Revízia normy ISO 27002 - Toto sú zmeny

• ISO 27002 a ISO 27001
• Nová štruktúra a nové témy
• Nové bezpečnostné opatrenia
• Atribúty a hodnoty atribútov
• Zmeny v 27002: Záver
• Čo znamená aktualizácia pre vašu certifikáciu
• DQS: Jednoduché využitie kvality.

ISO 27002 a ISO 27001

Norma ISO 27002 definuje široký katalóg všeobecných bezpečnostných opatrení, ktoré by mali podporiť spoločnosti pri implementácii požiadaviek z prílohy A normy ISO 27001 - a v mnohých IT a bezpečnostných oddeleniach sa etablovala ako praktický štandardný sprievodca ako uznávaný nástroj. Začiatkom roka 2022 bola norma ISO 27002 komplexne revidovaná a aktualizovaná - podľa názoru mnohých odborníkov ide o oneskorený krok vzhľadom na dynamický vývoj v oblasti IT v posledných rokoch a pri vedomí, že normy sa revidujú z hľadiska aktuálnosti každých 5 rokov.

Pre spoločnosti s certifikátom ISO 27001 - alebo spoločnosti, ktoré sa chcú certifikáciou zaoberať v blízkej budúcnosti - sú teraz zavedené novinky dôležité z dvoch hľadísk: Po prvé, pokiaľ ide o potrebné aktualizácie ich vlastných bezpečnostných opatrení, ale po druhé, pretože tieto zmeny budú mať vplyv na aktualizáciu ISO 27001 očakávanej koncom roka, a preto budú relevantné pre všetky budúce certifikácie a recertifikácie. Je to teda dostatočný dôvod na to, aby sme sa bližšie pozreli na novú normu ISO 27002.

Nová štruktúra a nové témy

Prvou zjavnou zmenou v norme ISO 27002:2022 je aktualizovaná a výrazne zjednodušená štruktúra normy: namiesto predchádzajúcich 114 bezpečnostných opatrení (kontrol) v 14 častiach teraz referenčný súbor aktualizovanej verzie ISO 27002 obsahuje 93 kontrol, ktoré sú prehľadne rozdelené a zhrnuté do 4 tematických oblastí:

• 37 bezpečnostných opatrení v časti "Organizačné kontroly"
• 8 bezpečnostných opatrení v oblasti "Kontrola ľudí"
• 14 bezpečnostných opatrení v oblasti "Fyzické kontroly".
• 34 bezpečnostných opatrení v oblasti "Technologické kontroly".

Napriek zníženému počtu bezpečnostných opatrení bola v skutočnosti zrušená len kontrola "Odstránenie aktív". Zefektívnenie je spôsobené tým, že 24 bezpečnostných opatrení z existujúcich kontrol bolo zlúčených a reštrukturalizovaných tak, aby sa cielenejšie plnili ciele ochrany. Ďalších 58 bezpečnostných opatrení bolo revidovaných a upravených tak, aby spĺňali súčasné požiadavky.

Nové bezpečnostné opatrenia

Okrem toho - a to je pravdepodobne najzaujímavejšia časť aktualizácie - norma ISO 27002 bola v novej verzii rozšírená o 11 ďalších bezpečnostných opatrení. Žiadne z týchto opatrení nebude pre bezpečnostných expertov prekvapením, ale spoločne vysielajú silný signál a pomáhajú spoločnostiam včas vyzbrojiť svoje organizačné štruktúry a bezpečnostné architektúry proti súčasným a budúcim scenárom hrozieb.

Nové opatrenia sú:

Spravodajstvo o hrozbách

Zachytávanie, konsolidácia a analýza aktuálnych spravodajských informácií o hrozbách umožňuje organizáciám udržať si aktuálny stav v čoraz dynamickejšom a vyvíjajúcom sa prostredí hrozieb. V budúcnosti bude analýza informácií o útokoch založená na dôkazoch zohrávať kľúčovú úlohu v oblasti informačnej bezpečnosti s cieľom vytvoriť čo najlepšie obranné stratégie.

Informačná bezpečnosť pri využívaní cloudových služieb

Mnohé organizácie sa dnes spoliehajú na cloudové služby. S tým prichádzajú nové vektory útokov a sprievodné zmeny a výrazne väčšie plochy útokov. V budúcnosti budú musieť spoločnosti zvážiť vhodné ochranné opatrenia na ich zavedenie, používanie, správu a záväzne ich zakotviť do zmluvných pravidiel s poskytovateľmi cloudových služieb.

Pripravenosť IKT na zabezpečenie kontinuity podnikania

Dostupnosť informačných a komunikačných technológií (IKT) a ich infraštruktúr je nevyhnutná pre nepretržitú podnikateľskú činnosť v podnikoch. Základom odolnosti organizácií sú plánované ciele kontinuity činností a z nich odvodené, implementované a overované požiadavky na kontinuitu IKT. Požiadavky na včasnú technickú obnovu IKT po poruche stanovujú životaschopné koncepcie kontinuity podnikania.

