Zmiany wprowadzone w normie ISO 27001:2013

Zmiany wprowadzone przez nowelizację można zakwalifikować do trzech grup. Pierwszą grupę stanowią zmiany istotnie wpływające na ideę funkcjonowania systemu. Zaliczyć do nich można:

  • wprowadzenie pojęcia kontekstu organizacji,
  • wprowadzenie zainteresowanych stron w miejsce interesariuszy,
  • doprecyzowanie wymagań dla kierownictwa,
  • rozszerzenie wymagań w zakresie celów bezpieczeństwa informacji,
  • położenie większego nacisku na skuteczność planów postępowania z czynnikami ryzyka,
  • rozszerzenie postępowania z czynnikami ryzyka o szanse,
  • rozszerzenie zakresu oceny systemu,
  • wprowadzenie wymagań dotyczących komunikacji.

Drugą grupę stanowią zmiany metod stosowanych w standardzie. Należą do niej:

  • rezygnacja z działań zapobiegawczych,
  • uelastycznienie podejścia do dokumentacji,
  • uproszczenie podejścia do szacowania ryzyka.

Ostatnią grupę stanowią drobne zmiany, których wpływ na funkcjonowanie systemu jest ograniczony:

  • możliwość zastąpienia cyklu PDCA inną koncepcją doskonalenia,
  • ściślejsze powiązanie zabezpieczeń z postępowaniem z czynnikami ryzyka,
  • wprowadzenie pojęcia właściciela czynnika ryzyka zastępującego właściciela aktywów.

W pierwszej wersji normy organizacja była zobowiązana do określenia zakresu systemu jedynie opierając się na specyfice działalności, lokalizacji, posiadanych aktywach i technologiach. Identyfikacja ograniczała się zatem do czynników wewnętrznych. Takie podejście mogło być niewystarczające w sytuacji, gdy na bezpieczeństwo informacji istotny wpływ ma otoczenie. Dlatego nowelizacja wprowadza wymaganie oceny zarówno wewnętrznych, jak i zewnętrznych czynników. W tym celu należy wykorzystać normę ISO 31000, która wymienia następujące czynniki [ISO 31000:2009 2009, s. 15]:

  • zewnętrzne:
    • społeczne i kulturowe, polityczne, prawne, regulacyjne, finansowe, ekonomiczne, ekologiczne, wynikające z funkcjonowania na konkurencyjnym rynku, na poziomie międzynarodowym, krajowym, regionalnym i lokalnym,
    • kluczowe czynniki i tendencje mające wpływ na cele organizacji,
    • relacje, postrzeganie oraz wartości zewnętrznych interesariuszy,
  • wewnętrzne:
    • zarządzanie, struktura organizacyjna, role, odpowiedzialność,
    • polityki, cele, strategie, do których osiągnięcia organizacja dąży,
    • potencjał w zakresie zasobów i wiedzy,
    • relacje, postrzeganie i wartości wewnętrznych interesariuszy,
    • kulturę organizacyjną,
    • system informacyjny, przepływ informacji i procesy podejmowania decyzji,
    • standardy, wytyczne i modele wdrożone przez organizację,
    • forma i zakres umów.

ISO/IEC 27001:2013 podchodzi do tej kwestii jeszcze szerzej i wymaga rozszerzenia pojęcia interesariuszy do zainteresowanych stron. To ich potrzeby i oczekiwania mają być zidentyfikowane i zrozumiane w ramach określania kontekstu organizacji.  Dopiero na podstawie tych analiz możliwe jest ustalenie zakresu systemu zarządzania bezpieczeństwem informacji.

Zmianie uległo podejście do roli najwyższego kierownictwa organizacji. Poprzednio ograniczało się ono do wykazania zaangażowania przez ustanowienie polityki, celów, określenie ról, itp. Nowelizacja podkreśla rolę przywództwa, którego miarą mają być wyniki osiągane przez organizację w zakresie realizacji polityk i celów. Należy zatem spodziewać się zmiany praktyki audytu prowadzonego przez firmy certyfikujące i położenie większego nacisku na uzyskiwane efekty podczas rozmów z zarządami organizacji.

