A helyzetet tovább bonyolítja, hogy az IS 17799 minden előnye és pozitív vonása ellenére igen súlyos hiányosságokkal és hibákkal rendelkezik. Csak néhány a teljesség igénye nélkül:
- Nem határozza meg egyértelműenés pontosan a kockázatértékelés helyét a biztonságmenedzsment vonatkozásában: az előírt követelmények kellően rugalmas, de ellenőrzött kezelésére
-
- Az előírt biztonsági követelmények tekintetében nincs kellő összhangban más elterjedt cél- és követelményrendszerekkel (pl. COBIT, IS 15408)
-
- A viszonya tanúsítási rendszerekhez nem egyértelmű (pl. "should" használata az előírásokban; a britek maguk is ellene vannak, hogy a szabvány tanúsításra is kiter-jedjen: a tanúsítás maradjon meg nemzeti keretek között)
Nem csoda - különösen, ha figyelembe vesszük a "kemény mag" ellenállását -, hogy a szabvány revíziója a megjelenés után szinte azonnal elkezdődött, ami példa nélkül álló az ISO történetében. Az átdolgozást 2004 végére tervezik, de több ország is kifejezte már elégedetlenségét az előrehaladással. Az idei májusi részhatáridő úgy tűnik nehezen lesz tartható...
Jelenleg tehát folyamatban van az 17799-es átdolgozása, de hasonlóképpen a 13335-ösé is. Sőt, a 13335-ös esetében az első két rész (5 részes szabványról van szó) státusát is meg kí-vánják változtatni: útmutatásból követelményrendszerré előléptetni. Ilyen módon könnyen előállhat, hogy az informatikai biztonság menedzsmentjére vonatkozó kétféle szabvány "igazi" versenytársává válik egymásnak. Hogy ez előnyt fog-e jelenteni a piac különböző szereplői számára, vagy hátrányt ma még nem lehet tisztán látni. Mindenesetre a jelenlegi tervek szerint jövő év végére (gyakorlatilag 2005-re) a helyzet tisztázódni fog.
A mindebből levonható és számunkra adódó tanulságokat a következőképpen lehet összefoglalni:
1. Az IS 17799 egy érvényes nemzetközi szabvány, amelyet alkalmazni lehet akár a biztonságmenedzsment javítására, akár annak tanúsíttatására.
2. Alkalmazásakor óvatosnak kell lenni - tekintettel hiányosságaira és hibáira.
3. Már csak emiatt is célszerű megismerkedni mind az 17799-es, mind az 13335-ös fejlesztés alatt álló új változatával.
4. Az alkalmazás során vegyük figyelembe a rendelkezésre álló egyéb, az informatikai biztonság egy-egy konkrétabb területére vonatkozó nemzetközi szabványt, pl.:
b. hozzáférésellenőrzés
c. hitelesítés (egyed és üzenet)
d. kulcskezelés
e. behatolásvédelem
f. hálózatvédelem
g. időbélyegzés
h. letagadhatatlanság
