iso27002-aenderungen-dqs-ein code aus buchstaben und zahlen

Revizija ISO 27002 - Ovo su promene

Andre Sekel

DQS Ekspert za bezbednost informacija
мај 08 , 2022
# Standardi bezbednosti informacija

#27002: Revizija standarda sa modernizovanom strukturom, novim i savremenim sadržajem. U prvom kvartalu 2022, ažuriranje ISO/IEC 27002 je objavljeno kao predznak revizije ISO/IEC 27001 koja se očekuje u četvrtom kvartalu 2022. Prenosimo Vam šta se promenilo sa novim ISO 27002:2022 - i šta to znači u smislu revizije ISO 27001:2022.

ISO 27002 i ISO 27001

ISO 27002 definiše širok katalog opštih bezbednosnih mera koje treba da podrže kompanije u primeni zahteva iz Aneksa A standarda ISO 27001 – i uspostavio se kao praktičan vodič za standarde u mnogim IT i bezbednosnim odeljenjima kao priznati alat. Početkom 2022. godine, ISO 27002 je sveobuhvatno revidiran i ažuriran - što je zakasnio korak po mišljenju mnogih stručnjaka, s obzirom na dinamičan razvoj IT-a poslednjih godina i znajući da se standardi revidiraju na ažurnost svakih 5 godina.

Za kompanije sa ISO 27001 sertifikatom – ili kompanije koje žele da se pozabave sertifikacijom u bliskoj budućnosti – inovacije koje su sada uvedene su relevantne sa dva aspekta: prvo, u pogledu neophodnih ažuriranja sopstvenih bezbednosnih mera;  drugo, jer će ove promene imati uticaja na ažuriranje ISO 27001 koje se očekuje krajem godine i stoga će biti relevantno za sve buduće sertifikacije i resertifikacije. Dovoljan razlog da se bliže pogleda novi ISO 27002.

Beleška: ISO/IEC 27002:2022 Bezbednost informacija, sajber bezbednost i zaštita privatnosti – Kontrole bezbednosti informacija. Standard je trenutno objavljen samo na engleskom i može se naručiti sa ISO veb-sajta.

Nova struktura i nove teme

Prva očigledna promena u ISO 27002:2022 je ažurirana i značajno unapređena struktura standarda: umesto prethodnih 114 bezbednosnih mera (kontrola) u 14 sekcija, referentni skup ažurirane verzije ISO 27002 sada sadrži 93 kontrole, koje su jasno podeljen i sažet u 4 predmetne oblasti:

  • 37 mera bezbednosti u delu „Organizacione kontrole”.
  • 8 mera bezbednosti u oblasti „Kontrole ljudi“
  • 14 mera bezbednosti u oblasti "Fizičke kontrole"
  • 34 mere bezbednosti u oblasti „Tehnološke kontrole“

I pored smanjenog broja mera bezbednosti, zapravo je izbrisana samo kontrola „Uklanjanje imovine“. Racionalizacija je posledica činjenice da su 24 bezbednosne mere iz postojećih kontrola kombinovane i restrukturirane da bi se ciljevi zaštite ispunili na bolji način. Još 58 mera bezbednosti je ažurirano i prilagođeno savremenim zahtevima.

Novo izdanje ISO 27002 daje menadžerima za bezbednost informacija precizan pogled na promene koje će postati novi standard sertifikacije sa novim izdanjem ISO 27001.

Markus Jegelka DQS Ekspert i auditor za bezbednost informacija

Nove mere bezbednosti

 ISO 27002 je proširen za 11 dodatnih bezbednosnih mera u novoj verziji. Nijedna od ovih mera neće biti iznenađenje za stručnjake za bezbednost, ali zajedno, one šalju snažan signal i pomažu kompanijama da na vreme obezbede svoju organizacionu strukturu i bezbednosnu infrastrukturu protiv trenutnih i budućih pretnji.

Nove mere su:

Obaveštajni podaci o pretnji

Snimanje, konsolidovanje i analiza aktuelnih obaveštajnih podataka o pretnjama omogućava organizacijama da ostanu u toku u sve dinamičnijem okruženju pretnji koje se razvija. U budućnosti, analiza informacija o napadima zasnovana na dokazima će igrati ključnu ulogu u bezbednosti informacija kako bi se razvile najbolje moguće odbrambene strategije.

Bezbednost informacija za korišćenje usluga u klaudu

Mnoge organizacije se danas oslanjaju na usluge zasnovane na klaudu. Sa ovim dolaze novi vektori napada i prateće promene i znatno veće površine napada. Kompanije će u budućnosti morati da razmotre odgovarajuće mere zaštite za njihovo uvođenje, korišćenje, administraciju i učine ih obavezujućim u svojim ugovorenim pravilima sa dobavljačima usluga u klaudu.

