ISO/IEC 27001 ... Кой? Кой стои зад "организацията"?

Тук, за разлика от политическите страсти, въпросът си има чисто практически смисъл.

ISO/IEC 27001, а вече и не само той, насочват изискванията си към "организацията". 

Ето как възниква въпрос - "А кой тук е организацията?" Отговорът е различен и не е един ...

Нека да бъдем по-точни. Стандартът насочва изрично изискванията само към:

• "организацията" - за точките 4.1, 4.2, 4.3, 4.4, 6.1.1, 6.1.2, 6.1.3, 6.2, 7.1, 7.2, 7.4,               7.5.1, 7.5.2, 7.5.3, 8.1, 8.2, 8.3, 9.1, 9.2, 10.1 и 10.2;
• "висшето ръководство" - за точките 5.1, 5.2, 5.3 и 9.3;
• "лица под контрола на организацията" - за точка 7.3.

Няма други, освен тези по-горе. Явно се налага да дешифрираме кой е "организацията",
че дори може да се наложи да уточним и кой/кои са "висше ръководство".

В малките и много малките фирми въпросът се решава лесно - най-често само един-двама поемат голяма част от изискванията за "организацията."

Затова, нека си представим една средна по големина организация. 

В нея отговорностите може да бъдат разпределени между следните лица ... 

A.      Висше ръководство (само „първият“ ли или той и негови заместници ?)
B.      Представител на висшето ръководство
C.      Лице, което управлява програмата за одити (както препоръчва ISO 19011)
D.      Вътрешни одитори
E.       Мениджър на системата
F.       Ръководители на звена
G.     Сисадмин (или отговорник за IT)
H.     Отговорник обучения
I.        Отговорник за доставчици
J.        Съвет по сигурността или Работна група по сигурността на информацията
K.      Всеки от персонала
L.       Хора, работещи под контрола на организацията
M.    PR (хайде, нека има и черешка ...)

Една възможна схема за разпределение може да изглежда така ...

Ако тя е такава за "средна" организация, лесно е да се окастри, за да стане за малка.

Тази табличка е едно възможно решение и 100% може да има и по-сполучливи решения.

Но тук има нещо, което е толкова очевидно, че дори не прави впечатление - то е, че нито едно изискване не е насочено към външни лица, освен по т. 7.3 и някои контроли от Анекс А, които се отнасят до клиенти, доставчици и др. - т.е. до лица, от които наистина зависи сигурността!

По важното е да отбележим, че нито едно от изискванията не е насочено към външните лица "консултант" или "одитор", които, при изграждане и проверка на една система, се оказват в епицентъра на събитията, претендират за компетентност, очаква се, а и те искат, да се месят в системата (затова им плащат, нали?). Такава намеса реално е неизбежна. Има обаче нещо, което може да се нарече "граница, определена от морала", където намесата трябва да спре и да се даде предимство за решения и поемане на отговорности от хора от организацията.

Не е морално консултант или одитор да седне и да почне да определя кои са рисковете за една организация или да критикува (а не да съветва!) вече определени от организацията рискове.

Може да се направи дълъг списък за неща, в които външните лица обичат да си пъхат гагата и да се произнасят строго от свое име за неща, касаещи хора от организацията. Но няма смисъл. По-добре е да се отговори на въпроса "Къде е границата?". А границата сама си показва къде е при условие, че "външния" демонстрира искрено уважение към клиента си и не го смята за ... (... вместо неподходящата дума)

Има поговорка "В чужд манастир със свой устав не ходи!". Така трябва да бъде!

ISO/IEC 27001 - стандарт за всякакви организации ли? (или Превръща ли се Анекс А в свещенна крава на сигурността?)

"Разгащване на сигурността" ... или "Кой дърпа свещената крава за опашката?"

Наскоро чух - имало колеги, които очаквали в новия ISO/IEC 27001 да отпадне Анекс А.

Не съм бил сред тях, но, ако наистина е имало такива хора, щях да се присъединя и аз към една такава ерес. Ерес, защото май на анекса се гледа като на свещена крава, от която ако падне косъм, т.е. ако си позволиш нещо да бъде изключено от този анекс, то е все едно че си разгащваш сигурността. Така се мисли. И не само мисли, но и действа. Например, в хода на проектиране и внедряване и особено при одита на системата за управление на сигурността. То едва ли не целият одит се фокусира в чоплене и в чесане на анекса и то само там, където има изключвания. Няма спасение - знае се, че ако те сърби, колкото повече се почесваш, толкова повече се настървяваш. От друга страна, трябва да проявим и разбиране - че то какво друго да му одитираш на система по този стандарт освен оценката на рисковете, планът за обработване на рисковете и следващата след това декларация за приложимост. Другото си е почти както при системите за управление на качеството.

