#27002: Revize normy se zjednodušenou strukturou, novým obsahem a moderním indexováním. V prvním čtvrtletí roku 2022 byla vydána aktualizace normy ISO/IEC 27002 jako předzvěst revize normy ISO/IEC 27001, která se byla publikována ve čtvrtém čtvrtletí roku 2022. Zde si přečtěte, co se v nové normě ISO 27002:2022 změnilo - a co to znamená z hlediska revize normy ISO 27001:2022.

Loading...

ISO 27002 a ISO 27001

Norma ISO 27002 definuje široký katalog obecných bezpečnostních opatření, která by měla společnostem pomoci při implementaci požadavků z přílohy A normy ISO 27001 - a v mnoha IT a bezpečnostních odděleních se prosadila jako praktický standardní průvodce a uznávaný nástroj. Na začátku roku 2022 byla norma ISO 27002 komplexně revidována a aktualizována - což je podle názoru mnoha odborníků opožděný krok vzhledem k dynamickému vývoji v oblasti IT v posledních letech a s vědomím, že normy se revidují z hlediska aktuálnosti každých 5 let.

Pro společnosti s certifikátem ISO 27001 - nebo společnosti, které se chtějí certifikací zabývat v blízké budoucnosti - jsou novinky, které byly nyní zavedeny, důležité ve dvou ohledech: Za prvé, pokud jde o nezbytné aktualizace jejich vlastních bezpečnostních opatření, ale za druhé proto, že tyto změny budou mít dopad na aktualizaci certifikátu. ISO 27001 očekávanou na konci roku, a proto budou relevantní pro všechny budoucí certifikace a recertifikace. Je to tedy dostatečný důvod k tomu, abychom se blíže seznámili s novou normou ISO 27002.

Poznámka: ISO/IEC 27002:2022 Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí - Kontroly bezpečnosti informací. Norma je v současné době vydána pouze v angličtině a lze ji objednat na webových stránkách ISO.

Nová struktura a nová témata

První zřejmou změnou v normě ISO 27002:2022 je aktualizovaná a výrazně zjednodušená struktura normy: namísto dřívějších 114 bezpečnostních opatření (kontrol) ve 14 oddílech obsahuje nyní referenční soubor aktualizované verze ISO 27002 93 kontrol, které jsou přehledně rozděleny a shrnuty do 4 tematických oblastí:

  • 37 bezpečnostních opatření v části "Organizační kontroly".
  • 8 bezpečnostních opatření v oblasti "Kontroly osob".
  • 14 bezpečnostních opatření v oblasti "Fyzické kontroly".
  • 34 bezpečnostních opatření v oblasti "Technologické kontroly".

Navzdory sníženému počtu bezpečnostních opatření byla ve skutečnosti zrušena pouze kontrola "Odstraňování aktiv". Zefektivnění je způsobeno tím, že 24 bezpečnostních opatření ze stávajících kontrol bylo sloučeno a restrukturalizováno tak, aby cíleněji splňovalo cíle ochrany. Dalších 58 bezpečnostních opatření bylo revidováno a přizpůsobeno současným požadavkům.

Nové vydání normy ISO 27002 poskytuje manažerům bezpečnosti informací přesný výhled na změny, které se stanou novou certifikační normou s novým vydáním normy ISO 27001.

Markus Jegelka Expert a auditor DQS pro bezpečnost informací

Nová bezpečnostní opatření

Kromě toho - a to je pravděpodobně nejzajímavější část aktualizace - byla norma ISO 27002 v nové verzi rozšířena o 11 dalších bezpečnostních opatření. Žádné z těchto opatření bezpečnostní experty nepřekvapí, ale dohromady vysílají silný signál a pomáhají společnostem včas vyzbrojit své organizační struktury a bezpečnostní architektury proti současným i budoucím scénářům hrozeb.

Nová opatření jsou následující:

Zpravodajství o hrozbách

Zachycení, konsolidace a analýza aktuálních zpravodajských informací o hrozbách umožňuje organizacím udržet si aktuální stav ve stále dynamičtějším a vyvíjejícím se prostředí hrozeb. Analýza informací o útocích založená na důkazech bude v budoucnu hrát klíčovou roli v oblasti zabezpečení informací, aby bylo možné vyvinout co nejlepší obranné strategie.

Zabezpečení informací při využívání cloudových služeb

Mnoho organizací se dnes spoléhá na cloudové služby. S tím přicházejí nové vektory útoků a s nimi spojené změny a výrazně větší plochy pro útoky. V budoucnu budou muset společnosti zvážit vhodná ochranná opatření pro jejich zavedení, používání a správu a učinit je závaznými ve smluvních pravidlech s poskytovateli cloudových služeb.

Připravenost ICT na zajištění kontinuity provozu

Dostupnost informačních a komunikačních technologií (ICT) a jejich infrastruktur je zásadní pro nepřetržitý provoz podniků. Základem odolnosti organizací jsou plánované cíle kontinuity podnikání a z nich odvozené, implementované a ověřené požadavky na kontinuitu ICT. Požadavky na včasnou technickou obnovu ICT po poruše stanovují životaschopné koncepce kontinuity podnikání.

