Revizija ISO 27002 - Ovo su promjene

• ISO 27002 i ISO 27001
• Nova struktura i nove teme
• Nove sigurnosne mjere
• Atributi i vrijednosti atributa
• Promjene u 27002: Zaključak
• Što ažuriranje znači za vašu certifikaciju
• DQS: Simply leveraging Quality.

ISO 27002 i ISO 27001

ISO 27002 definira široki katalog općih sigurnosnih mjera koje bi organizacijama trebale dati podršku u implementaciji zahtjeva iz Dodatka A norme ISO 27001 - u mnogim se IT i sigurnosnim odjelima već koristi kao priznati alat i praktični vodič za normu. Norma ISO 27002 sveobuhvatno je revidirana i ažurirana početkom 2022. godine - zakašnjeli korak prema ja mnogih stručnjaka, s obzirom na dinamičan razvoj u informacijskoj tehnologiji posljednjih godina i činjenicu da se norme revidiraju svakih 5 godina kako bi se utvrdilo jesu li dovoljno suvremene. 

Za organizacije s ISO 27001 certifikatom - ili organizacije koje se uskoro žele uhvatiti u koštac s certifikacijom - inovacije koje su sada uvedene relevantne su zbog dva razloga: prvo, u pogledu potrebnih ažuriranja vlastitih sigurnosnih mjera; a zatim i zbog utjecaja koji će ove promjene imati na ažuriranje norme ISO 27001 koje se očekuje krajem godine i koje će biti relevantno ta sve buduće certifikacije i recertifikacije. To je dovoljan razlog da pobliže pogledamo novu normu ISO 27002.

Nova struktura i nove teme

Prva očita promjena u ISO 27002:2022 je ažurirana i znatno pojednostavljena struktura norme: umjesto prijašnjih 114 sigurnosnih mjera (kontrola) u 14 dijelova, referentni skup ažuriranog izdanja ISO 27002 sada čine 93 kontrole, koje su jasno podijeljene i sažete u 4 tematska područja:

• 37 sigurnosne mjere u području "Organizacijske kontrole"
• 8 sigurnosnih mjera u području "Kontrole ljudi"
• 14 sigurnosnih mjera u području "Fizičke kontrole"
• 34 sigurnosne mjere u području "Tehnološke kontrole"

Usprkos smanjenom broju sigurnosnih mjera, zapravo je izbrisana samo kontrola "Uklanjanje imovine". Pojednostavljenje se odnosi na činjenicu da su 24 sigurnosne mjere iz postojećih kontrola spojene i restrukturirane kako bi se ciljevi zaštite ispunili na fokusiraniji način. Daljnjih 58 sigurnosnih mjera je revidirano i prilagođeno suvremenim zahtjevima.

Nove sigurnosne mjere

Nadalje - a ovo je vjerojatno najuzbudljiviji dio ažuriranja - ISO 27002 je proširen s 11 dodatnih sigurnosnih mjera u novom izdanju. Ove mjere neće iznenaditi sigurnosne stručnjake, ali zajedno šalju snažan signal i organizacijama pomažu da pravovremeno naoružaju svoje organizacijske strukture i sigurnosne arhitekture protiv trenutnih i budućih scenarija prijetnji.

Nove mjere su:

Obavještajni podaci o prijetnjama

Prikupljanje, konsolidiranje i analiza trenutnih obavještajnih podataka o prijetnjama organizacijama omogućuje ostanu u toku u sve dinamičnijem i evoluirajućem okruženju prijetnji. U budućnosti će analiza informacija o napadima koja se temelji na dokazima igrati ključnu ulogu u informacijskoj sigurnosti kako bi se razvile najbolje moguće obrambene strategije.

Informacijska sigurnost za korištenje usluga u oblaku

Mnoge organizacije se danas oslanjaju na usluge u oblaku. S time dolaze novi vektori napada i popratne promjene i znatno veće površine napada. U budućnosti će organizacije morati razmotriti odgovarajuće mjere zaštite za njihovo uvođenje, korištenje, administraciju te ih učiniti obveznima u svojim ugovornim pravilima s pružateljima usluga u oblaku.

Spremnost informacijsko-komunikacijske tehnologije (ICT) u kontekstu neprekidnosti poslovanja

Dostupnost informacijsko-komunikacijskih tehnologija (ICT) i njihovih infrastruktura ključna je za kontinuirano poslovanje poduzeća. Osnovu otpornih organizacija čine planirani ciljevi neprekidnosti poslovanja i zahtjevi za kontinuitet informacijsko-komunikacijskih tehnologija koji su izvedeni, implementirani i verificirani iz njih. Zahtjevima za pravovremeni, tehnički oporavak informacijsko-komunikacijskih tehnologija nakon prekida uspostavljaju se održivi koncepti neprekidnosti poslovanja.

