
Публикувано на 01.03.2022
Автор: инж. Бончо Антонов
На 15 февруари 2022 г., след като влюбените се поуспокоиха, а почитателите на вино почнаха да изтрезняват, на хоризонта на ISO се появи чаканото ново трето издание на ISO/IEC 27002 в обем от 152 страници и с цена 198 CHF. Който е побързал да купи стандарта ще се ядоса, тъй като само няколко дена след това излезе първата му корекция за поправяне на „минор“ грешчици. Да, и на слънцето има петна ...
Dr. Edward Hunphreys |
Знаем, че стандартът е дело на прочутия подкомитет SC 27 (ISO/IEC JTC 1/SC 27), който ударно произвежда стандарти 27ХХХ под зоркия поглед на Dr. Edward Humphreys (Convenor of the ISO/IEC working group responsible for the ISO/IEC 27000 family), наричан от почитатели си просто Ted Humphreys. Познаваме и великолепната му книга „Implementing the ISO/IEC 27001 Information Security Management System Standard“ (ISBN-13: 978-1-59693-172-5, ISBN-10: 1-59693-172-8) и се надяваме, че и на нея може да предстои ново издание. Нетърпеливите да узнаят какво може да последва биха могли да питат директно, като съберат кураж да пишат на sc27.wg1.edwardjh@gmail.com. Още нещо любопитно – три млади грации са акуширали раждането на стандарта – Sabrina от Англия, Alia от Франция и Veronica от Аржентина. Те са се справили с многобройните идеи за развитие на третото издание, което си е сериозен труд. В специален Press Release на ISO от 15-ти февруари четем, че третото издание на ISO/IEC 27002 е обогатено с много нови практики и механизми за защита (controls), които отразяват новите реалности в практиките на бизнеса, в технологиите, в приложенията и услугите, появили се през последните години в обществото. |
Тези от нас, които са любопитни да дръпнат малко завесата и да надникнат в стандарта, но без да плащат 198 франка, ще ползват услугата Preview, която ISO предлага в сайта си и ще видят в достъпното съдържание на стандарта разпределението на новите практики в четири посоки:
- организационни – 37 части в раздел 5;
- свързани с хората – 8 части в раздел 6;
- физически – 14 части в раздел 7;
- технологични – 35 части в раздел 8.
Такъв е резултатът от прегрупиране на предишните 114 контроли, пръснати в 14 раздела.
А сега са добавени нови 11 контроли, свързани с трендовете в IT практиките.
Педантите, има такива – нали, ще се възползват от друга услуга на ISO, която дава разликите на новото спрямо старото издание – това е Redlines. А най-голяма полза от безплатно ровичкане в стандарта несъмнено си остават термините (те са в раздел 3). Някои са ни познати отдавна, но сега вече има и нови. Знаем доказаната истина, че който не познава и не е вникнал в смисъла на термините по сигурността на информацията, рискува да си загуби времето като се занимава със системи за управление на „каквато и да е сигурност“.
А на въпроса какво става с единицата (ISO/IEC 27001) и изостава ли той от „третата двойка“, все още нямаме отговор. Няма до момента отговор и от нашия БИС, който ни представлява в ISO.