Revizija ISO 27002 - Ovo su izmjene

• ISO 27002 i ISO 27001
• Nova struktura i nove teme
• Nove sigurnosne mjere
• Atributi i vrijenost atributa
• Izmjene u 27002: Zaključak
• Šta ažuriranje znači za vašu organizaciju
• DQS: Simply leveraging Quality.

ISO 27002 i ISO 27001

ISO 27002 definiše široki katalog opštih sigurnosnih mjera koje treba da podrže kompanije u implementaciji zahtjeva iz Aneksa A ISO 27001 - i etablirao se kao praktičan vodič za standarde u mnogim IT i sigurnosnim odeljenjima kao priznati alat. Početkom 2022. godine ISO 27002 je sveobuhvatno revidiran i ažuriran - po mišljenju mnogih stručnjaka zakasnio korak, s obzirom na dinamičan razvoj IT-a u posljednjih nekoliko godina i znajući da se standardi revidiraju na ažurnost svakih 5 godina.

Za kompanije sa certifikatom ISO 27001 – ili kompanije koje žele da se pozabave certifikacijom u bliskoj budućnosti – inovacije koje su sada uvedene su relevantne u dva aspekta: Prvo, u pogledu neophodnih ažuriranja sopstvenih sigurnosnih mjera; ali drugo, jer će ove promjene imati utjecaja na ažuriranje ISO 27001 koje se očekuje krajem godine i stoga će biti relevantan za sve buduće certifikacije i recertifikacije. Dovoljan razlog, dakle, da se bliže pogleda novi ISO 27002.

Nova struktura i nove teme

Prva očigledna promjena u ISO 27002:2022 je ažurirana i značajno pojednostavljena struktura standarda: umjesto dosadašnjih 114 sigurnosnih mjera (kontrola) u 14 odjeljaka, referentni skup ažurirane verzije ISO 27002 sada sadrži 93 kontrole, koje su jasno podijeljene i sažete u 4 predmetne oblasti:

• 37 sigurnosnih mjera u dijelu "Organizaciona kontrola"
• 8 sigurnosnih mjera u dijelu "Kontrola ljudi"
• 14 sigurnosnih mjera u dijelu "Fizičke kontrole"
• 34 sigurnosne mjere u oblasti "Tehnološke kontrole"

I pored smanjenog broja sigurnosnih mjera, zapravo je izbrisana samo kontrola „Uklanjanje imovine“. Usmjeravanje je posljedica činjenice da su 24 sigurnosne mjere iz postojećih kontrola kombinovane i restrukturirane kako bi se ciljevi zaštite ispunili na fokusiraniji način. Dodatnih 58 mjera sigurnosti je revidirano i prilagođeno savremenim zahtjevima.

Nove sigurnosne mjere

Nadalje – a ovo je vjerovatno najuzbudljiviji dio ažuriranja – ISO 27002 je proširen za 11 dodatnih sigurnosnih mjera u novoj verziji. Nijedna od ovih mjera neće biti iznenađenje za stručnjake za sigurnost, ali zajedno, one šalju snažan signal i pomažu kompanijama da na vrijeme naoružaju svoje organizacijske strukture i sigurnosne arhitekture protiv trenutnih i budućih scenarija prijetnji.

Nove mjere su:

Prijetnja obavještajnim informacijama

Snimanje, konsolidacija i analiza trenutnih obavještajnih podataka o prijetnjama omogućava organizacijama da ostanu u toku u sve dinamičnijem okruženju prijetnji koje se razvija. U budućnosti će analiza informacija o napadima zasnovana na dokazima igrati ključnu ulogu u informacionoj sigurnosti kako bi se razvile najbolje moguće odbrambene strategije.

Sigurnost informacija za korištenje usluga u oblaku

Mnoge organizacije se danas oslanjaju na usluge zasnovane na oblaku. Uz to dolaze novi vektori napada i prateće promjene te znatno veće površine napada. U budućnosti će kompanije morati da razmotre odgovarajuće mjere zaštite za njihovo uvođenje, korištenje, administraciju i učine ih obavezujućim u svojim ugovornim pravilima sa dobavljačima usluga u oblaku.

IKT spremnost za kontinuitet poslovanja

Dostupnost informaciono-komunikacione tehnologije (IKT) i njene infrastrukture je od suštinskog značaja za tekuće poslovanje u kompanijama. Osnova za otporne organizacije su planirani ciljevi kontinuiteta poslovanja i IKT zahtjevi za kontinuitetom koji su izvedeni, implementirani i verifikovani iz njih. Zahtjevi za blagovremenim, tehničkim oporavkom IKT-a nakon kvara uspostavljaju održive koncepte kontinuiteta poslovanja.

