#27002: Обновяваща ревизия на стандарта с опростена структура, ново съдържание и съвременно индексиране. През първото тримесечие на 2022 г. бе публикувана актуализация на ISO/IEC 27002 като предвестник на ревизията на ISO/IEC 27001:2022. Прочетете тук какво се променя с новия ISO 27002:2022 - и какво означава това по отношение на ревизията на ISO 27001:2022.

Loading...

ISO 27002 и ISO 27001

ISO 27002 дефинира широкообхватен каталог от общи мерки за сигурност, които трябва да подпомогнат компаниите при изпълнението на изискванията от Приложение А на ISO 27001 - и се е утвърдил като практическо ръководство за стандарта в много ИТ отдели и отдели по сигурността като признат инструмент. В началото на 2022 г. ISO 27002 беше цялостно преразгледан и актуализиран - закъсняла стъпка по мнението на много експерти, като се има предвид динамичното развитие на ИТ през последните години и като се знае, че стандартите се преразглеждат за актуалност на всеки 5 години.

За компаниите със сертификат ISO 27001 - или за компаниите, които искат да се заемат със сертифициране в близко бъдеще - нововъведенията, които бяха въведени сега, са от значение в два аспекта: Първо, по отношение на необходимите актуализации на собствените им мерки за сигурност; и второ, защото тези промени ще окажат влияние върху актуализацията на ISO 27001 очаквана в края на годината и следователно ще бъдат от значение за всички бъдещи сертификации и ресертификации. Следователно това е достатъчна причина да разгледаме по-отблизо новия ISO 27002.

Забележка: ISO/IEC 27002:2022 Сигурност на информацията, киберсигурност и защита на личните данни - Контрол на сигурността на информацията. Понастоящем стандартът е публикуван само на английски език и може да бъде поръчан от уебсайта на ISO.

Нова структура и нови теми

Първата очевидна промяна в ISO 27002:2022 е актуализираната и значително оптимизирана структура на стандарта: вместо предишните 114 мерки за сигурност (контроли) в 14 раздела, референтният набор на актуализираната версия на ISO 27002 вече включва 93 контроли, които са ясно разделени и обобщени в 4 тематични области:

  • 37 мерки за сигурност в раздела "Организационен контрол".
  • 8 мерки за сигурност в областта "Контрол върху хората"
  • 14 мерки за сигурност в областта "Физически контрол".
  • 34 мерки за сигурност в областта "Технологичен контрол".

Въпреки намаления брой на мерките за сигурност, само контролът "Премахване на активи" беше реално заличен. Оптимизирането се дължи на факта, че 24 мерки за сигурност от съществуващите контроли бяха обединени и преструктурирани, за да се постигнат целите на защитата по по-целенасочен начин. Други 58 мерки за сигурност бяха преразгледани и адаптирани, за да отговарят на съвременните изисквания.

Новото издание на ISO 27002 дава на мениджърите по информационна сигурност точна представа за промените, които ще се превърнат в нов стандарт за сертифициране с новото издание на ISO 27001.

Маркус Йегелка Експерт и одитор на DQS по информационна сигурност

Нови мерки за сигурност

Освен това - и това вероятно е най-интересната част от актуализацията - в новата версия ISO 27002 е разширен с 11 допълнителни мерки за сигурност. Нито една от тези мерки няма да бъде изненада за експертите по сигурността, но взети заедно, те изпращат силен сигнал и помагат на компаниите своевременно да въоръжат своите организационни структури и архитектури за сигурност срещу настоящи и бъдещи сценарии на заплахи.

Новите мерки са:

Разузнаване на заплахите

Улавянето, консолидирането и анализирането на текущата разузнавателна информация за заплахите позволява на организациите да останат в крак с времето в една все по-динамична и развиваща се среда на заплахи. В бъдеще основаващият се на доказателства анализ на информацията за атаки ще играе ключова роля в информационната сигурност за разработване на най-добрите възможни стратегии за защита.

Информационна сигурност при използването на облачни услуги

Днес много организации разчитат на услуги, базирани на облачни услуги. С това се появяват нови вектори на атаки и съпътстващите ги промени и значително по-големи области на атаки. В бъдеще компаниите ще трябва да обмислят подходящи мерки за защита при тяхното въвеждане, използване, администриране и да ги направят задължителни в договорните си правила с доставчиците на облачни услуги.

