Sandbox:Het sprookje van de ISO-norm
Er was eens een keizer, die geen kleren wilde dragen. Hij vond dat maar niks, te warm en veel te veel gedoe..!
Het was een machtig man, die iedere onderdaan, die hem tegensprak in het gevang liet zetten. Zijn onderdanen zagen wel dat de keizer naakt liep, maar durfden daar niets over te zeggen. Elke ochtend dat de keizer zich vertoonde aan het volk, vroeg hij wat ze vonden van z’n nieuwe mantel. “Prachtig! Goed uitgekozen!!”, “Dat staat u goed”, terwijl iedereen wel beter wist en zag dat de keizer niets aan had…..
Iets vergelijkbaars is er aan de hand met ISO-norm voor beveiliging. Iedereen die ook maar iets af weet van informatieveiligheid en privacy, kent de kerndoelen: Beschikbaarheid, Integriteit en Vertrouwelijkheid. Ze vormen de basis van alle vakliteratuur die over informatieveiligheid is geschreven en zijn bovendien de logische eisen die je vanuit de bedrijfsvoering voor informatieveiligheid wilt stellen. Je zou daarom ook verwachten dat een algemeen geaccepteerd normenstelsel als de ISO 27000 serie dan ook van deze BIV-trio zou zijn afgeleid, of andersom: dat het BIV-trio de basis zou vormen voor deze normen. Echter, niets is minder waar.
Er is geen logische, eenduidige afleiding vanuit BIV te herkennen in de eisen van de ISO-norm. Hetzelfde probleem doet zich ook voor bij de ‘klonen’ van de ISO-27002 zoals de BIR en BIG. Een ander probleem met de ISO-norm is dat het geen onderscheid maakt tussen proces- en productnormen. Wat dat betekent wordt duidelijk met de metafoor van de Autofabriek in Japan: procesnormen, dat zijn de ARBO – en industriële eisen die Japan stelt aan fabrieken om veilig auto’s te produceren; productnormen: de eisen die we Europa in het algemeen stellen aan de auto’s. Het is duidelijk dat dit eisen zijn van verschillende aard, met verschillende eisenstellers. Wel geldt dat de ISO-27002 alle benodigde eisen voor BIV bevat, maar helaas staat alles staat door elkaar.
Gevolg hiervan is dat auditors en leveranciers vanuit de ISO alsnog hun eigen vertaling moet maken vanuit BIV naar maatregelen, wat in kostbare klus is. Tevens blijkt de ISO-27002-norm ‘as-is’ op de werkvloer van architect en (IT) ontwerper en applicatiebouwer een onbruikbaar document, omdat de beveiligingseisen voor één bepaald thema om genoemde redenen over verschillende hoofdstukken verspreid staan.
Net als de ontbrekende kleren van de Keizer, hoor je zelfs van beveiligingsdeskundigen niets over deze beperkingen, maar wil men toch het liefst zo dicht mogelijk tegen ISO-norm aan schurken… Onzekerheid? Kennisgebrek?
Je zou ook kunnen beweren dat men ISO-norm niet goed leest voor het gebruik. In de inleiding (Hfst.0) staat al vanaf de 2005 versie dat “Het essentieel is dat een organisatie haar beveiligingeisen bepaalt” Dat is dus echt wat anders dan de 27002 in als ‘standaard’ te hanteren, al dan niet met toevoeging van eigen eisen zoals de BIR. Wat blijft is dat het een dure en tijdrovende klus is om vanuit BIV zelf een set van eisen op te stellen..
Waarom in dit katern? Omdat dit de belangrijkste argumenten zijn voor het ontstaan van dit katern.
De NORA kent vanaf versie 3 (2009) wel een afleiding vanuit BIV, dat op zijn beurt is afgeleid van twee NORA-basisprincipes “Betrouwbaar” en “Vertrouwd”. Vanuit deze basisprincipes, die je ook beveiligingsdoelen kunt noemen, is in de NORA het BIV-trio uitgebreid met de principes Onweerlegbaarheid en Controleerbaarheid.
Vanuit vijf principes stelt de NORA de eisen voor IT-voorzieningen en geeft daar oplossingsrichtingen voor in de vorm van patronen, maar ook legt het katern voor de overige beveiligingsdomeinen de verbinding met de ISO-norm (2013) en de BIR, die gebaseerd is op de ISO-2005/2007.
Advies: Lees de ISO-norm!