neue-iso-iec-27001-2022-blog-dqs-projektmanager unterhalten sich bei benutzung eines tablets in einer zentrale

Novi ISO/IEC 27001:2022 – ključne promene

Markus Jegelka

DQS Ekspert i Auditor za bezbednost informacija
сеп 21 , 2023
# Bezbednost informacija i zaštita podataka

Poslovni procesi sa dodatom vrednošću vođeni su informacijama i podacima. Naše osnovne usluge su zasnovane na kritičnim infrastrukturama čija funkcionalnost u velikoj meri zavisi od razmene informacija i podataka. Zaštita svakodnevnih podataka i intelektualne svojine od sajber pretnji je imperativ za preduzeća svih veličina. U ovom dobu industrijalizovanih sajber napada, prilagođavanje svim promenljivim rizicima bezbednosti informacija zahteva blagovremen i fleksibilan pristup izgradnji otpornosti preduzeća.

Tu na scenu stupa novi ISO/IEC 27001:2022 sa fokusom na procesnu orijentaciju u upravljanju bezbednošću informacija. Više od dve decenije, standard ISO 27001 je uspostavljena, ali zastarela osnova za sisteme menadžmenta bezbednošću informacija. I uprkos svojoj prividnoj zastarelosti, prema ISO Anketi, standard je zabeležio porast broja sertifikata od 32% u 2021. godini. U pozadini rastuće potražnje za savremenim okvirom za audit bezbednosti informacija, novi ISO/IEC 27001:2022 objavljen je 25. oktobra 2022.

Šta se sprema?

Pregled novih karakteristika ISO 27001:2022

ISO 27001 opisuje okvir za sistem upravljanja bezbednošću informacija (skraćeno ISMS) – i to za kompanije bez obzira na organizacionu strukturu, veličinu ili orijentaciju. Ključna tačka je upravljanje rizikom. Promenljive sajber pretnje konstantno iskorišćavaju nove potencijalne ranjivosti u kompanijama sa ciljem da napadaju i kompromituju tokove informacija, a time i poslovne procese. Rizici koji proizilaze iz ovog mehanizma za tri osnovna cilja zaštite informacija - poverljivost, integritet i dostupnost - moraju biti identifikovani i upravljani njima.

Ažuriranje ISO/IEC 27001:2022 se bavi najboljim praksama za upravljanje ovim rizicima za bezbednost informacija. Lista mogućih kontrola bezbednosti informacija u normativnom Aneksu A novog ISO/IEC 27001:2022 identično je izvedena iz revidiranih smernica ISO/IEC 27002:2022. Uputstvo za implementaciju je već usvojeno u februaru ove godine sa jednostavnijom taksonomijom i savremenim bezbednosnim kontrolama. Sa novim ISO/IEC 27001:2022 koji je sada objavljen, uspešan tandem ISO standarda 27001/27002 sa preporučenim merama je dodatno poboljšan.

ISO/IEC 27001:2022-10 - Informaciona bezbednost, sajber bezbednost i zaštita privatnosti – Sistemi menadžmenta bezbednošću informacija – Zahtevi
Standard je dostupan na engleskom na ISO početnoj stranici.

Još jedna značajna promena u novom ISO/IEC 27001:2022 je da se, sa prilagođavanjem takozvanoj Harmonizovanoj strukturi, dugo zakasneli zahtev za orijentacijom na proces stavlja u fokus efikasnog ISMS-a. Osnova efektivnih sistema menadžmenta su jasni procesi i njihove interakcije, kao i ciljno orijentisani kriterijumi za ove procese za njihovu kontrolu.

U nastavku ćemo detaljnije pogledati tri oblasti promena nove verzije ISO 27001.

 

Struktura visokog nivoa postaje Harmonizovana struktura

Od maja 2021. prethodnu strukturu visokog nivoa (HLS) nasleđuje Harmonizovana struktura (HS). HS je osnovna struktura i šablon za razvoj novih i budućih revizija postojećih standarda ISO sistema menadžmenta. ISO/IEC 27001:2022 je jedan od prvih standarda sistema menadžmenta koji je prilagođen HS. Razna pojašnjenja, dodaci, ali i brisanja u HS-u u poređenju sa HLS-om su prilično interesantna za korisnike koji su upoznati sa standardom.

Za ISO/IEC 27001:2022, međutim, značajno izvođenje iz HS je direktno vidljivo. U budućnosti će klauzula 6.3 zahtevati da se promene ISMS-a implementiraju na planirani način. Ovaj zahtev je poznat iz drugih sistema upravljanja i izražava očekivanje da je proces promene u vezi sa ISMS savladan. Na primer, prelazak sa prethodnog standarda ISO/IEC 27001:2013 na novi ISO/IEC 27001:2022 može se shvatiti kao promena ISMS-a koju treba implementirati na planski način sa svim njegovim efektima i interakcijama.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop

Pogledajte sada: Šta se menja sa novim ISO/IEC 27001:2022

Nova verzija ISO/IEC 27001, prilagođena savremenim informacionim rizicima, objavljena je 25. oktobra 2022. Šta to znači za korisnike standarda? U našem besplatnom snimku vebinara saznaćete o tome