Praćenje fizičke sigurnosti

Provale u kojima su osjetljivi podaci ili nosači podataka ukradeni iz organizacije ili su kompromitirani predstavljaju značajan rizik za organizacije. Tehničke kontrole i sustavi nadzora pokazali su se djelotvornima u odvraćanju potencijalnih uljeza ili brzom otkrivanju njihovih upada. U budućnosti će to biti standardne komponente holističkih sigurnosnih koncepata za otkrivanje i odvraćanje neovlaštenog fizičkog pristupa.

Upravljanje konfiguracijom

Napadači mogu zloupotrijebiti nepravilno konfigurirane sustave kako bi dobili pristup kritičnim resursima. Dok je prethodno bilo nedovoljno zastupljeno kao podskup upravljanja promjenama, sada je sustavno upravljanje konfiguracijom samostalna sigurnosna mjera. Organizacije moraju nadzirati ispravne konfiguracije svoje računalne opreme, programske podrške, usluga i mreža, i odgovarajuće ojačati svoje sustave.

Brisanje informacija

Otkako je Opća uredba o zaštiti podataka stupila na snagu, organizacije moraju imati odgovarajuće mehanizme za brisanje osobnih podataka na zahtjev i osiguravanje da se podaci ne zadržavaju dulje nego što je to potrebno. Ovaj zahtjev je proširen na sve informacije u ISO 27002. Osjetljive podatke ne bi se trebalo čuvati dulje nego što je to potrebno kako bi se izbjegao rizik neželjenog otkrivanja.

Maskiranje podataka

Cilj ove sigurnosne mjere je zaštititi osjetljive podatke i elemente podataka (npr. osobne podatke) maskiranjem, pseudonomizacijom, ili anonimizacijom. Okvir za odgovarajuću provedbu tih tehničkih mjera daju zakonski, statutarni, regulatorni i ugovorni zahtjevi.

Sprječavanje curenja podataka

Potrebne su preventivne sigurnosne mjere kako bi se smanjio rizik neovlaštenog otkrivanja i izvlačenja osjetljivih podataka iz sustava, mreži, i drugih uređaja. Potencijalne kanale za nekontrolirano curenje ovih identificiranih i klasificiranih podataka (npr. e-pošta, prijenosi datoteka, mobilni uređaji, i prijenosni uređaji za pohranu) treba nadzirati i, prema potrebi, tehnički podržati mjerama aktivne prevencije (npr. karantena e-pošte).

Aktivnosti nadzora

Sustavi za nadzor anomalja u mrežama, sustavima i aplikacijama su sada dio standardnog repertoara u IT odjelima. Isto tako su i zahtjevi za korištenje sustava za otkrivanje napada postali dio trenutnih zakonskih i regulatornih zahtjeva. Stalno praćenje, automatsko prikupljanje i procjena odgovarajućih parametara i karakteristika iz tekućih IT operacija nužni su u proaktivnoj kibernetičkoj obrani i nastavit će pokretati tehnologije u ovom području. 

Web filtriranje

Mnoge nepouzdane internetske stranice mogu zaraziti posjetitelje zlonamjernim programima ili čitati njihove osobne podatke. Napredno URL filtiranje može se koristiti za automatsko filtriranje potencijalno opasnih internetskih stranica kako bi se zaštitili krajnji korisnici. Sigurnosne mjere i rješenja za zaštitu protiv zlonamjernog sadržaja na vanjskim internetskim stranicama ključna su u globalno povezanom poslovnom svijetu.

Sigurno kodiranje

Ranjivosti u interno razvijenom kodu ili komponentama otvorenog koda opasna su točka napada koje kibernetičkim kriminalcima omogućuju olakšan pristup kritičkim podacima i sustavima. Ažurirane smjernice za razvoj programske podrške, automatizirani postupci testiranja, postupci za puštanje promjena koda, upravljanje znanjem za programere, ali i dobro promišljene strategije zakrpa i ažuriranja značajno povećavaju razinu zaštite.

Atributi i vrijednosti atributa

Još jedna inovacija je po prvi put uvedena u ISO 27002:2022 kako bi se upraviteljima sigurnosti pomoglo navigirati kroz opsežnu kombinaciju mjera: u Dodatku A norme svakoj je mjeri dodijeljeno pet atributa s pridruženom vrijednostima atributa.