Monitorovanie fyzickej bezpečnosti

Vlámania, pri ktorých sú z podniku odcudzené alebo ohrozené citlivé údaje alebo nosiče údajov, predstavujú pre podniky významné riziko. Technické kontroly a monitorovacie systémy sa ukázali ako účinné pri odrádzaní potenciálnych narušiteľov alebo pri okamžitom odhaľovaní ich vniknutia. V budúcnosti budú štandardnými súčasťami ucelených bezpečnostných koncepcií na odhaľovanie a odradenie neoprávneného fyzického prístupu.

Správa konfigurácie

Nesprávne nakonfigurované systémy môžu útočníci zneužiť na získanie prístupu ku kritickým zdrojom. Zatiaľ čo v minulosti bolo systematické riadenie konfigurácie nedostatočne zastúpené ako podmnožina riadenia zmien, v súčasnosti sa naň kladie dôraz ako na samostatné bezpečnostné opatrenie. Vyžaduje, aby organizácie monitorovali správnu konfiguráciu hardvéru, softvéru, služieb a sietí a aby svoje systémy vhodne spevnili.

Vymazávanie informácií

Od nadobudnutia účinnosti všeobecného nariadenia o ochrane údajov musia organizácie zaviesť vhodné mechanizmy na vymazanie osobných údajov na požiadanie a zabezpečiť, aby sa neuchovávali dlhšie, ako je potrebné. Táto požiadavka je v norme ISO 27002 rozšírená na všetky informácie. Citlivé informácie by sa nemali uchovávať dlhšie, ako je nevyhnutné, aby sa predišlo riziku ich neželaného zverejnenia.

Maskovanie údajov

Cieľom tohto bezpečnostného opatrenia je chrániť citlivé údaje alebo prvky údajov (napr. osobné údaje) prostredníctvom maskovania, pseudonymizácie alebo anonymizácie. Rámec pre vhodné vykonávanie týchto technických opatrení poskytujú právne, zákonné, regulačné a zmluvné požiadavky.

Predchádzanie úniku údajov

Na zníženie rizika neoprávneného zverejnenia a získania citlivých údajov zo systémov, sietí a iných zariadení sú potrebné preventívne bezpečnostné opatrenia. Potenciálne kanály na nekontrolovaný únik týchto identifikovaných a utajovaných informácií (napr. elektronická pošta, prenosy súborov, mobilné zariadenia a prenosné pamäťové zariadenia) by sa mali monitorovať a v prípade potreby technicky podporovať aktívnymi preventívnymi opatreniami (napr. karanténa elektronickej pošty).

Monitorovacie činnosti

Systémy na monitorovanie anomálií v sieťach, systémoch a aplikáciách sú v súčasnosti súčasťou štandardného repertoáru oddelení IT. Podobne si požiadavka používať systémy na odhaľovanie útokov našla cestu do súčasných právnych a regulačných požiadaviek. Nepretržité monitorovanie, automatický zber a vyhodnocovanie príslušných parametrov a charakteristík z prebiehajúcich IT operácií sú nevyhnutnosťou v proaktívnej kybernetickej obrane a budú aj naďalej hnacím motorom technológií v tejto oblasti.

Filtrovanie webových stránok

Mnohé nedôveryhodné webové stránky infikujú návštevníkov škodlivým softvérom alebo čítajú ich osobné údaje. Na automatické filtrovanie potenciálne nebezpečných webových stránok s cieľom chrániť koncových používateľov možno použiť pokročilé filtrovanie URL. Bezpečnostné opatrenia a riešenia na ochranu pred škodlivým obsahom na externých webových stránkach sú v globálne prepojenom obchodnom svete nevyhnutné.

Bezpečné kódovanie

Zraniteľnosti vo vnútorne vyvinutom kóde alebo v komponentoch s otvoreným zdrojovým kódom sú nebezpečným bodom útoku, ktorý umožňuje kyberzločincom ľahko získať prístup ku kritickým údajom a systémom. Aktuálne usmernenia pre vývoj softvéru, automatizované testovacie postupy, postupy uvoľňovania zmien v kóde, riadenie znalostí vývojárov, ale aj premyslené stratégie opráv a aktualizácií výrazne zvyšujú úroveň ochrany.

Atribúty a hodnoty atribútov

V norme ISO 27002:2022 bola po prvýkrát zavedená ďalšia inovácia, ktorá má manažérom bezpečnosti pomôcť zorientovať sa v širokej kombinácii opatrení: V prílohe A normy je pre každú kontrolu uložených päť atribútov s príslušnými hodnotami atribútov.

