Poslovni procesi s dodanom vrijednošću vođeni su informacijama i podacima. Bez razmjene informacija ništa ne funkcioniše u našoj digitalnoj ekonomiji. Naše osnovne usluge su bazirane na kritičnim infrastrukturama čija funkcionalnost u velikoj mjeri ovisi o razmjeni informacija i podataka. Sigurnost informacija seže daleko u stvarnost našeg rada i života. Zaštita svakodnevnih operacija zasnovanih na informacijama, kritičnih podataka i intelektualne svojine od sajber pretnji je stoga imperativ za kompanije svih veličina. U ovom dobu industrijaliziranih sajber napada, prilagođavanje rizicima sigurnosti informacija koje se stalno mijenjaju zahtijeva pravovremen i fleksibilan pristup izgradnji otpornosti kompanije.


I to je upravo mjesto gdje dolazi novi ISO/IEC 27001:2022 sa svojim fokusom na procesnu orijentaciju u upravljanju sigurnosti informacija. Više od dvije decenije, ISO 27001 standard je uspostavljena, ali zastarjela osnova za sisteme upravljanja sigurnosti informacija. I uprkos svojim godinama, prema ISO Anketi, standard je bio u mogućnosti da raste sa povećanjem certifikata od 32% u prošloj 2021. U pozadini rastuće potražnje za savremenim okvirom za procjenu sigurnosti informacija, novi ISO/IEC 27001:2022 je objavljen 25. oktobra 2022. Šta je novo?

Loading...
whitepaper-ISO 27001-faq-dqs-cover picture
Loading...

ISO/IEC 27001:2022 Q&A

"Novi" za sigurnost informacija: 38 pitanja i odgovora

Šta trebate znati o "novom klincu u bloku" za sigurnost informacija: 38 odgovora naših stručnjaka na 38 korisničkih pitanja.

  • O čemu su sve nove kontrole?
  • Kada treba da pređemo na novi standard?
  • Gdje mogu pronaći listu starih i novih korespondencija?
  • ... kao i još 35!

Još jedna značajna promjena u novom ISO/IEC 27001:2022 je da se, uz prilagođavanje takozvanoj Harmoniziranoj strukturi, zahtjev za procesnom orijentacijom koji je odavno nastao stavlja u fokus efikasnog ISMS-a. Osnova efektivnih sistema upravljanja su jasni procesi i njihove interakcije, kao i ciljno orijentisani kriteriji za ove procese za njihovu kontrolu.

U nastavku ćemo detaljnije pogledati tri područja promjena nove verzije ISO 27001.

 

Struktura visokog nivoa postaje Hamronizirana struktura

Od maja 2021, prethodnu Struktura visokog nivoa (HLS) nasljeđuje Harmonizirana struktura (HS). HS je osnovna struktura i obrazac za razvoj novih i budućih revizija postojećih ISO standarda sistema upravljanja. ISO/IEC 27001:2022 je jedan od prvih standarda za sistem upravljanja koji je prilagođen HS. Razna pojašnjenja, dopune, ali i brisanja u HS-u u odnosu na HLS prilično su interesantna za korisnike koji su upoznati sa standardom.

Za ISO/IEC 27001:2022, međutim, značajno je izvođenje iz HS-a direktno vidljivo. U budućnosti će klauzula 6.3 zahtijevati da se promjene ISMS-a implementiraju na planirani način. Ovaj zahtjev je poznat iz drugih sistema upravljanja i izražava očekivanje da je proces promjene vezan za ISMS savladan. Na primjer, prijelaz sa prethodnog ISO/IEC 27001:2013 na novi ISO/IEC 27001:2022 može se shvatiti kao promjena ISMS-a koju treba implementirati na planski način sa svim njegovim efektima i interakcijama.

Pregled novih karakteristika ISO 27001:2022

ISO 27001 opisuje okvir za sistem upravljanja sigurnosti informacija (skraćeno ISMS) - i to za kompanije bez obzira na organizacionu strukturu, veličinu ili orijentaciju. Ključna tačka je upravljanje rizikom. Promjenjive sajber prijetnje konstantno iskorištavaju nove potencijalne ranjivosti u kompanijama s ciljem napada i kompromitiranja tokova informacija, a time i poslovnih procesa. Rizici koji proizilaze iz ovog mehanizma za tri osnovna cilja zaštite informacija - povjerljivost, integritet i dostupnost - moraju se identifikovati i upravljati njima.

Ažuriranje ISO/IEC 27001:2022 se bavi najboljim praksama za upravljanje ovim rizicima za sigurnost informacija. Lista mogućih kontrola sigurnosti informacija u normativnom Aneksu A novog ISO/IEC 27001:2022 identično je izvedena iz revidiranih ISO/IEC 27002:2022 smjernica. Uputstvo za implementaciju je već usvojeno u februaru ove godine sa jednostavnijom taksonomijom i savremenim sigurnosnim kontrolama. Sa novim ISO/IEC 27001:2022 koji je sada objavljen, uspješan tandem ISO standarda 27001/27002 sa svojim vrijednim preporučenim mjerama je još jednom vrhunsko stanje.

