Podsumowanie 8 lat normy ISO 27001:2005

8 lat normy ISO 27001:2005

Rosnące znaczenie bezpieczeństwa informacji skłania przedsiębiorstwa do poszukiwania sposobów zabezpieczenia danych własnych, jak i powierzonych przez klientów. Początkowe nastawienie na zabezpieczenia informatyczne i techniczne okazało się niewystarczające wobec stwierdzenia prób wykorzystania słabości organizacyjnych dla wyłudzenia informacji. Poszukiwania systemowego rozwiązania problemu doprowadziło do powstania zbiorów dobrych praktyk, a w dalszej kolejności standardów. Rozwój norm opisujących systemy zarządzania stworzył dobrą bazę dla opisania wymagań stawianych systemom zarządzania bezpieczeństwem informacji.

W 2014 roku ISO dokonało podsumowania efektów wdrażania wymagań normy ISO 27001:2005 w latach 2006-2013. Jednocześnie w 2013 roku ukazała się nowelizacja tej normy. Stanowi to dobrą okazję dla oceny funkcjonowania dotychczasowego standardu, prezentacji nowych wymagań, a także wskazania obszarów zmian dla przedsiębiorstw, które wdrożyły poprzednią wersję. Zadania te stanowią jednocześnie cele niniejszego opracowania.

W latach 2006-2013 wydano łącznie 22293 certyfikaty ISO 27001, z czego ponad 35% w Europie (rys. 1). Największy sukces norma odniosła w Japonii, w której miało miejsce ponad 31% ogólnej liczby wdrożeń. W tym samym czasie certyfikowano ponad 232 tys. wdrożeń ISO 9001 i 173 tys. ISO 14001.

Rys. 1. Liczba wydanych certyfikatów ISO 27001
Źródło: opracowanie na podstawie The ISO Survey… 2014.

Procentowy przyrost w ujęciu rocznym jest znacznie wyższy w przypadku normy ISO 27001 (14%) niż w przypadku ISO 9001 (ok. 1%). Można zatem przyjąć, że popularność standardu rośnie. Wzrost ten jest jednak wolniejszy niż zakładano na początku. Norma nie stała się naturalnym rozszerzeniem ISO 9001. Jej zastosowanie ogranicza się do dużych i średnich instytucji, a także wybranych sektorów gospodarki.

W Polsce do 2013 roku wydano 307 certyfikatów. Dynamika liczby certyfikatów jest w Polsce nieznacznie wyższa niż średnia europejska i światowa (rys. 2). Spowolnienie gospodarcze spowodowało, znaczne zmniejszenie liczby wydanych certyfikatów w Polsce w latach 2010 i 2011. Niebezpiecznie rośnie także liczba nieprzedłużonych certyfikatów. W 2011 r. sięgnęła ona 12% ogólnej liczby wdrożeń. Ze względu na opóźnienie w raportowaniu, nie opublikowano dotychczas danych za lata 2012 i 2013. Nie jest zatem jasne, czy rezygnacje wynikały ze spowolnienia gospodarczego czy też nieprzydatności standardu.

Rys. 2. Dynamika wdrażania ISO 27001 [2007 = 100]
Źródło: opracowanie na podstawie The ISO Survey… 2014.

System zarządzania bezpieczeństwem informacji zyskał popularność przede wszystkim w sektorze IT, gdzie zanotowano 57% wdrożeń. W czołowej piątce znalazły się także sektory usług innych, budownictwa, transportu i komunikacji oraz wyposażenia elektrycznego i oświetlenia. Łącznie mają one 78% udziału w ogólnej liczbie certyfikowanych systemów ISO 27001.  

Norma ISO/IEC 27001:2005 została opracowana na bazie struktury stosowanej w normach systemów zarządzania. Jednak ze względu na wyłączenie kluczowej jej części (listy zabezpieczeń) do załącznika, w treści wyraźna była asymetria – bardzo rozbudowany rozdział 4 opisujący zasady wdrażania, eksploatacji i monitorowania systemu, a obok w szczątkowej formie rozdziały 5 – 8. Treść tych rozdziałów odpowiadała rozdziałowi 5 i 8 normy ISO 9001.  Szczegółowe wymagania w zakresie wdrażania systemu ograniczały elastyczność stosowania standardu. Próby wdrożenia go przez Autora w instytucjach administracji samorządowej wykazały, że część zabezpieczeń nie ma tu zastosowania lub powinna być stosowana w ograniczonym zakresie.

Ponadto brakowało wytycznych do wdrażania systemów zarządzania bezpieczeństwem informacji. Zostały one opublikowane dopiero w latach kolejnych. Część z nich występuje wyłącznie w języku angielskim. Braki dotyczyły również podejść do zarządzania ryzykiem. Nadmiernie szczegółowe podejście metod prezentowanych w normie referencyjnej ISO 13335-1 powodowało, że niepotrzebnie komplikowano identyfikację czynników ryzyka. Przy tym brak wytycznych dla audytorów powodował, że kurczowo trzymali się oni zaleceń tej normy.

Wprowadzenie wymagania zarządzania ryzykiem spowodowało w praktyce powielenie funkcji działań zapobiegawczych. Wprawdzie zachowanie tych działań utrzymywało formalną kompatybilność z innymi standardami, jednak w wielu organizacjach nie podejmowano ich lub jedynie symulowano ich stosowanie. W praktyce identyfikacja czynników ryzyka w pełni zastępowała potrzebę prowadzenia działań zapobiegawczych.

Ogólna ocena normy ISO/IEC 27001:2005 jest pozytywna. Wprowadziła ona systemowe podejście do zarządzania bezpieczeństwem informacji. Dzięki temu przedsiębiorstwa mają możliwość szybkiego podniesienia poziomu bezpieczeństwa informacji. Jednocześnie należy zauważyć, że ta norma nie opisuje zaawansowanych technik. Ma ona raczej charakter podstawowy.

Zdjęcie: SparkFun Electronics, Flicker.com, CC