaku kontrolu koja se primjenjuje (Aneks A sadrži 133 kontrole) mora napisati poseban dokument ? Mislim da to nije potrebno. Obično klijentima savjetujem da pišu samo one politike i procedure koje su potrebne iz operativnih razloga i za smanjenje rizika. Sve ostale mjere mogu se ukratko opisati u Izvješću o primjenjivosti budući da ono mora sadržavati opis svih kontrola koje se implementiraju.
• (Ne)dokumentirane politike i procedure – mnoge kontrole iz Aneksa A, politike i procedure spominju se bez riječi “dokumentirati”. To zapravo znači da se takve politike i procedure ne moraju zapisati, ali to 95% čitatelja ne razumije.
• Vanjske strane / treće strane – ti su pojmovi međusobno zamjenjivi što može biti zbunjujuće. Bilo bi puno bolje upotrebljavati samo jedan pojam.

Organizacija norme

Neki zahtjevi norme se ili nalaze na nekoliko mjesta ili se nepotrebno ponavljaju:

• Neke se mjere jednostavno nalaze na krivom mjestu – na primjer, A.11.7 Mobilno računarstvo i rad na daljinu nalazi se u poglavlju A.11 Kontrola pristupa. Iako pri bavljenju mobilnim računarstvom treba voditi računa i o kontroli pristupa, poglavlje A.11 nije najlogičnije mjesto na kojem bi trebalo definirati probleme povezane s mobilnim računarstvom i radom na daljinu.
• Pitanja vezana za vanjske strane razbacana su na više mjesta u normi – u A.6.2 Vanjske strane, A.8 Sigurnost vezana uz ljudske resurse i A.10.2 Upravljanje uslugama trećih strana. Pojavom cloud computinga (prevodi se i kao računarstvo u oblaku) i drugih oblika outsourcinga, preporučljivo je prikupiti sva ta pravila u jednom dokumentu ili jednom skupu dokumenata koji bi se bavio trećim stranama.
• Osvješćivanje i obučavanje zaposlenika traži se i u točki 5.2.2 glavnog dijela norme, i u mjeri A.8.2.2. Osim što je ovakvo ponavljanje nepotrebno, ono unosi dodatnu zbrku – u teoriji bi se svaka mjera iz aneksa A mogla izostaviti, tako da se na kraju može dogoditi da izostavite zahtjev koji se zapravo ne smije izostaviti jer je propisan u glavnom dijelu norme. Isto se događa i s internim auditom (točka 6 glavnog dijela norme) i kontrolom A.6.1.8 Neovisan pregled informacijske sigurnosti.
• Neke kontrole iz Aneksa A imaju širok spektar primjene i mogu uključivati druge kontrole – primjerice, kontrola A.7.1.3 Prihvatljiva uporaba resursa toliko je općenita da može obuhvatiti npr. A.7.2.2. (Rukovanje klasificiranim podacima), A.8.3.2 (Povrat informacijskih resursa prilikom prestanka rada), A.9.2.1 (Zaštita opreme), A.10.7.1 (Upravljanje zamjenjivim medijima), A.10.7.2 (Rashodovanje medija), A.10.7.3 (Procedure postupanja sa informacijama) itd. Klijentima obično savjetujem da napišu jedan dokument koji obuhvaća sve te mjere.

Problemi koji to nisu

Evo nekoliko stvari koja se obično smatraju problematičnima, iako se s tim ne bih složio:

• Norma je previše neodređena, nije dovoljno detaljna – ako bi sadržavala više detalja o potrebnoj tehnologiji, onda bi ubrzo zastarjela. Ako bi sadržavala više detalja o metodama i/ili organizacijskim rješenjima, ne bi bila primjenjiva na sve veličine i vrste organizacija. Na primjer, veliku je banku potrebno drugačije organizirati nego malu marketinšku agenciju – li i jedna i druga bi trebale biti u stanju implementirati ISO 27001.
• Norma ostavlja previše slobodnog prostora – kritičari tu misle na koncept procjene rizika gdje se određene sigurnosne kontrole mogu izostaviti ako nema povezanih rizika. Zato pitaju: “Kako je moguće isključiti izradu sigurnosnih kopija ili antivirusnu zaštitu?” Zapravo, napretkom tehnologije i pojavama poput cloud computinga za ovu vrstu zaštite možda neće biti odgovorna organizacija koja provodi ISO 27001. (Međutim, u tom bi slučaju rizik outsourcinga bio prilično visok tako da bi bile potrebne druge vrste sigurnosnih kontrola.)

I što sada?

Norma će se sigurno morati mijenjati. Trenutna verzija norme ISO/IEC 27001:2005 stara je već šest godina i možemo se nadati da će se sljedeća revizija (koja se očekuje 2012. ili 2013.) pozabaviti većinom navedenih pitanja.

Iako ovi nedostaci često izazivaju zbrku, smatram da norma ima mnogo više pozitivnih nego negativnih strana. I točno, stvarno sam uvjeren da ova norma pruža najbolji okvir za upravljanje informacijskom sigurnošću.

Možete pogledati i ovu e-knjigu Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own koja objašnjava svaki korak u implementaciji ISO 27001.