Monitoring fizičke sigurnosti

Provale u kojima su osetljivi podaci ili nosioci podataka ukradeni ili kompromitovani predstavljaju značajan rizik za kompanije. Tehničke kontrole i sistemi nadzora su se pokazali efikasnim u odvraćanju potencijalnih uljeza ili u otkrivanju njihovog upada odmah. U budućnosti će to biti standardne komponente holističkih sigurnosnih koncepata za otkrivanje i sprječavanje neovlaštenog fizičkog pristupa.

Upravljanje konfiguracijom

Napadači mogu zloupotrijebiti pogrešno konfigurisane sisteme da bi dobili pristup kritičnim resursima. Iako je ranije bilo nedovoljno zastupljeno kao podskup upravljanja promjenama, sistematsko upravljanje konfiguracijom je sada fokusirano na mjeru sigurnosti sama po sebi. Zahtijeva od organizacija da nadgledaju ispravnu konfiguraciju hardvera, softvera, usluga i mreža i da na odgovarajući način ojačaju svoje sisteme.

Brisanje informacija

Otkako je Opća uredba o zaštiti podataka stupila na snagu, organizacije moraju imati odgovarajuće mehanizme za brisanje ličnih podataka na zahtjev i osigurati da se oni ne čuvaju duže nego što je potrebno. Ovaj zahtjev se proširuje na sve informacije u ISO 27002. Osjetljive informacije ne treba čuvati duže nego što je potrebno kako bi se izbjegao rizik od neželjenog otkrivanja.

Maskiranje podataka

Cilj ove sigurnosne mjere je zaštita osjetljivih podataka ili elemenata podataka (npr. lični podaci) maskiranjem, pseudonimizacijom ili anonimizacijom. Okvir za odgovarajuću implementaciju ovih tehničkih mjera obezbjeđuju zakonski, statutarni, regulatorni i ugovorni zahtjevi.

Sprečavanje curenja podataka

Preventivne sigurnosne mjere su potrebne kako bi se smanjio rizik od neovlaštenog otkrivanja i izdvajanja osjetljivih podataka iz sistema, mreža i drugih uređaja. Potencijalne kanale za nekontrolisano curenje ovih identificiranih i povjerljivih informacija (npr. e-mail, prijenos datoteka, mobilni uređaji i prijenosni uređaji za pohranu) treba pratiti i, ako je potrebno, tehnički podržati aktivnim mjerama prevencije (npr. karantin putem e-maila).

Aktivnosti monitoringa

Sistemi za praćenje anomalija u mrežama, sistemima i aplikacijama sada su dio standardnog repertoara u IT odjelima. Slično tome, zahtjev za korištenjem sistema za otkrivanje napada našao se u trenutnim zakonskim i regulatornim zahtjevima. Kontinuirano praćenje, automatsko prikupljanje i evaluacija odgovarajućih parametara i karakteristika iz tekućih IT operacija su neophodni u proaktivnoj sajber odbrani i nastavit će pokretati tehnologije u ovoj oblasti.

Web filtriranje

Mnoge nepouzdane web stranice zaraze posjetitelje zlonamjernim softverom ili čitaju njihove lične podatke. Napredno filtriranje URL-ova može se koristiti za automatsko filtriranje potencijalno opasnih web stranica radi zaštite krajnjih korisnika. Sigurnosne mjere i rješenja za zaštitu od zlonamjernog sadržaja na vanjskim web stranicama su od suštinskog značaja u globalno povezanom poslovnom svijetu.

Sigurno kodiranje

Ranjivosti koda ili komponenti otvorenog koda opasna su tačka napada, omogućavajući sajber kriminalcima da lako dobiju pristup kritičnim podacima i sistemima. Ažurne smernice za razvoj softvera, automatizovane procedure testiranja, procedure izdavanja za promene koda, upravljanje znanjem za programere, ali i dobro osmišljene strategije zakrpa i ažuriranja značajno povećavaju nivo zaštite.

Atributi i vrijednost atributa

Još jedna inovacija je uvedena po prvi put u ISO 27002:2022 kako bi se pomoglo menadžerima sigurnosti da se snalaze u širokoj mješavini mjera: U Aneksu A standarda, pet atributa s pripadajućim vrijednostima atributa pohranjeno je za svaku mjeru.

