Az ISO 27002 felülvizsgálata - Ezek a változások

• ISO 27002 és ISO 27001
• Új struktúra és új témakörök
• Új biztonsági intézkedések
• Attribútumok és attribútumértékek
• Változások a 27002-ben: Összegzés
• Mit jelent a frissítés az Ön tanúsítása szempontjából
• DQS: Egyszerűen kihasználva a minőséget.

ISO 27002 és ISO 27001

Az ISO 27002 az általános biztonsági intézkedések széles körű katalógusát határozza meg, amelynek támogatnia kell a vállalatokat az ISO 27001 A. mellékletében szereplő követelmények végrehajtásában - és elismert eszközként számos IT- és biztonsági osztályon gyakorlati szabványos útmutatóként honosodott meg. 2022 elején az ISO 27002 szabványt átfogóan felülvizsgálták és frissítették - sok szakértő véleménye szerint ez a lépés már régóta esedékes volt, figyelembe véve az informatika utóbbi évek dinamikus fejlődését, és tudva, hogy a szabványokat 5 évente felülvizsgálják a naprakészség szempontjából.

Az ISO 27001 tanúsítvánnyal rendelkező - vagy a közeljövőben a tanúsítással foglalkozni kívánó - vállalatok számára a most bevezetett újítások két szempontból is relevánsak: Egyrészt a saját biztonsági intézkedéseik szükséges frissítései tekintetében, másrészt pedig azért, mert ezek a változások hatással lesznek a következők aktualizálására ISO 27001 várhatóan az év végére, és ezért minden jövőbeli tanúsítás és újratanúsítás szempontjából relevánsak lesznek. Elég ok tehát arra, hogy közelebbről is megvizsgáljuk az új ISO 27002-t.

Új szerkezet és új témakörök

Az ISO 27002:2022 első nyilvánvaló változása a szabvány frissített és jelentősen racionalizált szerkezete: a korábbi 114 biztonsági intézkedés (ellenőrzés) helyett, amelyek 14 szakaszban voltak, az ISO 27002 frissített változatának referenciakészlete most 93 ellenőrzést tartalmaz, amelyek egyértelműen 4 témakörre vannak felosztva és összefoglalva:

• 37 biztonsági intézkedés a "Szervezeti ellenőrzések" szakaszban
• 8 biztonsági intézkedés az "Emberek ellenőrzései" területen
• 14 biztonsági intézkedés a "Fizikai ellenőrzések" területén.
• 34 biztonsági intézkedés a "Technológiai ellenőrzések" területén.

A biztonsági intézkedések csökkentett száma ellenére ténylegesen csak a "Vagyontárgyak eltávolítása" ellenőrzés került törlésre. A racionalizálás annak köszönhető, hogy a meglévő ellenőrzésekből 24 biztonsági intézkedést összevontak és átstrukturáltak, hogy a védelmi célokat célzottabban lehessen elérni. További 58 biztonsági intézkedést felülvizsgáltak és a kor követelményeinek megfelelően kiigazítottak.

Új biztonsági intézkedések

Továbbá - és ez talán a legizgalmasabb része a frissítésnek - az ISO 27002 az új változatban 11 további biztonsági intézkedéssel bővült. Ezen intézkedések egyike sem lesz meglepetés a biztonsági szakértők számára, de együttesen erős jelzést adnak, és segítenek a vállalatoknak abban, hogy szervezeti struktúráikat és biztonsági architektúráikat időben felvértezzék a jelenlegi és jövőbeli fenyegetettségi forgatókönyvekkel szemben.

Az új intézkedések a következők:

Fenyegetés-felderítés

Az aktuális fenyegetettségi információk rögzítése, konszolidálása és elemzése lehetővé teszi a szervezetek számára, hogy naprakészek maradjanak az egyre dinamikusabban fejlődő és fejlődő fenyegetettségi környezetben. A jövőben a támadási információk bizonyítékokon alapuló elemzése kulcsszerepet fog játszani az információbiztonságban a lehető legjobb védelmi stratégiák kidolgozása érdekében.

Információbiztonság a felhőszolgáltatások használatához

Manapság számos szervezet támaszkodik felhőalapú szolgáltatásokra. Ezzel együtt új támadási vektorok és kísérő változások, valamint jelentősen nagyobb támadási felületek jönnek létre. A jövőben a vállalatoknak megfelelő védelmi intézkedéseket kell mérlegelniük a bevezetésük, használatuk, kezelésük során, és ezeket kötelezővé kell tenniük a felhőszolgáltatókkal kötött szerződéses szabályaikban.

IKT-felkészültség az üzletmenet folytonosságára

Az információs és kommunikációs technológia (IKT) és infrastruktúráinak rendelkezésre állása alapvető fontosságú a vállalatok folyamatos üzleti működéséhez. Az ellenálló szervezetek alapját a tervezett üzletmenet-folytonossági célkitűzések és az ezekből levezetett, megvalósított és ellenőrzött IKT-folytonossági követelmények képezik. Az IKT meghibásodás utáni időben történő, technikai helyreállítására vonatkozó követelmények életképes üzletmenet-folytonossági koncepciókat hoznak létre.