Nowelizacja zwiększa nacisk na realne funkcjonowanie, a nie tylko dokumentowanie istnienia systemu. Jednym ze środków służących temu jest wprowadzenie wymagania opracowania celów bezpieczeństwa informacji i planowanie ich osiągania. Oznacza to, że organizacje muszą planować i wdrażać zmiany w systemie. Nie jest jednak jasne w jaki sposób powinna postępować organizacja, która zrealizowała swoje cele, a ze względów ekonomicznych czy organizacyjnych nie ma zamiaru lub potrzeby dalej rozwijać systemu. Dotychczas cele były ustalane w polityce oraz dla poszczególnych zabezpieczeń. Miały one charakter statyczny.

Znacznie większy nacisk został położony w nowelizacji na planowanie postępowania z czynnikami ryzyka. Obszar ten był dotychczas opisany tylko w kontekście identyfikacji czynników oraz zapewnienia ciągłości działania. Rozszerzone wymagania uwzględniają zarówno czynniki ryzyka, jak i szanse. Obowiązkiem organizacji jest wdrożenie procesu postępowania z czynnikami ryzyka i szansami, który będzie integralną częścią SZBI. Oceniając funkcjonowanie systemu organizacja powinna także oceniać skuteczność identyfikowania i eliminowania czynników ryzyka oraz wykorzystywania szans.

Nowelizacja wprowadza także wymagania w zakresie komunikacji. Oczekuje się, że organizacja opracuje zasady lub plan komunikacji, który będzie uwzględniał rodzaje przekazywanych informacji, częstotliwość, adresatów, procesy oraz osoby odpowiedzialne.

Nowelizacja wprowadza także szereg mniejszych zmian. Najbardziej widoczną jest rezygnacja z działań zapobiegawczych na rzecz zarządzania ryzykiem. Zmiana ta jest skutkiem powielania się zakresu obu podejść. Działania zapobiegawcze ze względu na nieokreślone źródło informacji o potencjalnych niezgodnościach powodowały problemy w praktycznym zastosowaniu. Metodologia zarządzania ryzykiem jest znacznie bardziej rozbudowana w zakresie identyfikacji czynników ryzyka, ich szacowania, a także podejmowania działań. Podobne zmiany wprowadzane są w pozostałych normach systemów zarządzania.

Zrezygnowano z pojęć dokumentów i zapisów. W ich miejsce pojawia się wymóg dokumentowania informacji. To dużo elastyczniejsze podejście pozwala szerzej wykorzystać systemy informatyczne, które w wielu firmach były źródłem większości zapisów w systemie zarządzania bezpieczeństwem informacji. Jednocześnie obowiązek oceny potrzeby i sposobu dokumentowania został przerzucony na kierownictwo przedsiębiorstw. To zarządy będą musiały wykazać, że przyjęte metody dokumentowania są właściwe, odpowiednie dla firmy, a także z punktu widzenia zainteresowanych stron.

Wprowadzenie właściciela czynnika ryzyka w miejsce właściciela aktywów jest krokiem ku pełniejszemu zastosowaniu podejścia systemowego. Może także zachęcić do reorganizacji i optymalizacji struktury organizacyjnej. Rezygnacja z obowiązku identyfikowania zasobów, zagrożeń i podatności spowodowała, że dotychczas stosowane pojęcie właściciela aktywów nie miałoby zastosowania. Zmiany te są wynikiem rezygnacji z metodologii prezentowanej w ISO 13335-1:2004 na rzecz nowocześniejszego podejścia obecnego w normie ISO 31000:2009.

Podsumowując omawiane zmiany, warto zwrócić uwagę na zmodyfikowaną strukturę standardu (tabela 1). Rozdziały 4-10 zostały uszeregowane zgodnie z podejściem procesowym. Jednocześnie w tytułach rozdziałów podkreślono kluczowe zadania realizowane przez system zarządzania bezpieczeństwem informacji. Struktura jest spójna z nowymi założeniami dla norm systemów zarządzania, które znajdują odzwierciedlenie także w ISO 9001:2015.

