2013 októberétől megváltozott a tanúsítás

Az információvédelmi irányítási rendszer tanúsíttatásának új szabványa lépett életbe. A régivel már nem érdemes kezdeni.

Az ISO 27001-es szabvány magyar nyelvű szabványtervezetének, az MSZ/T ISO/IEC 27001:2014-es kiadásának megjelenése alkalmából szakmai napot szervezett áprilisban a Magyar Szabványügyi Testület (MSZT). A rendezvény korántsem tekinthető mindennapi eseménynek az MSZT életében, hiszen a magyar szabványok zöme – pénz hiányában
– az Európai Unió hivatalos nyelveinek egyikén, magyar fedőlappal jelenik meg, fordítás nélkül (az MSZT-ről lásd keretes cikkünket). A szabványtervezethez április 30-ig szólhatnak hozzá az érintett szakmai szervezetek, ezt szavazás, majd a végleges szabvány magyar kiadása követi, várhatóan júniusban.
 
A szakmai napon elhangzott előadások egyebek közt a 2005-ös és a 2013-as szabványverziók közötti különbségeket, a tanúsítói gyakorlat várható változásait ecsetelték, illetve szó esett arról, hogy az érintett cégek hogyan tudnak felkészülni az új szabvány kihívásaira. Tarján Gábor, a MagiCom ügyvezető partnerének záró előadásában elhangzott: a szabvány előző kiadásához képest nem hoz drasztikus változásokat, mindazonáltal nyilvánvaló, hogy az auditálást kérő cégeknek lesz tennivalójuk. Annál is inkább, mert az IAF (International Accreditation Forum) szabályozása szerint a 2013. október 1-jén megjelent szabványra kétéves átállási időszak kínálkozik, azaz 2015. október 1. után a régi szabvány szerinti tanúsítás nem végezhető. Mi több, jövő októbertől az addig kiadott tanúsítványok is érvényüket vesztik. Ezért az információbiztonság-irányítási rendszerüket a jövőben auditáltatni akaró szervezeteknek már ma is az új szabványt érdemes választaniuk; idén októbertől pedig már csak a 2013-as szabvány szerint végezhető audit – emelte ki Tarján Gábor.
 
Az új változatban – tette hozzá – a korábbinál nagyobb hangsúlyt kapott a kockázatértékelés, miközben a szabványalkotók nem rögzítették a kockázatértékelés módszertanát, viszont megkövetelik a választott módszer transzparens végig vitelét. Szintén fontos változást mutat az alkalmazhatósági nyilatkozat. Míg a régi szabvány „A” melléklete 133, információbiztonsági környezetben használható védelmi intézkedést sorolt fel, s a cégek a gyakorlatban ezek alapján készítettek maguknak kontroll-leltárt, addig az új szabvány alkotói arra törekedtek, hogy a cégek a saját információvagyonukra vonatkozó kockázatelemzés elvégzése után maguk vezessék le az alkalmazandó kontrollokat. Az „A” mellékletben található – mellesleg már csak 114 kontrollt tartalmazó – kontroll-lista tehát pusztán segédlet; speciális tevékenységet végző cégeknél pedig a listában nem szereplő kontrollokra is szükség lehet.
Így, bár önállóságra ösztönöz, a régi szabvány szerint szükséges intézkedéseket meghozó cégeknek az új szabvány szerint sem kell meglepetésektől tartaniuk.
 
Említést érdemel, hogy aki lemaradt az MSZT szakmai napjáról, az a májusi, 61. Hétpecsét Fórumon meghallgathatja Tarján Gábor előadását a szabványtervezet – akkorra már véleményezett – változatának újdonságairól. A Hétpecsét Információbiztonsági Egyesület tagjai – az MSZT-vel együttműködve – komoly szerepet vállaltak a szabvány első kiadását hatálytalanító és helyettesítő új, magyar nyelvű szabványtervezet előkészítésében.
 
Mi fán terem az MSZT?
Magyarországon a Magyar Szabványügyi Testület felel a magyar szabványok megjelenítéséért és a külföldi szabványok magyar nyelvre való lefordításáért. Az MSZT köztestület, állami támogatásban nem részesül, bevételét a szabványok kiadása, eladása és oktatási tevékenység, valamint tanúsítások adják.