Monitorování fyzické bezpečnosti

Vloupání, při nichž jsou z podniku odcizeny nebo ohroženy citlivé údaje nebo nosiče dat, představují pro podniky významné riziko. Technické kontroly a monitorovací systémy se ukázaly jako účinné při odrazování potenciálních narušitelů nebo při okamžitém odhalování jejich vniknutí. V budoucnu se stanou standardními součástmi ucelených bezpečnostních koncepcí pro odhalení a odvrácení neoprávněného fyzického přístupu.

Správa konfigurace

Nesprávně nakonfigurované systémy mohou útočníci zneužít k získání přístupu ke kritickým zdrojům. Zatímco dříve byla tato oblast nedostatečně zastoupena jako podmnožina správy změn, nyní se na systematickou správu konfigurace zaměřuje pozornost jako na samostatné bezpečnostní opatření. Vyžaduje, aby organizace sledovaly správnou konfiguraci hardwaru, softwaru, služeb a sítí a aby své systémy vhodně vyztužily.

Mazání informací

Od doby, kdy vstoupilo v platnost obecné nařízení o ochraně osobních údajů, musí mít organizace zavedeny vhodné mechanismy pro vymazání osobních údajů na vyžádání a zajištění toho, aby nebyly uchovávány déle, než je nezbytné. Tento požadavek je v normě ISO 27002 rozšířen na všechny informace. Citlivé informace by neměly být uchovávány déle, než je nezbytné, aby se zabránilo riziku jejich nežádoucího zveřejnění.

Loading...

Průvodce auditem DQS pro ISO 27001

Cenné odborné znalosti

Naše příručka pro audit ISO 27001 - příloha A byla vytvořena předními odborníky jako praktická pomůcka pro implementaci a je ideální pro lepší pochopení vybraných požadavků normy. Příručka zatím neodkazuje na revidovanou normu ISO 27001, která byla zveřejněna 25. 10. 2022.

Maskování dat

Cílem tohoto bezpečnostního opatření je chránit citlivé údaje nebo datové prvky (např. osobní údaje) prostřednictvím maskování, pseudonymizace nebo anonymizace. Rámec pro vhodné provádění těchto technických opatření je dán právními, zákonnými, regulačními a smluvními požadavky.

Prevence úniku dat

Ke zmírnění rizika neoprávněného vyzrazení a získání citlivých údajů ze systémů, sítí a jiných zařízení jsou nutná preventivní bezpečnostní opatření. Potenciální kanály pro nekontrolovaný únik těchto identifikovaných a utajovaných informací (např. elektronická pošta, přenosy souborů, mobilní zařízení a přenosná paměťová zařízení) by měly být monitorovány a v případě potřeby technicky podpořeny aktivními preventivními opatřeními (např. karanténa elektronické pošty).

Monitorovací činnosti

Systémy pro monitorování anomálií v sítích, systémech a aplikacích jsou dnes součástí standardního repertoáru IT oddělení. Stejně tak si požadavek na používání systémů pro detekci útoků našel cestu do současných právních a regulačních požadavků. Průběžné monitorování, automatický sběr a vyhodnocování příslušných parametrů a charakteristik z probíhajících IT operací jsou nezbytnou součástí proaktivní kybernetické obrany a budou i nadále hnacím motorem technologií v této oblasti.

Filtrování webových stránek

Mnoho nedůvěryhodných webových stránek infikuje návštěvníky malwarem nebo čte jejich osobní údaje. Pokročilé filtrování adres URL lze využít k automatickému filtrování potenciálně nebezpečných webových stránek a chránit tak koncové uživatele. Bezpečnostní opatření a řešení na ochranu před škodlivým obsahem na externích webových stránkách jsou v globálně propojeném obchodním světě nezbytná.

Bezpečné kódování

Zranitelnosti v kódu vyvinutém ve firmě nebo v komponentách s otevřeným zdrojovým kódem jsou nebezpečným místem útoku a umožňují kyberzločincům snadno získat přístup ke kritickým datům a systémům. Aktuální směrnice pro vývoj softwaru, automatizované testovací postupy, postupy pro uvolňování změn kódu, správa znalostí vývojářů, ale také promyšlené strategie oprav a aktualizací výrazně zvyšují úroveň ochrany.

Atributy a hodnoty atributů

V normě ISO 27002:2022 byla poprvé zavedena další novinka, která má manažerům bezpečnosti usnadnit orientaci v širokém souboru opatření: V příloze A normy je pro každou kontrolu uloženo pět atributů s příslušnými hodnotami atributů.