Atributi i vrijednosti atributa su:

Vrste kontrola

• Vrsta kontrole je atribut za prikaz kontrola sa stanovišta kada i kako kontrola mijenja rizik vezan za nastanak incidenta u informacijskoj sigurnosti
• #preventivni #otkrivajući #korektivni

Svojstva sigurnosti informacija

• Svojstva informacijske sigurnosti su atribut koji se može koristiti za pregled kontrola iz perspektive kog cilja zaštite kontrola treba da podrži
• #Povjerljivost #Integritet #Dostupnost

Koncepti sajber sigurnosti

• Koncepti sajber sigurnosti posmatraju kontrole iz perspektive mapiranja kontrola u okvir kibernetičke sigurnosti opisan u ISO/IEC TS 27110
• #Identificirati #Zaštititi #Otkriti #Odgovoriti #Oporaviti

Operativni kapaciteti

• Operativna sposobnost gleda na kontrole iz perspektive njihovih operativnih mogućnosti sigurnosti informacija i podržava praktičan korisnički pogled na kontrole
• #Sigurnost aplikacije #Upravljanje imovinom #Kontinuitet #Zaštita podataka #Upravljanje #Sigurnost ljudskih resursa #Upravljanje identitetom i pristupom #Upravljanje događajima sigurnosti informacija #Pravna usklađenost #Fizička sigurnost #Sigurna konfiguracija #Osiguranje sigurnosti #Sigurnost odnosa s dobavljačima #Sigurnost sistema i mreže # Upravljanje prijetnjama i ranjivostima

Sigurnosne domene

• Sigurnosne domene su atribut koji se može koristiti za pregled kontrola unutar perspektive četiri domena sigurnosti informacija
• #Upravljanje_i_ekosistem #Zaštita #Odbrana #Otpornost

Vrijednosti atributa označene hashtagovima imaju za cilj da olakšaju menadžerima sigurnosti da pronađu svoj put kroz široki katalog mjera u vodiču standarda i da ih pretražuju i procjenjuju na ciljani način.

Izmjene u ISO 27002: Zaključak

Novo izdanje ISO 27002 pruža menadžerima za sigurnost informacija precizan pogled na promjene koje će postati novi standard za certifikaciju s novim izdanjem ISO 27001. U isto vrijeme, inovacije ostaju unutar okvira kojim se može upravljati: Restrukturiranje kataloga mjera čini standard transparentnijim i nesumnjivo je korak u pravom smjeru s obzirom na sve veću složenost i sve manju transparentnost sigurnosnih arhitektura. Novouključene mjere također neće biti iznenađenje za iskusne stručnjake za sigurnost i prilično će modernizirati zastarjeli ISO standard.

Šta ažuriranje znači za vašu organizaciju?

ISO/IEC 27001:2022 objavljen je 25. oktobra 2022. Ovo rezultira sljedećim rokovima i vremenskim okvirima za korisnike za tranziciju:

Posljednji datum za inicijalni/ recertifikacijski audit u skladu sa "starim" ISO 27001:2013 

• Nakon 30. aprila 2024., DQS će provoditi inicijalne i recertifikacijske audite samo prema novom standardu ISO/IEC 27001:2022

Tranzicija svih postojećih certifikata prema "starom" ISO/IEC 27001:2013 na novi ISO/IEC 27001:2022 

• Postoji trogodišnji prelazni period počevši od 31. oktobra 2022. 
• Certifikati izdati u skladu sa ISO/IEC 27001:2013 ili DIN EN ISO/IEC 27001:2017 vrijede najkasnije do 31. oktobra 2025. ili se moraju povući ovog datuma.

DQS: Simply leveraging Quality

Naši certifikacijski auditi pružaju vam jasnoću. Holistički, neutralni pogled spolja na ljude, procese, sisteme i rezultate pokazuje koliko je vaš sistem upravljanja efikasan, kako se implementira i savladava. Važno nam je da naš audit doživljavate ne kao test, već kao obogaćivanje vašeg sistema upravljanja.

Naša tvrdnja uvijek počinje tamo gdje završavaju kontrolne liste audita. Posebno pitamo „zašto“, jer želimo razumjeti motive koji su Vas naveli da odaberete određeni način implementacije. Fokusiramo se na potencijal za poboljšanje i potičemo promjenu perspektive. Na taj način možete identificirati opcije za djelovanje pomoću kojih možete kontinuirano poboljšavati svoj sistem upravljanja.