Нямам нищо против - нека бъде така! Но не се разбира добре защо ... Да речем, някъде са изключили не съвсем обмислено някаква контрола от анекса. И да допуснем, че стане след това гаф - т.е. инцидент по сигурността на информацията. На чий гръб са негативите? Всеки отговор е верен, но едва ли най-пострадал от всички ще да е одиторът на системата. Един вид, той бил видял изключването, не го е оспорил, не е реагирал и следва сега да го сочим с пръст?!

Дали втренчването на одиторите в изключвания не е своего рода слагане на яка тенекия?

(да ги пази от ритници :) ... )

Е, не е така и не може да бъде! Както в една система по качеството може в ежедневието да има несъответствия (и някои от тях изразени даже като рекламации), така и при системите по сигурността несъответствия и инциденти може да има едва ли не пак като ежедневие. Колкото одитори са "изгоряли" поради несъответствия в качеството, толкова ще "горят" и ако клиентът им е допуснал инцидент поради изключване. На пръстите на ръката се броят такива случаи и то не говорим за България, а, доколкото е известно, и в света. Така че - спокойно!

Стандартът дава инструменти за справяне при несъответствия и инциденти и даже излиза, че с прилагането на тези инструменти системата безспорно се подобрява. Освен това хората може да си ревизират след време решението за изключване и то да отпадне ... Но едва ли ще отпадне със сигурност, тъй като в повечето случаи хората нямат намерение сами себе си да лъжат и правят  добре обосновани изключвания.

Кое обаче подхранва онази ерес? Просто е. Казва се, че стандартът е за всякакви организации.

Например, както е за добре развита и технически грамотна IT фирма, така и за по-малките - например, малка спедиторска фирма или за адвокатска кантора с четирима души персонал. Случаят да притиснеш една по-малка фирма с цялата тежест на анекса (т.е. ако си си наумил да правиш сигурност с всичко от анекса - без да изключваш) е подобен на преминаването на камила през иглено ухо. И да премине камилата, системата става ужасна и неефикасна! 

На фона на всичко това има две светли петна в текстовете на новата версия на стандарта!

Нека им обърнем внимание...

Първото е текстът

„It is expected that an information security management system implementation will be scaled in accordance with the needs of the organization.“

(цитатът е от ISO/IEC 27001/т. 0.1).

Това изказване има много дълбок и много сериозен смисъл, който се отнася и трябва да засяга не само пряко изискванията на стандарта, но (забележете!) и анекса му. Но не е проблемът в това, че не се търси дълбокия смисъл. Проблемът е, че никой не се спира да чете и да мисли по тези начални точки от стандарта. Дали някой е умувал какво значи за практиката казаното в тази т. 0.1? Как заложената там идея ще се реализира за различни конкретни организации?

Второто е пак текстове ...

"The organization shall define and apply an information security risk treatment process to:

a) ... ;

b) determine all controls that are necessary to implement the information security risk treatment

option(s) chosen;

NOTE Organizations can design controls as required, or identify them from any source.

c) compare the controls determined in 6.1.3 b) above with those in Annex A and verify that no necessary controls have been omitted;"

(цитатът е от ISO/IEC 27001/т. 6.1.3).

Тук се разбира това, че стандартът дава предимство на нас - ние да преценим какви механизми за защита са нужни и едва след това (!) да отидем да погледнем анекса, за да се уверим, че не сме пропуснали нещо. В практиката най-често ще се окаже, че сме пропуснали. Но, наред с това, в анекса ще видим и напълно неподходящи за даден случай неща. Ще тръгнем ли да се гърчим да ги усвояваме със съзнанието, че не ни трябват, но само за да спасим нечие его?

Но какво да правим?

Един адекватно и пълно определен контекст ще ни даде точния обхват и ще ни насочи към действителните за нас заплахи. 

Ще си сметнем точно рисковете, защото ние най-добре си познаваме уязвимостите. 

Ще преценим с какво и как да се защитим точно спрямо тези (не други!) рискове и, едва след като ни се изчерпат идеите за защита, ще си речем "Я сега да видим какво има в анекса ..."

И тогава ...

Как и защо да прилагаш защити за заплахи, които при теб в миналото и в момента ги няма?

Как да прилагаш защити, които по характер са за активи, каквито при теб няма?

Ами защита, която струва в пъти по-скъпо, отколкото евентуалните последици от инцидент?

Сигурно ще има и други главоблъскащи въпроси и, ако търсим верните отговори, лека полека ще стигнем до развенчаване на свещената цялост и комплектност на анекса.

Нека не дерем кожата на свещената крава и нека не си правим от нея пастърма! Може да я оставим да си пасе кротко, да знаем че я има, но да не й козируваме и да не й набиваме крак.

А ако стане нужда - винаги ще може да си я доим ...