ICT spremnost za kontinuitet poslovanja

Dostupnost informaciono-komunikacione tehnologije (ICT) i njene infrastrukture je od suštinskog značaja za tekuće poslovanje u kompanijama. Osnova za otporne organizacije su planirani ciljevi kontinuiteta poslovanja i ICT zahtevi za kontinuitetom koji su izvedeni, implementirani i verifikovani iz njih. Zahtevi za blagovremeni, tehnički oporavak ICT-a nakon neuspeha uspostavljaju održive koncepte kontinuiteta poslovanja.

Praćenje fizičkog obezbeđenja

Provale u kojima su osetljivi podaci ili nosioci podataka ukradeni ili kompromitovani predstavljaju značajan rizik za kompanije. Tehničke kontrole i sistemi za nadzor su se pokazali efikasnim u odvraćanju potencijalnih uljeza ili u otkrivanju njihovog upada odmah. U budućnosti, to će biti standardne komponente holističkih bezbednosnih struktura za otkrivanje i sprečavanje neovlašćenog fizičkog pristupa.

Upravljanje konfiguracijom

Napadači mogu da zloupotrebe neispravno konfigurisane sisteme da bi dobili pristup kritičnim resursima. Iako je ranije bilo nedovoljno zastupljeno kao podskup upravljanja promenama, sistemsko upravljanje konfiguracijom je sada fokusirano kao bezbednosna mera sama po sebi. To zahteva od organizacija da nadgledaju ispravnu konfiguraciju hardvera, softvera, usluga i mreža i da na odgovarajući način ojačaju svoje sisteme.

Brisanje informacija

Pošto je Opšta uredba o zaštiti podataka stupila na snagu, organizacije moraju imati odgovarajuće mehanizme za brisanje ličnih podataka na zahtev i osigurati da se oni ne čuvaju duže nego što je potrebno. Ovaj zahtev je proširen na sve informacije u ISO 27002. Osetljive informacije ne treba čuvati duže nego što je potrebno da bi se izbegao rizik od neželjenog otkrivanja.

DQS vodič za proveru za ISO 27001

Vredna ekspertiza

Naš vodič za proveru ISO 27001 – Aneks A napravili su vodeći stručnjaci kao praktičnu pomoć u primeni i idealan je za bolje razumevanje izabranih standardnih zahteva. Smernice se još uvek ne odnose na revidirani ISO 27001 koji je objavljen 25. oktobra 2022.

Preuzmite besplatno

Maskiranje podataka

Cilj ove mere bezbednosti je da zaštiti osetljive podatke ili elemente podataka (npr. lični podaci) kroz maskiranje, pseudonimizaciju ili anonimizaciju. Okvir za odgovarajuću primenu ovih tehničkih mera obezbeđen je zakonskim, regulatornim i ugovornim zahtevima.

Sprečavanje curenja podataka

Preventivne bezbednosne mere su potrebne da bi se smanjio rizik od neovlašćenog otkrivanja i ekstrakcije osetljivih podataka iz sistema, mreža i drugih uređaja. Potencijalni kanali za nekontrolisano curenje ovih identifikovanih i poverljivih informacija (npr. e-pošta, prenos datoteka, mobilni uređaji i prenosivi uređaji za skladištenje) treba da se nadgledaju i, ako je potrebno, tehnički podrže aktivnim merama prevencije (npr. karantin e-pošte).

Praćenje aktivnosti

Sistemi za praćenje odstupanja u mrežama, sistemima i aplikacijama sada su deo standardnog repertoara u IT odeljenjima. Slično tome, zahtev za korišćenjem sistema za otkrivanje napada našao se u aktuelnim zakonskim i regulatornim zahtevima. Kontinuirano praćenje, automatsko prikupljanje i procena odgovarajućih parametara i karakteristika iz tekućih IT operacija su neophodni u proaktivnoj sajber odbrani i nastaviće da pokreću tehnologije u ovoj oblasti.

Veb filtriranje

Mnoge nepouzdane veb lokacije zaraze posetioce malverom ili čitaju njihove lične podatke. Napredno filtriranje URL-ova može se koristiti za automatsko filtriranje potencijalno opasnih veb lokacija radi zaštite krajnjih korisnika. Bezbednosne mere i rešenja za zaštitu od zlonamernog sadržaja na spoljnim veb lokacijama su od suštinskog značaja u globalno povezanom poslovnom svetu.

Sigurno kodiranje

Ranjivosti koda ili komponenti otvorenog koda opasna su tačka napada, omogućavajući sajber napadačima da lako dobiju pristup kritičnim podacima i sistemima. Ažurne smernice za razvoj softvera, automatizovane procedure testiranja, procedure izdavanja za promene koda, upravljanje znanjem za programere, ali i dobro osmišljene strategije zakrpa i ažuriranja značajno povećavaju nivo zaštite.

Atributi i vrednosti atributa

Još jedna inovacija je uvedena po prvi put u ISO 27002:2022 kako bi se pomoglo menadžerima bezbednosti da se kreću kroz široku kombinaciju mera: U Aneksu A standarda, pet atributa sa pripadajućim vrednostima atributa se čuva za svaku kontrolu.