  • Nove karakteristike ISO/IEC 27001:2022 – Okvir i Aneks A
  • ISO/IEC 27002:2022-02 - struktura, sadržaj, atributi i heštegovi
  • Vremenski okvir za tranziciju i vaše sledeće korake
Pogledajte snimak sada

Normativne promene u ISO/IEC 27001:2022

Veoma značajna promena dodaje kontekstu organizacije u klauzuli 4.4 sa zahtevom da se identifikuju neophodni procesi i njihove interakcije unutar ISMS-a koje su potrebne za njegovu implementaciju i održavanje. Ovaj eksplicitni zahtev dovodi ISO/IEC 27001:2022 u skladu sa pristupom najbolje prakse drugih sistema menadžmenta prema HS (HLS). Sistem menadžmenta bezbednošću informacija mora biti zasnovan na uspostavljenim, sledljivim procesima i njihovim interakcijama. Kontrole bezbednosti informacija u Aneksu A se zatim dizajniraju i prilagođavaju ovim procesima.

Sledeća relevantna promena u klauzuli 8.1 takođe naglašava važnost procesne orijentacije, koja je zajednička za sve sisteme menadžmenta zasnovane na HS. Organizacije moraju da realizuju procese kao deo svog operativnog planiranja i kontrole za sprovođenje mera za upravljanje rizicima bezbednosti informacija. Ono što je novo je da se sada moraju definisati kriterijumi procesa. Kontrola procesa mora biti sprovedena u skladu sa ovim kriterijumima.

Pojašnjenja i specifikacije su date u sledećim klauzulama:

  • Tačka 5.3 je dopunjena zahtevom da se odgovornosti i ovlašćenja za uloge u vezi sa bezbednošću informacija objave unutar organizacije.
  • Tačka 7.4 reguliše potrebu za internom i eksternom komunikacijom u vezi sa ISMS-om. Pored još uvek važećih odredbi o tome šta, kada i sa kim, način komunikacije je izvodljivo pojednostavljena u odnosu na prethodne zahteve.
  • Tačka 9.2 Interna provera i 9.3 Preispitivanje od strane menadžmenta su prilagođeni Harmonizovanoj strukturi. Klauzula 9.2 je sada podeljena na 9.2.1 i 9.2.2, a klauzula 9.3 je podeljena na tri potpodela 9.3.1, 9.3.2 i 9.3.3. 
  • Redosled u kojem su klauzula 10.1 i klauzula 10.2 strukturno je prilagođen Harmonizovanoj strukturi. Aspekt budućeg kontinuiranog poboljšanja sada prethodi retrospektivnom rešavanju neusaglašenosti i korektivnim merama u klauzuli 10.2, u klauzuli 10.1 bez ikakvih daljih promena u sadržaju. Ovim se naglašava važnost procesa kontinuiranog poboljšanja (CIP).

Ključni i nedvosmisleni zahtevi u ISO/IEC 27001 koji se odnose na skup kontrola u Aneksu A su, u skladu sa tačkom 6.1.3 c), proces poređenja između kontrola bezbednosti informacija specifičnih za organizaciju sa onima u Aneksu A i, prema Klauzula 6.1.3 d), priprema Izjave o primenljivosti (SoA).  Osnovni zahtevi ostaju nepromenjeni!

Objašnjenja u informativnim (nenormativnim) napomenama uz tačku 6.1.3 c) sa referencom na Aneks A kao spisak mogućih kontrola bezbednosti informacija ukazuju na mogućnost izbora dodatnih mera iz daljih izvora koji su dopunski Aneksu A.

 

ISO 27001 - Sistem menadžmenta bezbednošću informacija

Holistički sistem upravljanja prema ISO standardu ★ Efikasna implementacija procesa upravljanja rizikom ★ Kontinuirano unapređenje nivoa bezbednosti

Više informacija o ISO 27001

Novi Aneks A standarda ISO/IEC 27001:2022

Lista mogućih kontrola bezbednosti informacija (IS) u normativnom Aneksu A standarda ISO/IEC 27001:2022 izvedena je identično iz ISO/IEC 27002:2022. Katalog opštih bezbednosnih kontrola objavljen je u februaru 2022. Stoga su promene u Aneksu A standarda ISO/IEC 27001:2022 bile predvidive već neko vreme. Ranije je Aneks A uključivao ukupno 114 kontrola koje su se mogle koristiti za rešavanje rizika bezbednosti informacija u okviru 35 kontrolnih ciljeva organizovanih u 14 klauzula.

Osim što novi ISO/IEC 27001:2022 eliminiše ciljeve kontrole, kontrole bezbednosti informacija u Aneksu A su revidirane, ažurirane i dopunjene i reorganizovane nekim novim kontrolama.

Prethodnih 14 klauzula Aneksa A sada su fokusirane na 4 sledeće teme:

A.5 Organizacione kontrole (sa 37 kontrola).