Готовност на ИКТ за непрекъсваемост на бизнеса

Наличието на информационни и комуникационни технологии (ИКТ) и техните инфраструктури е от съществено значение за непрекъснатите бизнес операции в компаниите. Основата за устойчивост на организациите са планираните цели за непрекъсваемост на бизнеса и произтичащите от тях изисквания за непрекъсваемост на ИКТ, които се прилагат и проверяват. Изискванията за своевременно техническо възстановяване на ИКТ след повреда създават жизнеспособни концепции за непрекъснатост на бизнеса.

Мониторинг на физическата сигурност

Пробивите, при които чувствителни данни или носители на данни са откраднати от компанията или са компрометирани, представляват значителен риск за компаниите. Техническият контрол и системите за наблюдение са доказали своята ефективност при възпирането на потенциални нарушители или при незабавното откриване на тяхното проникване. В бъдеще те ще бъдат стандартни компоненти на цялостните концепции за сигурност за откриване и възпиране на неразрешен физически достъп.

Управление на конфигурацията

Неправилно конфигурираните системи могат да бъдат използвани от нападателите за получаване на достъп до критични ресурси. Макар че преди това не беше достатъчно добре представено като подмножество на управлението на промените, системното управление на конфигурацията сега се фокусира като самостоятелна мярка за сигурност. То изисква от организациите да следят за правилното конфигуриране на хардуера, софтуера, услугите и мрежите и да укрепват системите си по подходящ начин.

Изтриване на информация

След влизането в сила на Общия регламент относно защитата на данните организациите трябва да разполагат с подходящи механизми за изтриване на лични данни при поискване и да гарантират, че те не се съхраняват за по-дълъг период от време, отколкото е необходимо. Това изискване е разширено до цялата информация в ISO 27002. Чувствителната информация не трябва да се съхранява по-дълго от необходимото, за да се избегне рискът от нежелано разкриване.

Маскиране на данни

Целта на тази мярка за сигурност е да се защитят чувствителни данни или елементи на данни (напр. лични данни) чрез маскиране, псевдонимизиране или анонимизиране. Рамката за подходящо прилагане на тези технически мерки се осигурява от законови, нормативни, регулаторни и договорни изисквания.

Предотвратяване на изтичането на данни

Необходими са превантивни мерки за сигурност, за да се намали рискът от неразрешено разкриване и извличане на чувствителни данни от системи, мрежи и други устройства. Потенциалните канали за неконтролирано изтичане на тази идентифицирана и класифицирана информация (напр. електронна поща, прехвърляне на файлове, мобилни устройства и преносими устройства за съхранение) трябва да бъдат наблюдавани и, ако е необходимо, технически подкрепени с активни мерки за превенция (напр. карантина на електронна поща).

Дейности по наблюдение

Системите за наблюдение на аномалии в мрежите, системите и приложенията вече са част от стандартния репертоар в ИТ отделите. По същия начин изискването за използване на системи за откриване на атаки е намерило място в действащите законови и регулаторни изисквания. Непрекъснатият мониторинг, автоматичното събиране и оценяване на подходящи параметри и характеристики от текущите ИТ операции са задължителни за проактивната киберзащита и ще продължат да движат технологиите в тази област.

Уеб филтриране

Много ненадеждни уебсайтове заразяват посетителите със зловреден софтуер или четат личните им данни. Усъвършенстваното филтриране на URL адреси може да се използва за автоматично филтриране на потенциално опасни уебсайтове с цел защита на крайните потребители. Мерките за сигурност и решенията за защита от злонамерено съдържание на външни уебсайтове са от съществено значение в глобално свързания бизнес свят.

Сигурно кодиране

Уязвимостите във вътрешно разработения код или компонентите с отворен код са опасна точка на атака, която позволява на киберпрестъпниците лесно да получат достъп до критични данни и системи. Актуалните насоки за разработване на софтуер, автоматизираните процедури за тестване, процедурите за освобождаване на промени в кода, управлението на знанията на разработчиците, но също така и добре обмислените стратегии за поправки и актуализации значително повишават нивото на защита.

Атрибути и стойности на атрибутите

В ISO 27002:2022 за първи път е въведено друго нововъведение, което да помогне на мениджърите по сигурността да се ориентират в широкия набор от мерки: В приложение А към стандарта за всяка мярка са записани пет атрибута със съответните стойности на атрибутите.