Fizikai biztonsági felügyelet

Az olyan betörések, amelyek során érzékeny adatokat vagy adathordozókat lopnak el a vállalatból vagy veszélyeztetik azokat, jelentős kockázatot jelentenek a vállalatok számára. A műszaki ellenőrzések és a felügyeleti rendszerek hatékonynak bizonyultak a potenciális behatolók elriasztásában vagy behatolásuk azonnali észlelésében. A jövőben ezek a holisztikus biztonsági koncepciók standard összetevői lesznek az illetéktelen fizikai hozzáférés felderítésére és megakadályozására szolgáló holisztikus biztonsági koncepcióknak.

Konfigurációkezelés

A helytelenül konfigurált rendszerekkel a támadók visszaélhetnek, hogy hozzáférjenek a kritikus erőforrásokhoz. Bár korábban a változáskezelés részhalmazaként alulreprezentálták, a szisztematikus konfigurációkezelés ma már önálló biztonsági intézkedésként kerül a figyelem középpontjába. Ez megköveteli a szervezetektől, hogy figyelemmel kísérjék a hardver, a szoftver, a szolgáltatások és a hálózatok megfelelő konfigurációját, és megfelelően keményítsék a rendszereiket.

Információ törlése

Az általános adatvédelmi rendelet hatályba lépése óta a szervezeteknek megfelelő mechanizmusokkal kell rendelkezniük a személyes adatok kérésre történő törlésére, és biztosítaniuk kell, hogy azokat ne őrizzék meg a szükségesnél hosszabb ideig. Ezt a követelményt az ISO 27002 szabvány minden információra kiterjeszti. Az érzékeny információkat nem szabad a szükségesnél tovább megőrizni a nem kívánt nyilvánosságra hozatal kockázatának elkerülése érdekében.

Adatmaszkírozás

Ennek a biztonsági intézkedésnek a célja az érzékeny adatok vagy adatelemek (pl. személyes adatok) védelme maszkolás, álnevesítés vagy anonimizálás révén. E technikai intézkedések megfelelő végrehajtásának kereteit jogi, jogszabályi, szabályozási és szerződéses követelmények biztosítják.

Az adatszivárgás megelőzése

Megelőző biztonsági intézkedésekre van szükség a rendszerekből, hálózatokból és egyéb eszközökből származó érzékeny adatok jogosulatlan nyilvánosságra hozatalának és kivonásának kockázatának mérséklése érdekében. Az ilyen azonosított és minősített információk ellenőrizetlen kiszivárgásának potenciális csatornáit (pl. e-mail, fájlátvitel, mobileszközök és hordozható tárolóeszközök) figyelemmel kell kísérni, és szükség esetén aktív megelőző intézkedésekkel (pl. e-mail karantén) kell technikailag támogatni.

Monitoringtevékenységek

A hálózatok, rendszerek és alkalmazások rendellenességeit figyelő rendszerek ma már az informatikai részlegek standard repertoárjának részét képezik. Hasonlóképpen, a támadások észlelésére szolgáló rendszerek használatának követelménye helyet kapott a jelenlegi jogi és szabályozási követelményekben. A folyamatos megfigyelés, a megfelelő paraméterek és jellemzők automatikus gyűjtése és értékelése a folyamatban lévő informatikai műveletekből elengedhetetlen a proaktív kibervédelemben, és ez a terület technológiáit továbbra is ösztönözni fogja.

Webszűrés

Számos nem megbízható weboldal fertőzi meg a látogatókat rosszindulatú szoftverekkel, vagy olvassa ki személyes adataikat. A fejlett URL-szűrés segítségével automatikusan kiszűrhetők a potenciálisan veszélyes weboldalak a végfelhasználók védelme érdekében. A külső webhelyek rosszindulatú tartalma elleni biztonsági intézkedések és megoldások alapvető fontosságúak a globálisan összekapcsolt üzleti világban.

Biztonságos kódolás

A házon belül fejlesztett kód vagy nyílt forráskódú komponensek sebezhetőségei veszélyes támadási pontot jelentenek, lehetővé téve a kiberbűnözők számára, hogy könnyen hozzáférjenek a kritikus adatokhoz és rendszerekhez. A naprakész szoftverfejlesztési irányelvek, az automatizált tesztelési eljárások, a kódváltozásokra vonatkozó kiadási eljárások, a fejlesztők tudásmenedzsmentje, de a jól átgondolt javítási és frissítési stratégiák is jelentősen növelik a védelem szintjét.

Attribútumok és attribútumértékek

Az ISO 27002:2022 szabványban először egy másik újítást is bevezettek, hogy segítsenek a biztonsági vezetőknek eligazodni az intézkedések széles skáláján: A szabvány A. mellékletében minden egyes ellenőrzéshez öt attribútumot tárolnak a hozzájuk tartozó attribútumértékekkel.

