Nowelizacja ISO 27002 - Oto zmiany

• ISO 27002 i ISO 27001
• Nowa struktura i nowe tematy
• Nowe środki bezpieczeństwa
• Atrybuty i wartości atrybutów
• Zmiany w 27002: Podsumowanie
• Co aktualizacja oznacza dla Twojej certyfikacji
• DQS: Simply leveraging Quality.

ISO 27002 i ISO 27001

Norma ISO 27002 definiuje szeroki katalog ogólnych środków bezpieczeństwa, które powinny wspierać firmy we wdrażaniu wymagań z załącznika A normy ISO 27001 - i ugruntowała swoją pozycję jako praktyczny standardowy przewodnik w wielu działach IT i bezpieczeństwa jako uznane narzędzie. Na początku 2022 roku ISO 27002 zostało kompleksowo zrewidowane i zaktualizowane - w opinii wielu ekspertów był to krok spóźniony, biorąc pod uwagę dynamiczny rozwój w IT w ostatnich latach i wiedząc, że normy są weryfikowane pod kątem aktualności co 5 lat.

Dla firm posiadających certyfikat ISO 27001 - lub firm, które chcą zająć się certyfikacją w najbliższej przyszłości - wprowadzone obecnie innowacje są istotne w dwóch aspektach: Po pierwsze, w odniesieniu do niezbędnych aktualizacji własnych środków bezpieczeństwa; ale po drugie, ponieważ zmiany te będą miały wpływ na aktualizację ISO 27001 oczekiwanej pod koniec roku, a zatem będą istotne dla wszystkich przyszłych certyfikacji i recertyfikacji. Jest to zatem wystarczający powód, aby przyjrzeć się bliżej nowej normie ISO 27002.

Nowa struktura i nowe tematy

Pierwszą oczywistą zmianą w ISO 27002:2022 jest zaktualizowana i znacznie usprawniona struktura normy: zamiast wcześniejszych 114 środków bezpieczeństwa (kontroli) w 14 sekcjach, zestaw referencyjny zaktualizowanej wersji ISO 27002 obejmuje teraz 93 kontrole, które są wyraźnie podzielone i podsumowane w 4 obszarach tematycznych:

• 37 środków bezpieczeństwa w sekcji "Kontrole organizacyjne"
• 8 środków bezpieczeństwa w obszarze "Kontroli ludzi"
• 14 środków bezpieczeństwa w obszarze "Kontrole fizyczne"
• 34 środki bezpieczeństwa w obszarze "Kontrole technologiczne".

Pomimo zmniejszonej liczby środków bezpieczeństwa, faktycznie usunięto jedynie kontrolę "Usuwanie aktywów". Usprawnienie wynika z faktu, że 24 środki bezpieczeństwa z istniejących kontroli zostały połączone i zrestrukturyzowane w celu spełnienia celów ochrony w bardziej ukierunkowany sposób. Kolejne 58 środków bezpieczeństwa zostało zweryfikowanych i dostosowanych do współczesnych wymogów.

Nowe środki bezpieczeństwa

Ponadto - i jest to prawdopodobnie najbardziej ekscytująca część aktualizacji - ISO 27002 zostało w nowej wersji rozszerzone o 11 dodatkowych środków bezpieczeństwa. Żadna z tych miar nie będzie zaskoczeniem dla ekspertów ds. bezpieczeństwa, ale zebrane razem stanowią silny sygnał i pomagają firmom w porę uzbroić swoje struktury organizacyjne i architektury bezpieczeństwa przed obecnymi i przyszłymi scenariuszami zagrożeń.

Nowe środki to:

Wywiad o zagrożeniach (Threat intelligence)

Przechwytywanie, konsolidacja i analiza aktualnych informacji o zagrożeniach pozwala organizacjom zachować aktualność w coraz bardziej dynamicznym i zmieniającym się środowisku zagrożeń. W przyszłości analiza informacji o atakach oparta na dowodach będzie odgrywała kluczową rolę w bezpieczeństwie informacji w celu opracowania najlepszych możliwych strategii obrony.

Bezpieczeństwo informacji przy korzystaniu z usług w chmurze

Wiele organizacji polega dziś na usługach opartych na chmurze. Wraz z tym przychodzą nowe wektory ataku i towarzyszące im zmiany oraz znacznie większe powierzchnie ataku. W przyszłości firmy będą musiały rozważyć odpowiednie środki ochrony przy ich wprowadzaniu, użytkowaniu, administrowaniu i uczynić je wiążącymi w zasadach umownych z dostawcami usług w chmurze.

