Наскоро чух - имало колеги, които очаквали в новия ISO/IEC 27001 да отпадне Анекс А.
Не съм бил сред тях, но, ако наистина е имало такива хора, щях да се присъединя и аз към една такава ерес. Ерес, защото май на анекса се гледа като на свещена крава, от която ако падне косъм, т.е. ако си позволиш нещо да бъде изключено от този анекс, то е все едно че си разгащваш сигурността. Така се мисли. И не само мисли, но и действа. Например, в хода на проектиране и внедряване и особено при одита на системата за управление на сигурността. То едва ли не целият одит се фокусира в чоплене и в чесане на анекса и то само там, където има изключвания. Няма спасение - знае се, че ако те сърби, колкото повече се почесваш, толкова повече се настървяваш. От друга страна, трябва да проявим и разбиране - че то какво друго да му одитираш на система по този стандарт освен оценката на рисковете, планът за обработване на рисковете и следващата след това декларация за приложимост. Другото си е почти както при системите за управление на качеството.
Нямам нищо против - нека бъде така! Но не се разбира добре защо ... Да речем, някъде са изключили не съвсем обмислено някаква контрола от анекса. И да допуснем, че стане след това гаф - т.е. инцидент по сигурността на информацията. На чий гръб са негативите? Всеки отговор е верен, но едва ли най-пострадал от всички ще да е одиторът на системата. Един вид, той бил видял изключването, не го е оспорил, не е реагирал и следва сега да го сочим с пръст?!
Дали втренчването на одиторите в изключвания не е своего рода слагане на яка тенекия?
(да ги пази от ритници :) ... )
Е, не е така и не може да бъде! Както в една система по качеството може в ежедневието да има несъответствия (и някои от тях изразени даже като рекламации), така и при системите по сигурността несъответствия и инциденти може да има едва ли не пак като ежедневие. Колкото одитори са "изгоряли" поради несъответствия в качеството, толкова ще "горят" и ако клиентът им е допуснал инцидент поради изключване. На пръстите на ръката се броят такива случаи и то не говорим за България, а, доколкото е известно, и в света. Така че - спокойно!
Стандартът дава инструменти за справяне при несъответствия и инциденти и даже излиза, че с прилагането на тези инструменти системата безспорно се подобрява. Освен това хората може да си ревизират след време решението за изключване и то да отпадне ... Но едва ли ще отпадне със сигурност, тъй като в повечето случаи хората нямат намерение сами себе си да лъжат и правят добре обосновани изключвания.
Кое обаче подхранва онази ерес? Просто е. Казва се, че стандартът е за всякакви организации.
Например, както е за добре развита и технически грамотна IT фирма, така и за по-малките - например, малка спедиторска фирма или за адвокатска кантора с четирима души персонал. Случаят да притиснеш една по-малка фирма с цялата тежест на анекса (т.е. ако си си наумил да правиш сигурност с всичко от анекса - без да изключваш) е подобен на преминаването на камила през иглено ухо. И да премине камилата, системата става ужасна и неефикасна!
На фона на всичко това има две светли петна в текстовете на новата версия на стандарта!
Нека им обърнем внимание...
Първото е текстът
„It is
expected that an information security management system implementation will be
scaled in accordance with the needs of the organization.“
(цитатът е от ISO/IEC 27001/т. 0.1).
Това изказване има много дълбок и много сериозен смисъл, който се отнася и трябва да засяга не само пряко изискванията на стандарта, но (забележете!) и анекса му. Но не е проблемът в това, че не се търси дълбокия смисъл. Проблемът е, че никой не се спира да чете и да мисли по тези начални точки от стандарта. Дали някой е умувал какво значи за практиката казаното в тази т. 0.1? Как заложената там идея ще се реализира за различни конкретни организации?
Второто е пак текстове ...
"The organization shall define and apply an information security risk treatment process to:
a) ... ;
b) determine all controls that are necessary to implement the information security risk treatment
option(s) chosen;
NOTE Organizations can design controls as required, or identify them from any source.
c) compare the controls determined in 6.1.3 b) above with those in Annex A and verify that no necessary controls have been omitted;"
(цитатът е от ISO/IEC 27001/т. 6.1.3).
Тук се разбира това, че стандартът дава предимство на нас - ние да преценим какви механизми за защита са нужни и едва след това (!) да отидем да погледнем анекса, за да се уверим, че не сме пропуснали нещо. В практиката най-често ще се окаже, че сме пропуснали. Но, наред с това, в анекса ще видим и напълно неподходящи за даден случай неща. Ще тръгнем ли да се гърчим да ги усвояваме със съзнанието, че не ни трябват, но само за да спасим нечие его?
Но какво да правим?
Един адекватно и пълно определен контекст ще ни даде точния обхват и ще ни насочи към действителните за нас заплахи.
Ще си сметнем точно рисковете, защото ние най-добре си познаваме уязвимостите.
Ще преценим с какво и как да се защитим точно спрямо тези (не други!) рискове и, едва след като ни се изчерпат идеите за защита, ще си речем "Я сега да видим какво има в анекса ..."
И тогава ...
Как и защо да прилагаш защити за заплахи, които при теб в миналото и в момента ги няма?
Как да прилагаш защити, които по характер са за активи, каквито при теб няма?
Ами защита, която струва в пъти по-скъпо, отколкото евентуалните последици от инцидент?
Сигурно ще има и други главоблъскащи въпроси и, ако търсим верните отговори, лека полека ще стигнем до развенчаване на свещената цялост и комплектност на анекса.
Нека не дерем кожата на свещената крава и нека не си правим от нея пастърма! Може да я оставим да си пасе кротко, да знаем че я има, но да не й козируваме и да не й набиваме крак.
А ако стане нужда - винаги ще може да си я доим ...
Няма коментари:
Публикуване на коментар