Az attribútumok és attribútumértékek a következők:

Ellenőrzési típusok

• Az ellenőrzés típusa egy attribútum az ellenőrzések abból a szempontból történő megtekintéséhez, hogy egy ellenőrzés mikor és hogyan változtatja meg az információbiztonsági incidens bekövetkezésével kapcsolatos kockázatot.
• #preventív #detektív #korrektív

Információbiztonsági tulajdonságok

• Az információbiztonsági tulajdonságok olyan attribútum, amely az ellenőrzések abból a szempontból történő megtekintésére használható, hogy az ellenőrzés milyen védelmi célt hivatott támogatni.
• #Confidentiality #Integrity #Availability (Bizalmasság)

Kiberbiztonsági fogalmak

• A kiberbiztonsági koncepciók az ISO/IEC TS 27110 szabványban leírt kiberbiztonsági keretrendszerhez való hozzárendelés szempontjából vizsgálják az ellenőrzéseket.
• #Identify #Protect #Detect #Respond #Recover

Működési képességek

• Az operatív képességek az ellenőrzéseket az operatív információbiztonsági képességek szempontjából vizsgálják, és támogatják az ellenőrzések gyakorlati felhasználói szemléletét.
• #Alkalmazásbiztonság #Vagyonkezelés #Folytonosság #Adatvédelem #Kormányzás #Humánerőforrás biztonság #Identitás- és hozzáférés-kezelés #Információbiztonsági eseménykezelés #Jog és megfelelés #Fizikai biztonság #Biztonságos konfiguráció #Biztonságbiztosítás #Beszállítói kapcsolatok biztonsága #Rendszer- és hálózatbiztonság #Fenyegetések és sebezhetőségek kezelése.

Biztonsági területek

• A biztonsági területek egy olyan attribútum, amely az ellenőrzések négy információbiztonsági terület szemszögéből történő megtekintéséhez használható
• #Governance_and_Ecosystem #Protection #Defence #Resilience

A hashtagekkel jelölt attribútumértékek célja, hogy a biztonsági vezetők könnyebben eligazodjanak a szabványos útmutatóban szereplő intézkedések széles katalógusában, és célzottan kereshessenek és értékelhessenek.

Változások az ISO 27002 szabványban: Következtetés

Az ISO 27002 új kiadása pontos kitekintést nyújt az információbiztonsági vezetők számára azokról a változásokról, amelyek az ISO 27001 új kiadásával az új tanúsítási szabvánnyá válnak. Ugyanakkor az újítások kezelhető keretek között maradnak: Az intézkedések katalógusának átalakítása átláthatóbbá teszi a szabványt, és kétségtelenül a helyes irányba tett lépés a biztonsági architektúrák növekvő összetettsége és csökkenő átláthatósága miatt. Az újonnan felvett intézkedések a tapasztalt biztonsági szakértők számára sem lesznek meglepőek, és jelentősen modernizálják az elavult ISO-szabványt.

Mit jelent a frissítés az Ön tanúsítása szempontjából

Az ISO/IEC 27001:2022 szabványt 2022. október 25-én tették közzé. Ez a következő határidőket és időkereteket eredményezi a felhasználók számára az átállásra:

A "régi" ISO 27001:2013 szerinti kezdeti/újratanúsítási auditok utolsó dátuma.

• 2024. április 30. után a DQS kizárólag az új ISO/IEC 27001:2022 szabvány szerinti kezdeti és újratanúsítási auditokat fog végezni.

A "régi" ISO/IEC 27001:2013 szabvány szerinti összes meglévő tanúsítvány átállítása az új ISO/IEC 27001:2022 szabványra.

• 2022. október 31-től kezdődően 3 éves átmeneti időszak áll rendelkezésre.
• Az ISO/IEC 27001:2013 vagy DIN EN ISO/IEC 27001:2017 szerint kiadott tanúsítványok legkésőbb 2025. október 31-ig érvényesek, vagy ezen a napon vissza kell vonni őket.

DQS: A minőség egyszerű kihasználása

Tanúsítási auditjaink tisztánlátást biztosítanak Önnek. A holisztikus, semleges külső szemlélet az emberekről, folyamatokról, rendszerekről és eredményekről megmutatja, hogy mennyire hatékony az Ön irányítási rendszere, hogyan valósul meg és hogyan sajátítják el. Fontos számunkra, hogy auditunkat ne tesztként, hanem az Ön irányítási rendszerének gazdagításaként fogadja fel.

Igényünk mindig ott kezdődik, ahol az audit ellenőrző listák véget érnek. Kifejezetten megkérdezzük, hogy "miért", mert meg akarjuk érteni azokat a motívumokat, amelyek arra vezettek, hogy Ön a megvalósítás egy bizonyos módját választotta. A javítási lehetőségekre összpontosítunk, és a szemléletváltásra ösztönözzük. Így azonosíthatja azokat a cselekvési lehetőségeket, amelyekkel folyamatosan javíthatja irányítási rendszerét.