Atributi i vrednosti atributa su:

Vrste kontrole

  • Tip kontrole je atribut za prikaz kontrola sa stanovišta kada i kako kontrola menja rizik u vezi sa nastankom incidenta bezbednosti informacija.
  • #preventivni #detektiv #popravni

Svojstva bezbednosti informacija

  • Svojstva bezbednosti informacija su atribut koji se može koristiti za pregled kontrola iz perspektive ciljeva zaštite koje treba da podrži kontrola.
  • #Poverljivost #Integritet #Dostupnost

Koncepti sajber bezbednosti

  • Koncepti sajber bezbednosti posmatraju kontrole iz perspektive mapiranja kontrola u okvir sajber bezbednosti opisan u ISO/IEC TS 27110.
  • #Identifikujte #Protect #Detect #Respond #Recover

Operativne sposobnosti

  • Operativna sposobnost posmatra kontrole iz perspektive njihovih operativnih mogućnosti bezbednosti informacija i podržava praktičan korisnički pogled na kontrole.
  • #Bezbednost aplikacije #Upravljanje imovinom #Kontinuitet #Zaštita podataka #Upravljanje #Bezbednost ljudskih resursa #Upravljanje identitetom i pristupom #Upravljanje događajima bezbednosti informacija #Pravna i usaglašenost #Fizička bezbednost #Bezbedna konfiguracija #Osiguranje bezbednosti #Bezbednost odnosa sa dobavljačima #Bezbednost sistema i mreže #Pretnja i upravljanje ranjivostima

Sigurnosni domeni

  • Bezbednosni domeni su atribut koji se može koristiti za pregled kontrola u perspektivi četiri domena bezbednosti informacija
  • #Governance_and_Ecosystem #Protection #Defence #Resilience

Vrednosti atributa označene heštegovima imaju za cilj da olakšaju menadžerima bezbednosti da pronađu put kroz široki katalog mera u standardnom vodiču i da ih pretražuju i ocenjuju na ciljani način.

Promene u ISO 27002: zaključak

Novo izdanje ISO 27002 pruža menadžerima za bezbednost informacija precizan pogled na promene koje će postati novi standard za sertifikaciju sa novim izdanjem ISO 27001. U isto vreme, inovacije ostaju unutar okvira kojim se može upravljati: Restrukturiranje kataloga mera čini standard transparentnijim i nesumnjivo je korak u pravom smeru s obzirom na sve veću složenost i sve manju transparentnost bezbednosnih infrastruktura. Novouključene mere takođe neće biti iznenađenje za iskusne stručnjake za bezbednost i prilično će modernizovati zastareli ISO standard.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Sertifikacija prema ISO 27001

Šta je potrebno da bi vaš ISMS bio sertifikovan prema ISO 27001? Dobijajte informacije besplatno i bez obaveza.

Radujemo se razgovoru sa vama.

Pišite nam!

Šta ažuriranje znači za vašu sertifikaciju

ISO/IEC 27001:2022 je objavljen 25. oktobra 2022. Ovo rezultira sledećim rokovima i vremenskim okvirima za korisnike da pređu:

Spremnost sertifikacije prema ISO/IEC27001:2022

  • Najkasnije od novembra 2023. (u zavisnosti od nemačkog akreditacionog tela DAkkS)

Poslednji datum za inicijalne/resertifikacione provere prema „starom“ ISO 27001:2013

  • Nakon 30. aprila 2024., DQS će sprovoditi početne i resertifikacione provere samo u skladu sa novim standardom ISO/IEC 27001:2022

Prelazak svih postojećih sertifikata prema „starom“ ISO/IEC 27001:2013 na novi ISO/IEC 27001:2022

  • Postoji trogodišnji prelazni rok koji počinje 31. oktobra 2022
  • Sertifikati izdati u skladu sa ISO/IEC 27001:2013 ili DIN EN ISO/IEC 27001:2017 važe najkasnije do 31. oktobra 2025. godine ili moraju biti povučeni ovog datuma.

DQS: Simply leveraging Quality

Naše sertifikacione provere će vam dosta toga razjasniti. Sveobuhvatni pristup na ljude, procese, sisteme i rezultate pokazuje koliko je vaš sistem upravljanja efikasan, kako se primenjuje i unapređuje. Važno nam je da našu proveru ne doživljavate kao testiranje, već kao priliku za obogaćivanje vašeg sistema upravljanja.

Naša stručnost uvek počinje tamo gde se završavaju ček-liste provere. Uvek pitamo i dodatno „zašto“, jer želimo da razumemo motive koji su vas naveli da odaberete određeni način primene. Fokusiramo se na potencijal za poboljšanje i podstičemo promenu perspektive. Na ovaj način možete identifikovati nove načine delovanja da biste kontinuirano poboljšavali svoj sertifikovani sistem upravljanja.

Autor
Andre Sekel

Menadžer proizvoda u DQS-u za upravljanje bezbednošću informacija.

Pitanja?

Tu smo za vas.
Kontaktirajte nas.