Tabela 1. Porównanie struktury omawianych norm

ISO 27001:2005

ISO 27001:2013

0 Wprowadzenie

1 Zakres normy

2 Powołania normatywne

3 Terminy i definicje

4 System zarządzania bezpieczeństwem informacji

5 Odpowiedzialność kierownictwa

6 Wewnętrzne audyty SZBI

7 Przeglądy SZBI realizowane przez kierownictwo

8 Doskonalenie SZBI

0 Wprowadzenie

1 Zakres normy

2 Powołania normatywne

3 Terminy i definicje

4 Kontekst organizacji

5 Przywództwo

6 Planowanie

7 Wsparcie

8 Działania operacyjne

9 Ocena wyników

10 Doskonalenie

Źródło: opracowanie na podstawie norm PN-ISO/IEC 27001:2007 i PN-ISO/IEC 27001:2014.

Znacznej zmianie uległa także struktura zabezpieczeń proponowanych przez załącznik A normy (tabela 2). Zwiększono liczbę grup zabezpieczeń, zmodyfikowano układ zabezpieczeń, zrezygnowano ze zbyt szczegółowych wymagań, które stanowiły przeszkodę we wdrażaniu systemu w niektórych organizacjach. Podobnie jak w poprzedniej wersji normy, wszystkie zabezpieczenia są szczegółowo omawiane w ISO/IEC 27002, która stanowi niezbędny przewodnik dla wdrażania systemu.

Tabela 2. Porównanie struktury zabezpieczeń omawianych norm

ISO 27001:2005

ISO 27001:2013

A.5 Polityka bezpieczeństwa

A.6 Organizacja bezpieczeństwa informacji

A.7 Zarządzanie aktywami

A.8 Bezpieczeństwo zasobów ludzkich

A.9 Bezpieczeństwo fizyczne i środowiskowe

A.10 Zarządzanie systemami i sieciami

A.11 Kontrola dostępu

A.12 Pozyskanie, rozwój i utrzymanie systemów informacyjnych

A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji

A.14 Zarządzanie ciągłością działania

A.15 Zgodność

A.5 Polityki bezpieczeństwa informacji

A.6 Organizacja bezpieczeństwa informacji

A.7 Bezpieczeństwo zasobów ludzkich

A.8 Zarządzanie aktywami

A.9 Kontrola dostępu

A.10 Kryptografia

A.11 Bezpieczeństwo fizyczne i środowiskowe

A.12 Bezpieczna eksploatacja

A.13 Bezpieczeństwo komunikacji

A.14 Pozyskiwanie, rozwój i utrzymanie systemów

A.15 Relacje z dostawcami

A.16 Zarządzanie incydentami związanymi z bezpieczeństwem informacji

A.17 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania

A.18 Zgodność

Źródło: opracowanie na podstawie norm PN-ISO/IEC 27001:2007 i PN-ISO/IEC 27001:2014.

Głównym efektem wdrożenia wymienionych zmian powinno być porzucenie biurokratycznego podejścia do systemu na rzecz aktywnego jego kształtowania. Nowe wymagania wprowadzają możliwość rozliczania zarządu z efektów funkcjonowania systemu, wymuszają aktywne planowanie jego rozwoju, uwzględ­niają rolę kierownictwa w planowaniu (szczególnie w zakresie identyfikacji szans), a także zmuszają do oceny skuteczności całego systemu. Zmiany te są korzystne z punktu widzenia badaczy bezpieczeństwa informacji, ale jednocześnie znacząco podnoszą wymagania wobec przedsiębiorstw. Praktyczne efekty zmian ujawnią się, gdy utrze się praktyka audytowania. Dopiero bowiem wymagania firm certyfikujących mogą realnie wymusić wprowadzenie tych zmian.