De huidige cyberdreigingslandschappen veranderen snel. In lijn hiermee is het essentieel om de systematische bescherming van informatiebeveiliging voortdurend up-to-date te houden en verder te ontwikkelen - met een moderne, brede en flexibele catalogus van hedendaagse informatiebeveiligingsmaatregelen. De nieuwe ISO/IEC 27001:2022 ondersteunt precies dit doel en biedt elf nieuwe controles, waarvan we er hieronder drie nader bekijken, die effectief zijn bij het voorkomen en detecteren van aanvallen.

Loading...

De implementatie van de maatregelen uit Bijlage A in de huidige versie wordt ondersteund door de identiek gestructureerde implementatierichtlijnen van ISO/IEC 27002:2022, die al in februari zijn bijgewerkt. Generieke controles voor strategische aanvalspreventie en snellere detectie zijn nieuw opgenomen.

Drie nieuwe controles voor detectie en preventie

De nu 93 maatregelen in Bijlage A van ISO/IEC 27001:2022 zijn in het kader van de update onderverdeeld in vier onderwerpen

  • Organisatorische maatregelen,
  • Persoonlijke maatregelen,
  • Fysieke maatregelen en
  • Technologische maatregelen.

Drie van de elf nieuw geïntroduceerde controles voor informatiebeveiliging hebben betrekking op de preventie en tijdige detectie van cyberaanvallen. Deze drie controles zijn

  • 5.7 Informatie over bedreigingen (organisatorisch).
  • 8.16 Bewakingsactiviteiten (technologisch)
  • 8.23 Webfiltering (technologisch).

Hieronder gaan we dieper in op deze 3 nieuwe controles.

Informatie over bedreigingen

Organizational control 5.7 gaat over het systematisch verzamelen en analyseren van informatie over relevante bedreigingen. Het doel van de maatregel is om organisaties bewust te maken van hun eigen bedreigingssituatie, zodat ze vervolgens passende maatregelen kunnen nemen om het risico te beperken. Dreigingsgegevens moeten op een gestructureerde manier worden geanalyseerd volgens drie aspecten: strategisch, tactisch en operationeel.

Strategische dreigingsanalyse biedt inzicht in veranderende dreigingslandschappen, zoals typen aanvallen en de actoren, bijv. door de staat gemotiveerde actoren, cybercriminelen, contractaanvallers, hacktivisten. Nationale en internationale overheidsinstanties (zoals BSI - German Federal Office for Information Security, enisa - European Union Agency for Cybersecurity, U.S. Department of Homeland Security of NIST - National Institute of Standards and Technology), evenals non-profitorganisaties en relevante fora, bieden goed onderzochte informatie over bedreigingen in alle sectoren en kritieke infrastructuren.

CTA picture for FAQ ISO 27001
Loading...

ISO/IEC 27001:2022 Q&A

De nieuwe standaard voor informatiebeveiliging: 38 vragen en antwoorden

Alles wat u moet weten over "The New Kid on the Block" voor informatiebeveiliging.

  • Wat houden de nieuwe controles in?
  • Wanneer moeten we overstappen op de nieuwe standaard?
  • Waar kan ik een lijst vinden van oude en nieuwe overeenkomsten?
  • ... en nog 35 andere!

Cyberaanvallen blijven te lang onopgemerkt

De eminente waarde van informatie en data in de 21e eeuwse zakenwereld dwingt bedrijven en organisaties steeds meer om zich te richten op informatiebeveiliging en te investeren in de systematische bescherming van hun digitale activa. Waarom? In dynamische bedreigingslandschappen worden de tactieken van aanvallers steeds geraffineerder en gelaagder - met als gevolg ernstige schade aan het imago en de reputatie van getroffen bedrijven en miljarden dollars aan jaarlijkse economische verliezen wereldwijd.

Deskundigen zijn het erover eens dat er geen volledige bescherming meer is tegen cyberaanvallen - al was het maar vanwege de menselijke factor van onzekerheid. Dit maakt vroegtijdige detectie van potentiële en daadwerkelijke aanvallen des te belangrijker om hun laterale vector in bedrijfsnetwerken te beperken en het aantal aangetaste systemen zo laag mogelijk te houden. Maar er is nog een enorme inhaalslag te maken op dit gebied: uit onderzoek in het kader van IBM's"Cost of a data breach 2022"-studie blijkt dat het in 2022 gemiddeld 277 dagen duurde om een aanval op te sporen en in te dammen.