Atributi i vrijednosti atributa su:

Vrste kontrole

• Vrsta kontrole je atribut za pogled na kontrole iz perspektive kada i kako mjera mijenja rizik povezan s pojavom incidenta informacijske sigurnosti.
• #preventiva #otkrivanje #popravljanje

Svojstva informacijske sigurnosti

• Svojstva informacijske sigurnosti su atribut za pogled na kontrole iz perspektive cilja zaštite koji mjera treba podržati.
• #povjerljivost #integritet #dostupnost

Koncepti kibernetičke sigurnosti

• Koncepti kibernetičke sigurnosti gledaju na kontrole iz perspektive načina na koji se one preslikavaju na okvir kibernetičke sigurnosti opisan u ISO/IEC TS 27110.
• #identifikacija #zaštita #otkrivanje #odgovor #oporavak

Operativne sposobnosti

• Operativne sposobnosti razmatraju kontrole iz perspektive njihovih operativnih sposobnosti informacijske sigurnosti i podržavaju praktični korisnički pogled na mjere.
• #Sigurnost aplikacija #Upravljanje imovinom #Kontinuitet #Zaštita podataka #Upravljanje #Sigurnost ljudskih resursa #Upravljanje identitetom i pristupom #Upravljanje događajima informacijske sigurnosti #Zakoni i usklađenost #Fizička sigurnost #Sigurna konfiguracija #Jamstvo sigurnosti #Sigurnost odnosa s dobavljačima #Sigurnost sustava i mreža #Upravljanje prijetnjama i ranjivostima

Sigurnosne domene

• Sigurnosne domene su atribut koji omogućava da se na kontrole gleda iz perspektive četiri domene informacijske sigurnosti.
• #Upravljanje_i_Ekosustav #Zaštita #Obrana #Otpornost

Vrijednosti atributa označene hashtagovima trebale bi upraviteljima sigurnosti olakšati snalaženje u širokom katalogu mjera u vodiču norme i njihovo ciljano pretraživanje i ocjenjivanje.

Promjene u ISO 27002: Zaključak

Novo izdanje ISO 27002 upraviteljima informacijske sigurnosti daje precizan pogled na promjene koje će postati nova certifikacijska norma s novim izdanjem ISO 27001. U isto vrijeme, inovacije ostaju unutar praktičnog okvira: restrukturiranje kataloga mjera normu čini transparentnijom i nedvojbeno je korak u pravom smjeru s obzirom na sve veću složenost i sve manju transparentnost sigurnosnih arhitektura. Novouvrštene mjere neće biti iznenađenje za iskusne sigurnosne stručnjake i značajno će modernizirati zastarjele ISO norme.

Što ažuriranje znači za vašu certifikaciju

ISO/IEC 27001:2022 objavljen je 25. listopada, 2022. To rezultira sljedećim prijelaznim vremenskim okvirima i rokovima za korisnike norme:

Posljednji datum za audite za inicijalnu certifikaciju ili recertifikaciju prema "staroj" normi ISO 27001:2013 

• Nakon 30. travnja 2024. DQS će provoditi certifikacijske i recertifikacijske audite isključivo prema novom standardu ISO/IEC 27001:2022

Prijelaz svih postojećih certifikata sa "stare" ISO/IEC 27001:2013 na novu normu ISO/IEC 27001:2022 

• Prijelazni period od 3 godine započinje 1. listopada 2022.
• Certifikati izdani prema normi ISO/IEC 27001:2013 ili DIN EN ISO/IEC 27001:2017 valjani su najkasnije do 31. listopada 2025., ili na ovaj datum trebaju biti povučeni. 

DQS: Simply leveraging Quality

Naši certifiakcijski auditi pržaju vam jasnoću. Holistički, neutralni pogeld izvana na ljude, procese, sustave i rezultate pokazuje koliko je sustav djelotvoran, kako je implemntiran i kako se njime upravlja. Važno nam je da audit ne vidite kao test, već kao obogaćivanje vašeg sustava upravljanja.

Naše tvrdnje počinju gdje provjerni popisi završavaju. Posebno pitamo "zašto", jer želimo razumjeti motive koji su doveli do izbora određenog načina implementacije. Usredotočeni smo na potencijal za poboljšanje i potičemo promjenu perspektive. Na taj način možete identificirati prilike za djelovanje kojim možete stalno poboljšavati svoj sustav upravljanja.