A.6 Lične kontrole (sa 8 kontrola)

A.7 Fizičke kontrole (sa 14 kontrola)

A.8 Tehničke kontrole (sa 34 kontrole)

Aneks A nove verzije ISO/IEC 27001:2022 sada uključuje ukupno 93 kontrole, od kojih je sledećih 11 kontrola novih:

A.5.7 Podaci obaveštenja o pretnji

A.5.23 Bezbednost informacija za korišćenje usluga u klaudu

A.5.30 ICT spremnost za kontinuitet poslovanja

A.7.4 Praćenje fizičkog obezbeđenja

A.8.9 Upravljanje konfiguracijom

A.8.10 Brisanje informacija

A.8.11 Maskiranje podataka

A.8.12 Sprečavanje curenja podataka

A.8.16 Praćenje aktivnosti

A.8.23 Veb filtriranje

A.8.28 Sigurno kodiranje

Dok je Aneks A standarda ISO/IEC 27001:2022 ograničen na imenovanje kontrola, smernice za implementaciju ISO/IEC 27002:2022 pruža dodatne opcije za njihovu kategorizaciju. Tamo, svakoj kontroli je dodeljeno pet atributa koji omogućavaju različite poglede i perspektive na njih. Atributi ili njihove vrednosti atributa se mogu koristiti za filtriranje, sortiranje ili prikaz za različite organizacione poglede.

Pet atributa su:

Tip kontrole je atribut za prikaz kontrola iz perspektive kada i kako mera menja rizik u vezi sa nastankom incidenta bezbednosti informacija.

Svojstva bezbednosti informacija su atribut za gledanje kontrola iz perspektive kog cilja zaštite mera treba da podrži.

Koncepti sajber bezbednosti posmatraju kontrole iz perspektive kako se one preslikavaju na okvir sajber bezbednosti opisan u ISO/IEC TS 27110.

Operativna sposobnost razmatra kontrole iz perspektive njihovih operativnih mogućnosti bezbednosti informacija i podržava praktičan korisnički pogled na mere.

Bezbednosni domeni su atribut koji omogućava da se kontrole posmatraju iz perspektive četiri domena bezbednosti informacija.

Šta revizija standarda znači za vašu sertifikaciju?

Nova i poboljšana verzija ISO/IEC 27001 objavljena je 25. oktobra 2022. Ovo rezultira sledećim vremenskim okvirima i rokovima za prelaz za standardne korisnike:

  • Najkasnije od novembra 2023. (u zavisnosti od nemačkog akreditacionog tela DAkkS)                                                                                               
  •  Poslednji datum za inicijalne/resertifikacione provere prema „starom“ ISO 27001:2013
  • Nakon 30. aprila 2024., DQS će sprovoditi početne i resertifikacione provere samo u skladu sa novim standardom ISO/IEC 27001:2022
  • Prelazak svih postojećih sertifikata prema „starom“ ISO/IEC 27001:2013 na novi ISO/IEC 27001:2022
  • Postoji trogodišnji prelazni rok koji počinje 31. oktobra 2022
  • Sertifikati izdati u skladu sa ISO/IEC 27001:2013 ili DIN EN ISO/IEC 27001:2017 važe najkasnije do 31. oktobra 2025. godine ili moraju biti povučeni ovog datuma.

Rokovi za prelazak su ISO standard.

Novi ISO/IEC 27001:2022 – Zaključak

Dostupan je novi ISO/IEC 27001:2022. Ovo označava početak trogodišnjeg prelaznog roka.

Ukratko, glavne inovacije su sledeće:

  • Usaglašenost sistema menadžmenta sa Harmonizovanom strukturom.
  • Naglasak na orijentaciji procesa, njegovim interakcijama i kriterijumima.
  • Pojednostavljena kategorizacija kontrola u tematske blokove.
  • Savremene mere usaglašene sa aktuelnim organizacionim metodama i povezanim pretnjama.
  • Atributi za usaglašavanje kontrola sa različitim metodologijama upravljanja rizikom, uključujući globalne okvire sajber bezbednosti.
gerber-hermsdorf-werner-korall-audit dqs

Imate bilo kakvih pitanja?

Pišite nam!

Bez obaveza i besplatno.

Pošaljite svoj upit sada

Poverenje i stručnost

Naše tekstove i brošure pišu isključivo naši iskusni eksperti ili dugogodišnji proveravači. Ako imate bilo kakvih pitanja o tekstualnom sadržaju ili našim uslugama, našem autoru, slobodno nam pošaljite e-mail.

Autor
Markus Jegelka

DQS ekspert za sisteme menadžmenta bezbednošću informacija (ISMS) i dugogodišnji auditor za standarde ISO 9001, ISO/IEC 27001 i IT bezbednosni katalog prema paragrafu 11.1a/b nemačkog Zakona o energetskoj industriji (EnWG) -  German Energy Industry Act (EnWG), sa kompetencijama za procedure testiranja za § 8a (3) BSIG

 

Pitanja?

Tu smo za vas.
Kontaktirajte nas.