De nieuwe ISO 27001:2022

Om bedrijven en organisaties te helpen met een eigentijds, gestandaardiseerd kader voor managementsystemen voor informatiebeveiliging, heeft ISO op 25 oktober 2022 de nieuwe ISMS-norm ISO/IEC 27001:2022 gepubliceerd. Bijlage A biedt controles/maatregelen die op bedrijfsspecifieke basis kunnen worden gebruikt om informatiebeveiligingsrisico's aan te pakken.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop
Loading...

Bekijk het nu: wat verandert er met de nieuwe ISO/IEC 27001:2022

De nieuwe versie van ISO/IEC 27001, aangepast aan hedendaagse informatierisico's, is op 25 oktober 2022 gepubliceerd. Wat betekent dit voor gebruikers van de norm? In onze gratis webinaropname komt u meer te weten over

  • Nieuwe kenmerken van ISO/IEC 27001:2022 - Framework en bijlage A
  • ISO/IEC 27002:2022-02 - structuur, inhoud, attributen en hashtags
  • Tijdlijn voor de overgang en uw volgende stappen

De implementatie van de maatregelen uit bijlage A in de huidige versie wordt ondersteund door de identiek gestructureerde implementatierichtlijnen van ISO/IEC 27002:2022, die al in februari zijn bijgewerkt. Generieke controles voor strategische aanvalspreventie en snellere detectie zijn nieuw opgenomen.

Drie nieuwe controles voor detectie en preventie

De nu 93 maatregelen in bijlage A van ISO/IEC 27001:2022 zijn in het kader van de update onderverdeeld in vier onderwerpen

  • Organisatorische maatregelen,
  • Persoonlijke maatregelen,
  • Fysieke maatregelen en
  • Technologische maatregelen.

Drie van de elf nieuw geïntroduceerde controles voor informatiebeveiliging hebben betrekking op de preventie en tijdige detectie van cyberaanvallen. Deze drie controles zijn

  • 5.7 Informatie over bedreigingen (organisatorisch).
  • 8.16 Bewakingsactiviteiten (technologisch)
  • 8.23 Webfiltering (technologisch).

Hieronder gaan we nader in op deze 3 nieuwe controles.

Bedreigingsintelligentie

De organisatorische controle 5.7 heeft betrekking op het systematisch verzamelen en analyseren van informatie over relevante bedreigingen. Het doel van de maatregel is organisaties bewust te maken van hun eigen bedreigingssituatie, zodat zij vervolgens passende maatregelen kunnen nemen om het risico te beperken. Dreigingsgegevens moeten op gestructureerde wijze worden geanalyseerd aan de hand van drie aspecten: strategisch, tactisch en operationeel.

Strategische dreigingsanalyse biedt inzicht in veranderende dreigingslandschappen, zoals typen aanvallen en de actoren, bijvoorbeeld staatsgemotiveerde actoren, cybercriminelen, contractaanvallers, hacktivisten. Nationale en internationale overheidsinstanties (zoals BSI - Duits Federaal Bureau voor Informatiebeveiliging, enisa - Agentschap voor Cyberveiligheid van de Europese Unie, U.S. Department of Homeland Security of NIST - National Institute of Standards and Technology), alsook non-profitorganisaties en relevante fora, bieden goed onderbouwde informatie over bedreigingen in alle sectoren en kritieke infrastructuren.

Loading...

DQS auditrichtlijn voor ISO 27001

Waardevolle kennis

Onze auditgids ISO 27001 - Bijlage A is opgesteld door vooraanstaande deskundigen als een praktische implementatiegids en is een uitstekende manier om de geselecteerde normvereisten beter te begrijpen. De gids verwijst nog niet naar de herziene versie van ISO 27001 van oktober 2022.

Tactische dreigingsinformatie en de evaluatie daarvan bieden beoordelingen van de methoden, tools en technologieën van aanvallers.

Operationele evaluatie van specifieke bedreigingen biedt gedetailleerde informatie over specifieke aanvallen, met inbegrip van technische indicatoren, bijvoorbeeld de huidige extreme toename van cyberaanvallen door ransomware en varianten daarvan in 2022.

Dreigingsanalyse kan op de volgende manieren ondersteuning bieden:

  • Procedureel om dreigingsgegevens te integreren in het risicobeheerproces,
  • Technisch preventief en detectief, bijvoorbeeld door het bijwerken van firewallregels, inbraakdetectiesystemen (IDS), anti-malwareoplossingen,
  • met inputinformatie voor specifieke testprocedures en testtechnieken tegen informatiebeveiliging.