Атрибутите и стойностите на атрибутите са:

Видове контрол

  • Влияние върху резултата от риска при инцидент с ИС
  • #превантивен #откриващ #корективен

Свойства на информационната сигурност

  • Влияние върху целите за защита на информационната сигурност
  • #Конфиденциалност #Интегрираност #Достъпност

Концепции за киберсигурност

  • Класификация в Рамката за киберсигурност на NIST
  • #Идентифициране Защита Откриване Реагиране Възстановяване

Оперативни възможности

  • Оперативни възможности
  • #Сигурност на приложенията #Управление на активите #Непрекъснатост #Защита на данните #Управление #Сигурност на човешките ресурси #Управление на идентичността и достъпа #Управление на събитията в областта на информационната сигурност #Законодателство и съответствие #Физическа сигурност #Сигурна конфигурация #Осигуряване на сигурността #Сигурност на взаимоотношенията с доставчиците #Сигурност на системите и мрежите #Управление на заплахите и уязвимостите

Области на сигурността

  • Области на сигурност на NIS (ENISA)
  • #Управление_и_Екосистема #Защита #Отбрана #Устойчивост

Стойностите на атрибутите, отбелязани с хаштагове, имат за цел да улеснят мениджърите по сигурността да се ориентират в широкия каталог от мерки в стандартното ръководство и да ги търсят и оценяват целенасочено.

Промени в ISO 27002: Заключение

Новото издание на ISO 27002 предоставя на мениджърите по информационна сигурност точна представа за промените, които ще се превърнат в нов стандарт за сертифициране с новото издание на ISO 27001. В същото време нововъведенията остават в управляема рамка: Преструктурирането на каталога от мерки прави стандарта по-прозрачен и несъмнено е стъпка в правилната посока с оглед на нарастващата сложност и намаляващата прозрачност на архитектурите за сигурност. Нововключените мерки няма да бъдат изненада и за опитните експерти по сигурността и значително модернизират остарелия стандарт ISO.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Сертификация по ISO 27001

Какви усилия трябва да вложите, за да сертифицирате своята ISMS в съответствие с ISO 27001? Получете информация безплатно и без задължение.

Очакваме с готовност да разговаряме с Вас.

Какво означава актуализацията за Вашата сертификация?

ISO/IEC 27001:2022 е публикуван на 25 октомври 2022 г. Това води до следните крайни срокове и времеви рамки за преход на потребителите:

Последна дата за сертификация по "стария" ISO 27001:2013:

  • След 30 април 2024 г. DQS ще извършва първоначални и ресертификационни одити само по новия стандарт ISO/IEC 27001:2022
  • Преобразуване на всички съществуващи сертификати съгласно "стария" ISO/IEC 27001:2013 към новия ISO/IEC 27001:2022: От 31 октомври 2022 г. се прилага тригодишен преходен период. Сертификатите, издадени съгласно ISO/IEC 27001:2013 или DIN EN ISO/IEC 27001:2017, ще бъдат валидни най-късно до 31 октомври 2025 г. или трябва да бъдат оттеглени на тази дата.

DQS: Simply leveraging quality.

Нашите сертификационни одити Ви осигуряват яснота. Цялостният, неутрален поглед отвън върху хората, процесите, системите и резултатите показва колко ефективна е Вашата система за управление, как се прилага и овладява. За нас е важно да възприемате нашия одит не като тест, а като обогатяване на Вашата система за управление.

Нашето твърдение винаги започва там, където свършват чеклистите за одит. Ние специално питаме "защо", защото искаме да разберем мотивите, които са Ви накарали да изберете определен начин на внедряване. Фокусираме се върху потенциала за подобрение и насърчаваме промяната на гледната точка. По този начин можете да идентифицирате варианти за действие, с които да подобрявате непрекъснато системата си за управление.

Автор
Андре Saeckel

Продуктов мениджър в DQS за управление на информационната сигурност. Като експерт по стандартите в областта на информационната сигурност и каталога на ИТ сигурността (критични инфраструктури) Андре Сакел отговаря за следните стандарти и специфични индустриални норми, като: ISO 27001, ISIS12, ISO 20000-1, KRITIS и TISAX (информационна сигурност в автомобилната индустрия). Той е и член на работната група ISO/IEC JTC 1/SC 27/WG 1 като национален делегат на Германския институт за стандартизация DIN.

Loading...