Atributy a hodnoty atributů jsou následující:

Typy kontrol

  • Typ kontroly je atribut pro pohled na kontroly z hlediska toho, kdy a jak kontrola mění riziko spojené s výskytem incidentu v oblasti bezpečnosti informací.
  • #preventivní #detektivní #korektivní

Vlastnosti zabezpečení informací

  • Vlastnosti zabezpečení informací je atribut, který lze použít pro pohled na kontroly z hlediska toho, jaký cíl ochrany má kontrola podporovat.
  • #Důvěrnost #Integrita #Dostupnost

Koncepty kybernetické bezpečnosti

  • Koncepty kybernetické bezpečnosti nahlížejí na kontroly z hlediska mapování kontrol na rámec kybernetické bezpečnosti popsaný v normě ISO/IEC TS 27110.
  • #Identifikace #Ochrana #Detekce #Odpověď #Záchrana

Provozní schopnosti

  • Provozní schopnosti nahlížejí na kontroly z pohledu jejich provozních schopností v oblasti bezpečnosti informací a podporují praktický uživatelský pohled na kontroly.
  • #Zabezpečení aplikací #Správa majetku #Kontinuita #Ochrana dat #Řízení #Zabezpečení lidských zdrojů #Řízení identity a přístupu #Řízení událostí v oblasti bezpečnosti informací #Právní předpisy a dodržování předpisů #Fyzické zabezpečení #Zabezpečení konfigurace #Zajištění bezpečnosti #Zabezpečení dodavatelských vztahů #Zabezpečení systému a sítě #Řízení hrozeb a zranitelností

Domény zabezpečení

  • Domény zabezpečení jsou atributem, který lze použít k zobrazení kontrolních mechanismů z pohledu čtyř domén zabezpečení informací
  • #Řízení_a_ekosystém #Ochrana #Obrana #Odolnost

Hodnoty atributů označené hashtagy mají manažerům bezpečnosti usnadnit orientaci v širokém katalogu opatření v průvodci standardem a jejich cílené vyhledávání a hodnocení.

Změny v normě ISO 27002: Závěr

Norma ISO/IEC 27001:2022 byla vydána 25. října 2022. Z toho vyplývají následující lhůty a časové rámce pro přechod uživatelů:

ISO/IEC 27001:2022 připravenost k certifikaci

  • Očekává se od června/července 2023 (v závislosti na německém akreditačním orgánu GmbH (DAkkS)).

Poslední datum pro úvodní/recertifikační audity podle "staré" normy ISO 27001:2013.

  • Po 31. říjnu 2023 bude DQS provádět pouze úvodní a recertifikační audity podle nové normy ISO/IEC 27001:2022.

Přechod všech stávajících certifikátů ze "staré" normy ISO/IEC 27001:2013 na novou normu ISO/IEC 27001:2022

  • Od 31. října 2022 běží tříleté přechodné období.
  • Certifikáty vydané podle normy ISO/IEC 27001:2013 nebo DIN EN ISO/IEC 27001:2017 budou nadále platné nejpozději do 31. října 2025 nebo musí být k tomuto datu zrušeny.
fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Certifikace podle normy ISO 27001

Kolik úsilí musíte vynaložit, abyste získali certifikát ISMS podle normy ISO 27001? Získejte informace zdarma a nezávazně.

Těšíme se na rozhovor s vámi.

Co znamená aktualizace pro vaši certifikaci

Společnosti certifikované podle ISO 27001 se nemusí obávat dalších auditů pro certifikaci nebo recertifikaci: V jádru zůstává známá norma nedotčena a mnohá z nových opatření jsou již pravděpodobně tak jako tak zakotvena v osvědčených postupech společnosti. Nicméně stejně jako v případě jakékoli jiné certifikace se týmům doporučuje, aby dostatečně dopředu plánovaly a pečlivě se připravily na audit systému řízení bezpečnosti informací (ISMS). Neexistuje žádný časový tlak: po zveřejnění normy (které se očekává ve čtvrtém čtvrtletí roku 2022) bude na přechod na novou normu ISO 27001:2022 36 měsíců.

DQS: Jednoduše využívat kvalitu

Naše certifikační audity vám zajistí přehlednost. Celostní, neutrální pohled zvenčí na lidi, procesy, systémy a výsledky ukazuje, jak efektivní je váš systém řízení, jak je implementován a zvládnut. Je pro nás důležité, abyste náš audit nevnímali jako zkoušku, ale jako obohacení vašeho systému řízení.

Naše tvrzení vždy začíná tam, kde končí kontrolní seznamy auditu. Výslovně se ptáme "proč", protože chceme pochopit pohnutky, které vás vedly k volbě určitého způsobu implementace. Zaměřujeme se na potenciál ke zlepšení a podporujeme změnu pohledu. Tímto způsobem můžete identifikovat možnosti opatření, pomocí kterých můžete svůj systém řízení neustále zlepšovat.

Autor
André Saeckel

Produktový manažer společnosti DQS pro řízení bezpečnosti informací. Jako odborník na normy pro oblast informační bezpečnosti a bezpečnostního katalogu IT (kritické infrastruktury) je André Säckel zodpovědný mimo jiné za následující normy a oborové normy: ISO 27001, ISIS12, ISO 20000-1, KRITIS a TISAX (bezpečnost informací v automobilovém průmyslu). Je také členem pracovní skupiny ISO/IEC JTC 1/SC 27/WG 1 jako národní delegát Německého institutu pro normalizaci DIN.

Loading...