De gegevenskwaliteit uit organisatorische controle 5.7 voor het bepalen van de bedreigingssituatie en het analyseren daarvan is rechtstreeks van invloed op de twee hieronder besproken technische controles voor bewakingsactiviteiten (8.16) en webfiltering (8.23), die ook nieuw zijn voor ISO/IEC 27002.

Bewakingsactiviteiten

De controle 8.16 voor het opsporen en corrigeren van informatiebeveiliging met betrekking tot het technisch monitoren van activiteiten is gericht op het opsporen van anomalieën als methode om bedreigingen af te wenden. Netwerken, systemen en toepassingen gedragen zich volgens verwachte patronen, zoals gegevensdoorvoer, protocollen, berichten, enz. Elke verandering of afwijking van deze verwachte patronen wordt gedetecteerd als een anomalie.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Certificering volgens ISO 27001

Welke inspanning moet u verwachten om uw ISMS te laten certificeren volgens ISO 27001? Laat u gratis en vrijblijvend informeren.

Wij kijken uit naar een gesprek met u.

Om dit ongewone gedrag te detecteren, moeten relevante activiteiten worden gemonitord in overeenstemming met de bedrijfs- en informatiebeveiligingseisen en moeten eventuele anomalieën onder andere worden vergeleken met bestaande bedreigingsgegevens (zie hierboven, eis 5.7). De volgende aspecten zijn relevant voor het monitoringsysteem:

  • Inkomend en uitgaand netwerk-, systeem- en applicatieverkeer,
  • Toegang tot systemen, servers, netwerkapparatuur, bewakingssystemen, kritische toepassingen, enz,
  • Systeem- en netwerkconfiguratiebestanden op administratief of missiekritisch niveau;
  • Logboeken van beveiligingsinstrumenten [bv. antivirus, inbraakdetectiesystemen (IDS), inbraakpreventiesystemen (IPS), webfilters, firewalls, preventie van gegevenslekken],
  • Gebeurtenislogboeken met betrekking tot systeem- en netwerkactiviteiten,
  • Controle of uitvoerbare code in een systeem integer en geautoriseerd is,
  • Gebruik van middelen, bijvoorbeeld processorkracht, schijfcapaciteit, geheugengebruik, bandbreedte.

De basisvereisten voor een functionerende monitoring van activiteiten zijn een schoon en transparant geconfigureerde IT/OT-infrastructuur en goed functionerende IT/OT-netwerken. Elke verandering ten opzichte van deze basistoestand wordt gedetecteerd als een potentiële bedreiging voor de functionaliteit en dus als een anomalie. Afhankelijk van de complexiteit van een infrastructuur is de uitvoering van deze maatregel een grote uitdaging, ondanks relevante oplossingen van leveranciers. Het belang van systemen voor anomaliedetectie werd bijna gelijktijdig erkend met voorschrift 8.16 van ISO/IEC 27002:2022 voor exploitanten van zogenaamde kritieke infrastructuren. In het nationale toepassingsgebied van relevante, wettelijke voorschriften is er dus een verplichting voor deze om effectief zogenaamde systemen voor aanvalsdetectie met termijnen toe te passen.

Filteren van het web

Het internet is zowel een zegen als een vloek. De toegang tot dubieuze websites blijft een toegangspoort voor kwaadaardige inhoud en malware. Informatiebeveiligingscontrole 8.23 Webfiltering heeft als preventief doel de eigen systemen van een organisatie te beschermen tegen het binnendringen van malware en de toegang tot ongeoorloofde webbronnen te voorkomen. Organisaties moeten voor dit doel regels opstellen voor een veilig en passend gebruik van online bronnen - met inbegrip van verplichte toegangsbeperkingen tot ongewenste of ongepaste websites en webgebaseerde toepassingen. De toegang tot de volgende soorten websites moet door de organisatie worden geblokkeerd:

  • Websites met een uploadfunctie - tenzij dit om legitieme, zakelijke redenen noodzakelijk zou zijn,
  • Bekende of zelfs verdachte kwaadaardige websites,
  • Commando- en controleservers,
  • Kwaadaardige websites die als zodanig uit de dreigingsgegevens blijken (zie ook maatregel 5.7),
  • websites met illegale inhoud.

De maatregel webfiltering werkt alleen echt met opgeleid personeel dat zich voldoende bewust is van het veilig en passend gebruik van online bronnen.

