Mituri si legende ale familiei de standarde ISO/IEC 27000
Din anul 2000, cand a aparut prima versiune a standardului ISO/IEC 27002, care avea ca subiect bunele practici, si mai ales din anul 2005, cand s-a lansat standardul certificabil ISO/IEC 27001, Organizatia Internationala pentru Standardizare s-a angajat intr-un demers al publicarii unei serii de standarde privind managementul securitatii informatiei. Aceasta initiativa este bine perceputa intr-un mare numar de tari dezvoltate (peste 15000 de certificate emise pana in 2010). Ea a influentat si elaborarea altor standarde complementare celor mentionate, axate pe notiunea de SMSI (sistemul de management al securitatii informatiei) si pe abordarea PDCA (Plan, Do, Check, Act) destinata imbunatatirii continue a proceselor.
Mitul nr.1:
Seria ISO/IEC 27000 se refera la securitatea informatica.
Este adevarat, insa nu se limiteaza la ea. Inca de la aparitia in 2000 a primei versiuni a standardului ISO/IEC 27002, domeniul acoperit este in mod clar cel al securitatii informatiei, sub toate formele si pe toate suporturile. De aici a rezultat o evolutie importanta fata de standardele precedente, care erau orientate mai degraba catre informatica sau catre tehnica. In plus, informatia, prin caracterul sau transversal, largeste domeniul securitatii. Orientarea manageriala, confirmata prin standardul bunei guvernari, accentueaza aceasta tendinta si stabileste, in general, o legatura intre securitatea informatiei si conducerea organizatiilor. Aceasta evolutie se inscrie intr-o cercetare mai complexa, aceea a securitatii globale.
Mitul nr.2:
ISO 27001 si ISO 27002 fac referire la o analiza a riscurilor, insa nu o descriu.
Adevarat – Primul standard din serie a aparut in 2000 (pe atunci se numea 17799) si descria masuri de securitate. In 2005 a aparut si ISO 27001, iar acest standard permitea analiza conformitatii si certificarea. Cele doua standarde insistau asupra necesitatii unei analize prealabile a riscului, in functie de ale carei rezultate se puteau implementa organizarea si masurile de securitate necesare.
Cu toate acestea, nicio referinta normativa nu venea in sprijinul sau. Prin urmare se foloseau metodele existente sau dezvoltate in acest scop, insa a caror pertinenta era greu de evaluat.
In anul 2008 a aparut standardul ISO/IEC 27005 (Managementul riscului securitati informatiei). Standardul a remediat aceasta lacuna, descriind principiile care trebuiau sa respecte o metoda de gestionare a riscului din domeniul securitatii informatiei, metoda utilizata tinand cont de celelalte standarde din familia 27000. El a permis, de asemenea, si analizarea si atestarea conformitatii principalelor metode deja utilizate in acest scop (in Franta, de exemplu, EBIOS si MEHARI). ISO 27005 poate servi ca baza pentru reflectii asupra metodelor de management al riscului intr-un cadru care il depaseste pe cel al securitatii informatiei. De altfel, tema ramane de actualitate, avand in vedere ca ISO a emis in 2009 un standard mai general privind gestionarea riscurilor, ISO 31000 (Managementul riscului), caruia i s-a asociat un document terminologic, Ghidul ISO 73:2009.
Mitul nr.3:
Seria contine doua sau trei standarde.
Nici pe departe! Initial, seria a debutat prin standardele ISO 27001 si ISO 27002, desprinse direct dintr-un standard britanic in doua parti, BS 7799. Destul de rapid dupa aceea, a fost evident ca este necesar sa fie dezvoltate noi standarde pentru a inlesni implementarea sistemului de management al securitatii informatiei (ISO 27005 privind managementul riscului, dar si ISO 27003 privind implementarea SMSI, ISO 27004 privind evaluarile sau ISO 27006 privind obligatiile in materie de audit pentru organismele de certificare).
Un alt proiect (ISO/IEC 27013) priveste implementarea reunita a standardelor ISO/IEC 20000 (ITIL) si ISO/IEC 27000 (SMSI). Iar un altul, ISO/IEC 27015, se ocupa de liniile directoare pentru serviciile financiare.