Gotowość ICT do zapewnienia ciągłości działania

Dostępność technologii informacyjnych i komunikacyjnych (ICT) oraz ich infrastruktury jest niezbędna do prowadzenia bieżącej działalności biznesowej w firmach. Podstawą odpornych organizacji są zaplanowane cele ciągłości działania i wynikające z nich, wdrożone i zweryfikowane wymagania dotyczące ciągłości ICT. Wymagania dotyczące terminowego, technicznego odtworzenia ICT po awarii ustanawiają realne koncepcje ciągłości działania.

Monitorowanie bezpieczeństwa fizycznego

Włamania, podczas których dochodzi do kradzieży z firmy wrażliwych danych lub nośników danych, stanowią istotne ryzyko dla przedsiębiorstw. Kontrole techniczne i systemy monitoringu okazały się skuteczne w odstraszaniu potencjalnych intruzów lub natychmiastowym wykrywaniu ich wtargnięcia. W przyszłości będą to standardowe elementy całościowych koncepcji bezpieczeństwa w zakresie wykrywania i powstrzymywania nieuprawnionego dostępu fizycznego.

Zarządzanie konfiguracją

Nieprawidłowo skonfigurowane systemy mogą być nadużywane przez napastników w celu uzyskania dostępu do krytycznych zasobów. Systematyczne zarządzanie konfiguracją, wcześniej niedoceniane jako podzbiór zarządzania zmianami, jest obecnie traktowane jako samodzielny środek bezpieczeństwa. Wymaga ono od organizacji monitorowania właściwej konfiguracji sprzętu, oprogramowania, usług i sieci oraz odpowiedniego utwardzenia systemów.

Usuwanie informacji

Od momentu wejścia w życie Ogólnego Rozporządzenia o Ochronie Danych Osobowych, organizacje muszą posiadać odpowiednie mechanizmy pozwalające na usunięcie danych osobowych na żądanie i zapewnienie, że nie są one przechowywane dłużej niż jest to konieczne. Wymóg ten został rozszerzony na wszystkie informacje w ISO 27002. Informacje wrażliwe nie powinny być przechowywane dłużej niż to konieczne, aby uniknąć ryzyka niepożądanego ujawnienia.

Maskowanie danych

Celem tego środka bezpieczeństwa jest ochrona wrażliwych danych lub elementów danych (np. danych osobowych) poprzez maskowanie, pseudonimizację lub anonimizację. Ramy dla właściwego wdrożenia tych środków technicznych stanowią wymogi prawne, ustawowe, regulacyjne i umowne.

Zapobieganie wyciekom danych

Prewencyjne środki bezpieczeństwa są wymagane w celu zmniejszenia ryzyka nieuprawnionego ujawnienia i wydobycia danych wrażliwych z systemów, sieci i innych urządzeń. Potencjalne kanały niekontrolowanego wycieku tych zidentyfikowanych i niejawnych informacji (np. poczta elektroniczna, przesyłanie plików, urządzenia mobilne i przenośne pamięci masowe) powinny być monitorowane i w razie potrzeby wspierane technicznie przez aktywne środki zapobiegawcze (np. kwarantanna poczty elektronicznej).

Działania monitorujące

Systemy do monitorowania anomalii w sieciach, systemach i aplikacjach należą obecnie do standardowego repertuaru w działach IT. Podobnie wymóg stosowania systemów do wykrywania ataków znalazł się w aktualnych wymaganiach prawnych i regulacyjnych. Ciągłe monitorowanie, automatyczne zbieranie i ocena odpowiednich parametrów i cech z bieżących operacji IT są koniecznością w proaktywnej cyberobronie i będą nadal napędzać technologie w tym obszarze.

Filtrowanie stron internetowych

Wiele niezaufanych stron internetowych infekuje odwiedzających złośliwym oprogramowaniem lub odczytuje ich dane osobowe. Zaawansowane filtrowanie adresów URL może być wykorzystane do automatycznego filtrowania potencjalnie niebezpiecznych stron internetowych w celu ochrony użytkowników końcowych. Środki bezpieczeństwa i rozwiązania chroniące przed złośliwymi treściami na zewnętrznych stronach internetowych są niezbędne w globalnie połączonym świecie biznesu.

Bezpieczne kodowanie

Podatności w kodzie opracowanym we własnym zakresie lub w komponentach open source stanowią niebezpieczny punkt ataku, umożliwiając cyberprzestępcom łatwe uzyskanie dostępu do krytycznych danych i systemów. Aktualne wytyczne dotyczące tworzenia oprogramowania, zautomatyzowane procedury testowe, procedury zwalniania zmian w kodzie, zarządzanie wiedzą dla programistów, ale także przemyślane strategie łatania i aktualizacji znacząco podnoszą poziom ochrony.