Technische conclusie

De hier beschreven nieuwe detectie- en preventiecontroles spelen een sleutelrol bij de verdediging tegen georganiseerde cybercriminaliteit, en ze zijn terecht opgenomen in de huidige versies van ISO/IEC 27001 en ISO/IEC 27002. Met het voortdurend bijwerken en analyseren van beschikbare dreigingsinformatie, het uitgebreid monitoren van activiteiten in hun eigen IT-infrastructuur en het beveiligen van hun eigen systemen tegen dubieuze websites, versterken bedrijven duurzaam hun bescherming tegen het binnendringen van gevaarlijke malware. Zij plaatsen zichzelf ook in een positie om in een vroeg stadium passende responsmaatregelen te nemen.

Bedrijven en organisaties moeten nu de drie gepresenteerde controles/maatregelen dienovereenkomstig implementeren en consequent in hun ISMS integreren om aan de eisen van toekomstige certificeringsaudits te voldoen. DQS heeft meer dan 35 jaar uitgebreide expertise op het gebied van onpartijdige audits en certificeringen - en ondersteunt u graag bij het verandermanagement van uw informatiebeveiligingsmanagementsysteem conform ISO/IEC 27001:2022.

Wat betekent de update voor uw certificering?

ISO/IEC 27001:2022 is gepubliceerd op 25 oktober 2022. Dit resulteert in de volgende deadlines en tijdschema's voor gebruikers om over te stappen:

  • Gereedheid voor certificering naar ISO/IEC 27001:2022 verwacht vanaf juni/juli 2023 (afhankelijk van onze accreditatie-instelling DAkkS, Deutsche Akkreditierungsstelle GmbH).
  • Laatste datum voor initiële/hercertificeringsaudits volgens de "oude" ISO 27001:2013 is 31 oktober 2023. Na 31 oktober 2023 zal DQS alleen nog initiële en hercertificeringsaudits uitvoeren volgens de nieuwe ISO/IEC 27001:2022-norm.
  • Conversie van alle bestaande certificaten volgens de "oude" ISO/IEC 27001:2013 naar de nieuwe ISO/IEC 27001:2022: vanaf 31 oktober 2022 geldt een overgangsperiode van drie jaar. Certificaten die zijn afgegeven volgens ISO/IEC 27001:2013 of DIN EN ISO/IEC 27001:2017 blijven geldig tot uiterlijk 31 oktober 2025 of moeten op die datum worden ingetrokken.

State-of-the-art ISMS met de expertise van DQS

Bij de overgang naar de nieuwe versie van ISO/IEC 27001 hebben organisaties nog even de tijd. Huidige certificaten op basis van de oude norm verliezen hun geldigheid op 31.10.2025. Niettemin doet u er goed aan in een vroeg stadium met de gewijzigde ISMS-eisen om te gaan, passende veranderingsprocessen in gang te zetten en deze dienovereenkomstig te implementeren.

Als experts voor audits en certificeringen met een ervaring van meer dan drie decennia ondersteunen wij u bij de implementatie van de nieuwe norm. Informeer bij onze talrijke ervaren auditors naar de belangrijkste veranderingen en hun relevantie voor uw organisatie - en vertrouw op onze expertise. Samen bespreken we uw verbeteringsmogelijkheden en ondersteunen we u totdat u het nieuwe certificaat ontvangt. We kijken ernaar uit van u te horen.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Vragen?

Neem contact met ons op!

Geheel vrijblijvend en gratis.

Auteur
Markus Jegelka

DQS-expert voor beheersystemen voor informatiebeveiliging (ISMS) en sinds lange tijd auditor voor de normen ISO 9001, ISO/IEC 27001 en IT-beveiligingscatalogus volgens paragraaf 11.1a van de Duitse wet op de energiesector (EnWG).

Loading...

Relevante artikelen en gebeurtenissen

Misschien bent u ook hierin geïnteresseerd 
Blog
technical-measures-information-security-dqs-servers-cabinet-with-grid-door-and-lockable-door-handle
Loading...

Technische maatregelen voor informatiebeveiliging

Blog
Code, HTML, PHP Web-Programmierung Quellcode. Abstrakter Codehintergrund
Loading...

Veilig coderen - Uitdagingen voor informatiebeveiliging

Blog
neue-iso-iec-27001-2022-blog-dqs-projektmanager unterhalten sich bei benutzung eines tablets in einer zentrale
Loading...

De nieuwe ISO/IEC 27001:2022 - belangrijkste wijzigingen