Šta ažuriranje znači za vašu organizaciju?

ISO/IEC 27001:2022 objavljen je 25. oktobra 2022. Ovo rezultira sljedećim rokovima i vremenskim okvirima za korisnike za tranziciju:

Posljednji datum za inicijalni/ recertifikacijski audit u skladu sa "starim" ISO 27001:2013 

  • Nakon 30. aprila 2024., DQS će provoditi inicijalne i recertifikacijske audite samo prema novom standardu ISO/IEC 27001:2022

Tranzicija svih postojećih certifikata prema "starom" ISO/IEC 27001:2013 na novi ISO/IEC 27001:2022 

  • Postoji trogodišnji prelazni period počevši od 31. oktobra 2022. 
  • Certifikati izdati u skladu sa ISO/IEC 27001:2013 ili DIN EN ISO/IEC 27001:2017 vrijede najkasnije do 31. oktobra 2025. ili se moraju povući ovog datuma.

ISO 27001 - Sistem upravljanja sigurnosti informacija

Holistički sistem upravljanja prema ISO standardu ★ Efikasna implementacija procesa upravljanja rizicima ★ Kontinuirano poboljšanje nivoa sigurnosti

Više informacija o ISO 27001

Normativne izmjene u ISO/IEC 27001:2022

Vrlo značajna promjena dodaje se kontekstu organizacije u klauzuli 4.4 sa zahtjevom da se identifikuju potrebni procesi i njihove interakcije unutar ISMS-a koje su potrebne za njegovu implementaciju i održavanje. Ovaj eksplicitni zahtjev dovodi ISO/IEC 27001:2022 u skladu sa pristupom najbolje prakse drugih sistema upravljanja prema HS (HLS). Sistem upravljanja sigurnosti informacija mora biti zasnovan na uspostavljenim, sljedivim procesima i njihovim interakcijama. Kontrole sigurnosti informacija u Aneksu A se zatim dizajniraju i prilagođavaju ovim procesima.

Sljedeća relevantna promjena u klauzuli 8.1 također naglašava važnost procesne orijentacije, koja je zajednička svim sistemima upravljanja baziranim na HS. Organizacije moraju realizovati procese kao dio svog operativnog planiranja i kontrole za implementaciju mjera za upravljanje rizicima sigurnosti informacija. Ono što je novo je da se sada moraju definisati kriteriji procesa. Kontrola procesa mora biti implementirana u skladu sa ovim kriterijima.

Nadalje, prilično manja pojašnjenja i specifikacije su date u sljedećim klauzulama:

  • Klauzula 5.3 je dopunjena eksplicitnim zahtjevom da se odgovornosti i ovlaštenja za uloge vezane za sigurnost informacija obznane unutar organizacije.
  • Klauzula 7.4 reguliše potrebu za internom i eksternom komunikacijom u vezi sa ISMS-om. Pored još uvijek primjenjivih odredbi o tome o čemu, kada i s kim, način komunikacije je izvodljivo pojednostavljenje u odnosu na prethodne zahtjeve.
  • Klauzula 9.2 Interni audit i 9.3 Pregled upravljanja su prilagođeni Harmonizovanoj strukturi. Klauzula 9.2 je sada podijeljena na 9.2.1 i 9.2.2, klauzula 9.3 je podijeljena na tri pododjeljke 9.3.1, 9.3.2 i 9.3.3. 
  • Redoslijed u kojem su Klauzula 10.1Kauzula 10.2 strukturirani je prilagođen Harmoniziranoj strukturi. Aspekt budućeg kontinuiranog poboljšanja sada prethodi retrospektivnom rješavanju neusklađenosti i korektivnim akcijama u klauzuli 10.2 u klauzuli 10.1 bez ikakvih daljnjih promjena u sadržaju. Ovo prilagođavanje naglašava važnost procesa kontinuiranog poboljšanja (CIP).

Ključni i nedvosmisleni zahtjevi u ISO/IEC 27001 koji upućuju na skup kontrola u Aneksu A su, prema klauzuli 6.1.3 c), proces poređenja između kontrola sigurnosti informacija specifičnih za organizaciju sa onima u Aneksu A i, prema Klauzula 6.1.3 d), priprema Izjave o primenljivosti (SoA). Ovi osnovni zahtjevi ostaju nepromijenjeni!

Objašnjenja u informativnim (nenormativnim) napomenama uz klauzulu 6.1.3 c) sa referencom na Aneks A kao listu mogućih kontrola sigurnosti informacija ukazuju na mogućnost odabira dodatnih mjera iz daljih izvora koji su dopuni Aneksu A.

 

Novi Aneks A u ISO/IEC 27001:2022

Lista mogućih kontrola sigurnosti informacija (IS) u normativnom Aneksu A standarda ISO/IEC 27001:2022 izvedena je identično iz ISO/IEC 27002:2022. Katalog opštih sigurnostnih kontrola objavljen je u februaru 2022. Zbog toga su promene u Aneksu A ISO/IEC 27001:2022 bile predvidive već neko vrijeme. Ranije je Aneks A uključivao ukupno 114 kontrola koje su se mogle koristiti za rješavanje rizika sigurnosti informacija u okviru 35 kontrolnih ciljeva organizovanih u 14 klauzula.