Atrybuty i wartości atrybutów

W normie ISO 27002:2022 po raz pierwszy wprowadzono kolejną innowację, która ma pomóc menedżerom bezpieczeństwa w poruszaniu się po szerokim zestawie środków: W załączniku A normy dla każdej miary zapisano pięć atrybutów z powiązanymi wartościami atrybutów.

Atrybuty i wartości atrybutów to:

Typy kontroli.

• Wpływ na ryzyko wynik incydentu związanego z SI
• #prewencyjne #detekcyjne #korygujące

Właściwości bezpieczeństwa informacji

• Wpływ na cele ochrony bezpieczeństwa informacji
• #Poufność #Integralność #Dostępność

Koncepcje bezpieczeństwa cybernetycznego

• Klasyfikacja w NIST Cybersecurity Framework
• #Identify Protect Detect Respond Recover

Możliwości operacyjne

• Możliwości operacyjne
• #Bezpieczeństwo aplikacji #Zarządzanie aktywami #Ciągłość #Ochrona danych #Zarządzanie #Bezpieczeństwo zasobów ludzkich #Zarządzanie tożsamością i dostępem #Zarządzanie zdarzeniami bezpieczeństwa informacji #Bezpieczeństwo prawne i zgodność #Bezpieczeństwo fizyczne #Bezpieczna konfiguracja #Zapewnienie bezpieczeństwa #Bezpieczeństwo relacji z dostawcami #Bezpieczeństwo systemów i sieci #Zarządzanie zagrożeniami i podatnościami

Domeny bezpieczeństwa

• Domeny bezpieczeństwa NIS (ENISA)
• #Zarządzanie i ekosystem #ochrona #obrona #odporność

Wartości atrybutów oznaczone hashtagami mają ułatwić menedżerom bezpieczeństwa odnalezienie się w szerokim katalogu środków w standardowym przewodniku oraz ich ukierunkowane wyszukiwanie i ocenę.

Zmiany w normie ISO 27002: Podsumowanie

Nowe wydanie normy ISO 27002 zapewnia menedżerom bezpieczeństwa informacji precyzyjną perspektywę zmian, które staną się nowym standardem certyfikacji wraz z nowym wydaniem normy ISO 27001. Jednocześnie innowacje pozostają w możliwych do opanowania ramach: Restrukturyzacja katalogu środków czyni normę bardziej przejrzystą i jest niewątpliwie krokiem w dobrym kierunku w obliczu rosnącej złożoności i malejącej przejrzystości architektur bezpieczeństwa. Nowo uwzględnione środki nie będą również zaskoczeniem dla doświadczonych ekspertów ds. bezpieczeństwa i w znacznym stopniu unowocześnią przestarzałą normę ISO.

Co aktualizacja oznacza dla Państwa certyfikacji

Norma ISO/IEC 27001:2022 została opublikowana 25 października 2022 roku. Skutkuje to następującymi terminami i ramami czasowymi dla użytkowników:

Ostatnia data audytów początkowych/re-certyfikacyjnych zgodnie ze "starą" normą ISO 27001:2013

• Po 30 kwietnia 2024 r. DQS będzie przeprowadzać audyty początkowe i recertyfikacyjne wyłącznie zgodnie z nową normą ISO/IEC 27001:2022.

Przejście wszystkich istniejących certyfikatów zgodnie ze "starą" normą ISO/IEC 27001:2013 na nową normę ISO/IEC 27001:2022

• Od 31 października 2022 r. obowiązuje 3-letni okres przejściowy
• Certyfikaty wydane zgodnie z ISO/IEC 27001:2013 lub DIN EN ISO/IEC 27001:2017 są ważne najpóźniej do 31 października 2025 r. lub muszą zostać wycofane w tym dniu.

DQS: Po prostu jakość

Nasze audyty certyfikacyjne zapewniają Państwu jasność. Holistyczne, neutralne spojrzenie z zewnątrz na ludzi, procesy, systemy i wyniki pokazuje, jak skuteczny jest Państwa system zarządzania, jak jest wdrożony i opanowany. Ważne jest dla nas, abyście Państwo postrzegali nasz audyt nie jako test, ale jako wzbogacenie Państwa systemu zarządzania.

Nasze twierdzenie zaczyna się zawsze tam, gdzie kończą się listy kontrolne audytu. Pytamy szczególnie o "dlaczego", ponieważ chcemy zrozumieć motywy, które skłoniły Państwa do wyboru określonego sposobu wdrożenia. Skupiamy się na potencjale poprawy i zachęcamy do zmiany perspektywy. W ten sposób można określić opcje działań, dzięki którym można stale doskonalić swój system zarządzania.