In plus, a fost nevoie sa fie puse la punct si unele referinte tehnice pentru a facilita implementarea SMSI. Astfel, mai sunt in curs de dezvoltare mai multe standarde pe teme importante (continuitatea, securitatea cibernetica, securitatea retelelor, securitatea aplicatiilor, managementul incidentelor, managementul inregistrarilor etc.). Unele dintre aceste proiecte preiau documentele anterioare (de exemplu, standardele in curs de dezvoltare privind securitatea retelelor pleaca de la un document ISO/IEC 18028 care trateaza aceasta tema; la fel stau lucrurile si in cazul proiectului referitor la managementul incidentelor, care preia informatii din ISO/IEC 18044). In asemenea cazuri, proiectele au sansa de a avansa destul de rapid. Nu la fel stau lucrurile in cazul unor proiecte mai noi, ca ISO/IEC 27032 privind securitatea cibernetica sau ISO/IEC 27034 privind securitatea aplicatiilor, care sunt mai complexe si solicita mai mult timp pentru a fi dezvoltate. Trebuie sa notam faptul ca unele dintre aceste documente sunt deja disponibile, de exemplu prima parte a standardului privind securitatea retelelor sau standardul ISO/IEC 27031 privind managementul continuitatii, care a fost publicat anul trecut.
Mitul nr.4:
Certificarea ISO 27001 ofera o garantie asupra nivelului de securitate al organizatiei certificate.
De fapt, este fals. Certificarea ISO 27001 este un certificat de conformitate care atesta ca sistemul de management al securitatii informatiei (SMSI) al unei organizatii este conform cerintelor standardului IS0 27001 in ceea ce priveste un perimetru si un SoA (Statement of Applicability) definite. Desigur ca aceste cerinte impun ca organizatia sa isi analizeze riscurile si sa isi defineasca un plan de tratare a riscurilor. Planul de tratare a riscurilor ii permite organizatiei sa specifice ce anume va face pentru a gestiona aceste riscuri. Una dintre optiunile de gestionare a riscului ar fi sa accepte riscul fara sa isi implementeze nicio masura deosebita. Astfel ar fi posibil ca o organizatie care vizeaza sa se conformeze standardului ISO 27001 sa accepte toate riscurile, ceea ce nu i-ar permite organizatiei sa aiba un nivel ridicat al securitatii.
La modul general, certificarea priveste conformitatea cu unele referinte si este foarte interesat de examinat care anume sunt aceste referinte (care sunt accesibile publicului intr-o certificare de acest tip). Nivelul de securitate se afla in stransa legatura cu analiza nevoilor, cu masurile luate si bineinteles ca si cu maturitatea unei organizatii. Certificatul nu acopera decat o parte dintre aceste elemente. De altfel, adeseori nu sunt comunicate informatiile publice referitoare la un certificat. Certificarea ISO 27001 evolueaza in mod diferit si in functie de tara (de exemplu, cand fusesera emise 7000 de certificate, peste 3500 fusesera emise in Japonia, 500 in China, in India sau in Marea Britanie, aproximativ cate o suta in alte tari si numai circa douazeci in Franta).
Mitul nr.5:
Odata primit, un certificat ramane valabil pe o perioada nelimitata de timp.
In realitate, un certificat atesta ca acea conformitate constatata este valabila in acel moment. Exista o durata de valabilitate de trei ani, cu o supraveghere anuala care permite garantarea mentinerii conformitatii. Acordurile internationale garanteaza recunoasterea certificatelor in tarile semnatare. Opozabile tertilor, aceste certificate dau posibilitatea de a se evita auditurile de conformitate a aceluiasi domeniu in timpul duratei lor de valabilitate.
La o prima analiza, certificarea raspunde cerintelor legale sau de reglementare, permite accesul la diferite piete (atunci cand clauzele de participare impun certificarea canditatilor) si da posibilitatea obtinerii unui avantaj fata de concurenta, in principal in ceea ce priveste imaginea, in domenii specifice de activitate.