Atribúty a hodnoty atribútov sú:

Typy kontrol

• Typ kontroly je atribút pre pohľad na kontroly z hľadiska toho, kedy a ako kontrola mení riziko súvisiace s výskytom incidentu informačnej bezpečnosti.
• #preventívne #detektívne #korektívne

Vlastnosti informačnej bezpečnosti

• Vlastnosti informačnej bezpečnosti je atribút, ktorý možno použiť na zobrazenie kontrol z hľadiska toho, aký cieľ ochrany má kontrola podporovať.
• #Dôvernosť #Integrita #Dostupnosť

Koncepty kybernetickej bezpečnosti

• Koncepty kybernetickej bezpečnosti sa na kontroly pozerajú z hľadiska mapovania kontrol na rámec kybernetickej bezpečnosti opísaný v norme ISO/IEC TS 27110.
• #Identifikovať #Ochrániť #Detekovať #Odpovedať #Odstrániť

Prevádzkové schopnosti

• Operačné schopnosti sa pozerajú na kontroly z pohľadu ich operačných schopností v oblasti informačnej bezpečnosti a podporujú praktický pohľad používateľa na kontroly.
• #Bezpečnosť aplikácií #Správa aktív #Kontinuita #Ochrana údajov #Vládnutie #Bezpečnosť ľudských zdrojov #Správa identity a prístupu #Správa udalostí informačnej bezpečnosti #Právne predpisy a súlad #Fyzická bezpečnosť #Bezpečná konfigurácia #Zabezpečenie bezpečnosti #Bezpečnosť dodávateľských vzťahov #Bezpečnosť systému a siete #Správa hrozieb a zraniteľností

Domény bezpečnosti

• Bezpečnostné domény sú atribútom, ktorý možno použiť na zobrazenie kontrolných mechanizmov z pohľadu štyroch oblastí informačnej bezpečnosti
• #Government_and_Ecosystem #Ochrana #Obrana #Odolnosť

Hodnoty atribútov označené hashtagmi majú manažérom bezpečnosti uľahčiť orientáciu v širokom katalógu opatrení v štandardnej príručke a ich cielené vyhľadávanie a hodnotenie.

Zmeny v norme ISO 27002: Záver

Nové vydanie normy ISO 27002 poskytuje manažérom informačnej bezpečnosti presný pohľad na zmeny, ktoré sa stanú novou certifikačnou normou spolu s novým vydaním normy ISO 27001. Inovácie zároveň zostávajú v rámci zvládnuteľného rámca: Reštrukturalizácia katalógu opatrení robí normu prehľadnejšou a je nepochybne krokom správnym smerom vzhľadom na rastúcu zložitosť a klesajúcu transparentnosť bezpečnostných architektúr. Novo zaradené opatrenia neprekvapia ani skúsených bezpečnostných expertov a pomerne výrazne modernizujú zastaranú normu ISO.

Čo znamená aktualizácia pre vašu certifikáciu

Norma ISO/IEC 27001:2022 bola vydaná 25. októbra 2022. Z toho vyplývajú nasledujúce termíny a časové rámce pre používateľov na prechod:

ISO/IEC 27001:2022 pripravenosť na certifikáciu

• Očakáva sa od júna/júla 2023 (v závislosti od nemeckého akreditačného orgánu GmbH (DAkkS)).

Posledný dátum pre počiatočné/re-certifikačné audity podľa "starej" normy ISO 27001:2013

• Po 31. októbri 2023 bude DQS vykonávať počiatočné a recertifikačné audity len podľa novej normy ISO/IEC 27001:2022.

Prechod všetkých existujúcich certifikátov zo "starej" normy ISO/IEC 27001:2013 na novú normu ISO/IEC 27001:2022

• Od 31. októbra 2022 je trojročné prechodné obdobie
• Certifikáty vydané podľa normy ISO/IEC 27001:2013 alebo DIN EN ISO/IEC 27001:2017 budú naďalej platné najneskôr do 31. októbra 2025 alebo musia byť k tomuto dátumu zrušené.

DQS: Jednoduché využitie kvality

Naše certifikačné audity vám zabezpečia prehľadnosť. Holistický, neutrálny pohľad zvonku na ľudí, procesy, systémy a výsledky ukazuje, aký efektívny je váš systém manažérstva, ako je implementovaný a zvládnutý. Je pre nás dôležité, aby ste náš audit nevnímali ako skúšku, ale ako obohatenie vášho systému manažérstva.

Naše tvrdenie sa vždy začína tam, kde sa končia kontrolné listy auditu. Osobitne sa pýtame "prečo", pretože chceme pochopiť pohnútky, ktoré vás viedli k tomu, aby ste si zvolili určitý spôsob implementácie. Zameriavame sa na potenciál zlepšenia a podporujeme zmenu pohľadu. Takto môžete identifikovať možnosti opatrení, pomocou ktorých môžete svoj systém riadenia neustále zlepšovať.