Osim što novi ISO/IEC 27001:2022 eliminiše ciljeve kontrole, kontrole sigurnosti informacija u Aneksu A su revidirane, ažurirane i dopunjene i reorganizirane nekim novim kontrolama.

Prethodnih 14 klauzula Aneksa A sada je fokusirano na 4 sljedeće teme:

A.5 Organizacione kontrole (sa 37 kontrola)

A.6 Kontrole osoblja (sa 8 kontrola)

A.7 Fizičke kontrole (sa 14 kontrola)

A.8 Tehničke kontrole (sa 34 kontrole)

Aneks A nove verzije ISO/IEC 27001:2022 sada uključuje ukupno 93 kontrole, od kojih je sljedećih 11 kontrola novih:

A.5.7 Prijetnje inteligenciji

A.5.23 Sigurnost informacija za korištenje usluga u oblaku

A.5.30 IKT spremnost za kontinuitet poslovanja

A.7.4 Nadgledanje fizičke sigurnosti

A.8.9 Upravljanje konfiguracijom

A.8.10 Brisanje informacija

A.8.11 Maskiranje podataka

A.8.12 Sprečavanje curenja podataka

A.8.16 Praćenje aktivnosti

A.8.23 Web filtriranje

A.8.28 Sigurno kodiranje

Dok je Aneks A ISO/IEC 27001:2022 ograničen na imenovanje kontrola, vodič za implementaciju ISO/IEC 27002:2022 pruža dodatne opcije za njihovo kategoriziranje. Tu je svakoj kontroli dodijeljeno pet atributa koji omogućavaju različite poglede i perspektive na njih. Atributi ili njihove vrijednosti atributa mogu se koristiti za filtriranje, sortiranje ili prikaz za različite organizacijske poglede.

Pet atributa su:

Vrsta kontrole je atribut za prikaz kontrola iz perspektive kada i kako mjera mijenja rizik u vezi s pojavom incidenta u informacijskoj sigurnosti.

Svojstva sigurnosti informacija su atribut za gledanje kontrola iz perspektive koji cilj zaštite mjera treba podržati.

Koncepti sajber sigurnosti razmatraju kontrole iz perspektive kako se one mapiraju u okvir kibernetičke sigurnosti opisan u ISO/IEC TS 27110.

Operativna sposobnost razmatra kontrole iz perspektive njihovih operativnih mogućnosti sigurnosti informacija i podržava praktičan korisnički pogled na mjere.

Sigurnosne domene su atribut koji omogućava da se kontrole posmatraju iz perspektive četiri domena sigurnosti informacija.

ISO/IEC 27001:2022-10 - Sigurnost informacija, sajber sigurnost i zaštita privatnosti - Sistemi upravljanja sigurnosti informacija - Zahtjevi
Standard je dostupan na engleskom jeziku na ISO web stranici.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop
Loading...

Pogledajte sada: Šta se mijenja s novim ISO/IEC 27001:2022

Nova verzija ISO/IEC 27001, prilagođena savremenim informacionim rizicima, objavljena je 25. oktobra 2022. Šta to znači za korisnike standarda? U našem besplatnom snimku webinara saznat ćete o tome

- Nove karakteristike ISO/IEC 27001:2022 - Okvir i Aneks A

- ISO/IEC 27002:2022-02 - struktura, sadržaj, atributi i hashtagovi

- Vremenski okvir za tranziciju i vaše sljedeće korake

Novi ISO/IEC 27001:2022 - Zaključak

Dostupan je novi ISO/IEC 27001:2022. Ovo označava početak trogodišnjeg prelaznog roka.

Ukratko, glavne inovacije su sljedeće:

  • Usklađenost sistema upravljanja sa Harmonizovanom strukturom.
  • Naglasak na procesnoj orijentaciji, njihovim interakcijama i kriterijima.
  • Pojednostavljena kategorizacija kontrola u tematske blokove.
  • Savremene mjere usklađene sa trenutnim organizacionim metodama i povezanim prijetnjama.
  • Atributi za usklađivanje kontrola sa različitim metodologijama upravljanja rizikom, uključujući globalne okvire sajber-sigurnosti.
gerber-hermsdorf-werner-korall-audit dqs
Loading...

Imate li pitanja?

Kontaktirajte nas!

Bez obaveza i besplatno!

Povjerenje i ekspertiza

Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili dugogodišnji auditori. Ako imate bilo kakva pitanja o tekstualnom sadržaju ili našim uslugama našem autoru, slobodno nam pošaljite e-mail.

Autor
Markus Jegelka

DQS ekspert za sisteme upravljanja sigurnošću informacija (ISMS) i dugogodišnji auditor za standarde ISO 9001, ISO/IEC 27001 i katalog IT sigurnosti prema paragrafu 11.1a Zakona o energetskoj industriji Njemačke (EnWG)

Loading...