In numeroase cazuri, organizatiile considera ca nu este util sa caute sa obtina o certificare si se orienteaza mai degraba spre atingerea unei conformitati cu standardul, care va fi validata prin auditul intern, urmand referintele de la care a plecat standardul. Aceasta abordare este destul de raspandita la ora actuala si permite ulterior acordarea unei atentii eficace si mai putin costisitoare eventualei certificari vizate.
Mitul nr.6:
Putem sa certificam produsele (ISO/IEC 15408), procesele ISO/IEC 27001), insa nu putem sa certificam persoanele.
De fapt putem! ISO/IEC 27001 este un standard constand in cerinte, al carui scop principal este de a certifica organizatiile sau procesele facand uz de sprijinul standardelor complementare ca ISO 17021 privind certificarea sistemelor de management. Pentru a certifica unele competente personale, exista o certificare a persoanelor bazata pe ISO/IEC 27001 si pe standardele complementare ca ISO 17024 privind certificarea persoanelor. Este vorba despre certificarea Lead Auditor 27001. Ea este valabila pentru o perioada de trei ani, cu continuare in timpul perioadei de valabilitate. Certificarile Lead Implementor (27003) sau Risk Manager (27005) sunt si ele o propunere. Mai exista si alte certificari pentru persoane, avand adeseori legatura cu securitatea, de exemplu CISA pentru auditarea sistemelor informatice, CISSP pentru securitatea sistemelor informatice sau CISM pentru managementul securitatii sistemelor informatice.
Mitul nr.7:
Toate aceste standarde sunt in limba engleza.
Adevarat si fals. Limba in care au fost scrise la origine standardele din familia ISO/IEC 27000 este limba engleza. Ele sunt deci toate disponibile in aceasta limba. Cu toate acestea, avand in vedere utilizarea lor crescanda in Franta si in tarile francofone, cele mai importante dintre ele fac obiectul unei traduceri in franceza omologate de AFNOR. Sunt astfel disponibile traduceri pentru:
– standardul privind cerintele sistemului de management al securitatii informatiei, ISO/IEC 27001;
– standardul privind managementul riscurilor in securitatea informatiei, ISO/IEC 27005;
– standardul care se ocupa de prezentare si de vocabular, ISO/IEC 27000;
– standardul tehnic despre continuitatea afacerii, ISO/IEC 27031.
Urmeaza sa fie tradusa si noua versiune a standardului care se ocupa de bunele practici, ISO/IEC 27002.
Mitul nr.8:
Standardele ISO sunt tehnice
Da si nu. Este adevarat ca ISO a emis si emite in continuare numeroase standarde tehnice. Cu toate acestea, trebuie sa remarcam ca ISO publica si un numar important de standarde care definesc cerintele sau liniile directoare privind bunele practici de management. Istoric vorbind, aceasta tendinta a debutat la inceputul anilor ‘80 prin standardul care expunea cerintele privind calitatea, ISO 9001. Succesul acestei abordari a dus la aparitia standardului ISO 14001 pentru managementul mediului, urmata in 2005 de ISO/IEC 27001 pentru managementul securitatii informatiei. Aceasta tendinta a fost confirmata de standardul ISO 28001 pentru lantul de aprovizionare in 2007 si, mai recent, de standardul ISO 30301 dedicat sistemului de management al informatiilor si documentelor. Toate aceste standarde sunt certificabile.
Aceasta tendinta este insotita si mai recent inca de aparitia standardelor de management continand linii directoare. Acestea nu urmeaza un model al sistemului de management si nu sunt certificabile. Cele mai cunoscute sunt ISO 31000, publicat in 2009, despre managementul riscului, si ISO 26000, publicat in 2010, despre responsabilitatea sociala.
(Extras dintr-o conferinta sustinuta in timpul Forumului Atena 2011 de Paul Richy, vicepresedintele grupului de securitate a informatiei din cadrul AFNOR, si Thomas Bousson, director de proiect la Sogeti-Capgemini)