Ads 468x60px

keskiviikko 27. helmikuuta 2013

Uuden ISO/IEC 27001-standardin luonnosversio julkisesti saatavilla – yhteenveto keskeisistä muutoksista

International Organization for Standardization (IS0) julkaisi tammikuussa luonnosversion päivitetystä ISO27001-standardista. Jatkossa kyseinen standardi tunnetaan nimellä ISO27001:2013, ja se lanseerataan vuoden 2013 aikana. Itse luonnosdokumentti on maaliskuun puoleen väliin asti kenen tahansa saatavilla BSI:n Internet-sivuilta kirjautumista vastaan: http://drafts.bsigroup.com/Home/Details/50818.

Uutta versiota tarkastellessa voidaan huomata, että se sisältää joitakin keskeisiä muutoksia verrattuna vuonna 2005 julkaistuun standardiin. Ensisijaisena tavoitteena on ollut selvästi yhdenmukaistaa standardin rakennetta muiden ISO-julkaisuiden kanssa, sekä päivittää sitä vastaamaan nykyisiä tarpeita. Alla on tiivistetty listaus standardin keskeisistä muutoksista:

1.     Standardin rakenne vastaa jatkossa muita ISO-julkaisuja (esim. ISO 20000, 9001:2000). Samalla tekstin yleiset kohdat on laadittu yhdenmukaiseksi kaikkien ISO-standardien osalta.

2.     Standardin liitteenä on enää Annex A, eli luettelo standardin vaatimista kontrolleista. Lisäksi kontrollien kokonaismäärä on vähentynyt 133:sta 113:een (23 poistettua ja 12 uutta kontrollia). Tämä johtuu siitä, että kontrollien ryhmittelyä ja sisältöä on muokattu vastaamaan paremmin nykyajan vaatimuksia. Listaus poistetuista ja lisätyistä kontrolleista on löydettävissä alta.

3.     Plan-Do-Check-Act (PDCA)-malliin ei viitata enää suoraan ja maininnat siitä on poistettu. Malli on kuitenkin oleellisesti mukana standardin taustalla, ja tarkastelemalla esimerkiksi sisällysluetteloa voidaan todeta sen itse asiassa koostuvan PDCA-mallista.

4.     Jatkossa organisaatioiden tulee myös tunnistaa ja dokumentoida ne sidosryhmät, jotka ovat relevantteja tietoturvallisuuden hallintajärjestelmän kannalta. Samalla tulee huomioida sidosryhmien vaatimukset, lait, määräykset ja mahdolliset sopimusvelvoitteet.

5.     Tietoturvallisuusriskien arviointimalli vastaa jatkossa ISO 31000-standardia, ja arviointivaatimukset ovat muuttuneet yleisemmiksi. Esimerkkinä organisaation tulee jatkossa tunnistaa riskit, jotka kohdistuvat tiedon luottamuksellisuuteen, eheyteen ja saatavuuteen. Entisessä standardissahan tunnistettiin riskit, jotka kohdistuivat organisaation etuihin (assets).

6.     Päivitetyssä standardissa kuvataan tarkemmin myös uusi toimintamalli poikkeamatilanteiden hallintaan ja niistä oppimiseen. Niistä tulee myös ylläpitää kattavaa dokumentaatiota.

7.     Standardi sisältää uuden lausekkeen, jossa määritellään että organisaation tulee arvioida tarve sisäiseen ja ulkoiseen tiedottamiseen, ja määritellä esimerkiksi tiedotuksen tarkoitukset, ajankohdat ja vastuut.

8.     Viimeisenä keskeisenä uudistuksena tietoturvallisuuden hallintajärjestelmän tavoitteiden saavuttamista ja seurantaa on tiukennettu huomattavasti. Tuleva standardi määrittelee, että tietoturvallisuuden hallintajärjestelmää tulee valvoa ja arvioida jatkuvasti.

Yhteenvetona muutokset aiheuttavat luonnollisesti jonkin verran toimenpiteitä ISO27001-sertifioiduille organisaatioille, koska ne velvoitetaan siirtymään jossain vaiheessa standardin uuteen versioon. Siirtymäaikaa ei ole kuitenkaan vielä määritelty, mutta oletettavasti siirtymä tulee suorittaa noin kahden vuoden kuluessa uuden standardin julkaisemisesta. Ennen toimenpiteitä on kuitenkin hyvä huomioida, että lopullinen standardi saattaa aikanaan poiketa huomattavasti nyt esiteltävästä luonnosversiosta ja näin ollen yllä listatut muutokset voivat vielä vaihtua.

Standardista poistetut kontrollit:
A.6.1.1 Management commitment to information security
A.6.1.2 Information security coordination
A.6.1.4 Authorization process for information processing facilities
A.6.2.1 Identification of risks related to external parties
A.6.2.2 Addressing security when dealing with customers
A.10.2.1 Service delivery
A.10.7.4 Security of system documentation
A.10.10.2 Monitoring system use
A.10.10.5 Fault logging
A.11.4.2 User authentication for external connections
A.11.4.3 Equipment identification in networks
A.11.4.4 Remote diagnostic and configuration port protection.
A.11.4.6 Network connection control
A.11.4.7 Network routing control
A.11.8.5 Business Information systems
A.11.6.2 Sensitive system isolation
A.12.2.1 Input data validation
A.12.2.2 Control of internal processing
A.12.2.3 Message integrity
A.12.2.4 Output data validation
A.12.5.4 Information leakage
A.15.1.5 Prevention of misuse of information processing facilities
A.15.3.2 Protection of information systems audit tools

Alustavasti lisätyt kontrollit:
A.6.1.4 Information security in project management
A.12.6.2 Restrictions on software installation
A.14.2.1 Secure development policy
A.14.2.5 System development procedures
A.14.2.6 Secure development environment
A.14.2.8 System security testing
A.15.1.1 Information security policy for supplier relationships
A.15.1.3 ICT Supply chain
A.16.1.4 Assessment and decision of information security events
A.16.1.5 Response to information security incidents
A.17.1.2 Implementing information security continuity
A.17.2.1 Availability of information processing facilities

Lisätietoja: http://bsiedge.bsi-global.com/iso27001dis/

Ei kommentteja:

Lähetä kommentti