Aktuálna verzia ISO 27001 čoskoro končí. Ako upgradovať ?
- Datum: 02.02.2022
- Autor: Jan Cuřín
Organizácia certifikovaná podľa systému riadenia informačnej bezpečnosti ISO 27001, Interný Audítori, Manažéri Kybernetickej bezpečnosti, Vedúci Audítori, držitelia certifikácie ISO 27001 - Information Security Management System (ISMS) v akejkoľvek podobe (na organizáciu, alebo personálne) musí vymeniť svoje profesijné "vodičáky". Zmena zasiahne prakticky celý sektor informačnej a kybernetickej bezpečnosti.
Posledná revízia normy ISO 27001 prebehla v roku 2013, je to už 9 rokov od vydania aktualizácie, ktorá nesie označenie ISO/IEC 27001:2013. Na ceste je nová verzia ISO/IEC 27001:2022. A v tomto prípade nepôjde o kozmetický upgrade. Tu nezostane kameň na kameni.
Ako sa zmení systém informačnej bezpečnosti?
Vydanie novej normy ISO/IEC 27001 predchádza release ISO/IEC 27002. Ten je naplánovaný na Q1 2022. Spustenie certifikácie podľa novej normy ISO/IEC 27001 bude nasledovať prakticky okamžite.
Spoločný technický výbor Medzinárodnej organizácie pre normalizáciu (ISO) a Medzinárodnej elektrotechnickej komisie (IEC) ISO/IEC JTC 1 mení po takmer 20 rokoch celú štruktúru kontrolného rámca ISO/IEC 27001/27002. Pôjde tak o úplne nový pohľad a požiadavky na organizácie, aj špecialistov informačnej a kybernetickej bezpečnosti.
Základný rozdiel medzi ISO/IEC 27001 a ISO/IEC 27002
Štandard ISO/IEC 27001 kladie požiadavky, ktoré musia byť splnené, aby spoločnosť mohla získať certifikát o zhode od akreditovaného certifikačného orgánu (Conformity Assessment Body - CAB). Norma ISO/IEC 27001 tak dokumentuje požiadavky na vytvorenie, zavedenie, udržovanie a neustále zlepšovanie systému riadenia bezpečnosti informácií.
Norma ISO/IEC 27002 je určená pre všetky organizácie, ktoré ju môžu používať ako referenčný dokument pre výber kontrolných mechanizmov a poskytuje pokyny pre postupy riadenia bezpečnosti informácií vrátane zavedenia a riadenia kontrolných mechanizmov. Organizácie môžu získať certifikát iba podľa noriem, ktoré obsahujú požiadavky, ale nemôžu získať certifikát podľa noriem, ktoré poskytujú pokyny.
Zmeny v ISO/IEC 27001:2022
Medzi hlavné zmeny v ISO/IEC 27001:2022 patrí:
- Príloha A odkazuje na kontroly v ISO/IEC 27002:2022, čo zahŕňa názov kontroly a vlastnú kontrolu;
- Poznámka v článku 6.1.3 c) je upravená. Došlo k vypusteniu obratu "cieľov opatrenia" a nahradenie obratom "kontroly bezpečnosti informácií"
- Znenie článku 6.1.3 d) je upravené tak, aby bolo jasné a odstránená možná nejednoznačnosť.
Zmeny v ISO/IEC 27002:2022
Je upravený samostatný názov normy. Je vypustený text "Súbor postupov" (Code of practice..). Cieľom tejto zmeny je odrážať zamýšľané použitie vo verzii 2022 ako referenčného súboru obecných kontrol a pokynov pre bezpečnosť informácií.
Úplný názov normy bude pravdepodobne "Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia - Kontroly bezpečnosti informácií. " (Information secuity, cybersecurity and privacy protection - Information secuity controls), ktorý odráža širší kontext a aj skutočnosť, že prevencia, detekcia a reakcia na kybernetické útoky je teraz považovaná za ochranu dát.
ISO/IEC 27002:2013 obsahuje 114 kontrol v 14 oblastiach, ISO/IEC 27002:2022 bude obsahovať 93 kontrol v 4 oblastiach:
- Kapitola 5 - Organizačná (pokiaľ nespadajú do žiadnej inej oblasti) - 37 kontrol
- Kapitola 6 - Ľudia (pokiaľ sa týkajú jednotlivých ľudí) - 8 kontrol
- Kapitola 7 - Fyzické (pokiaľ sa týkajú fyzických objektov) - 14 kontrol
- Kapitola 8 - Technologické (pokiaľ sa týkajú technológií) - 34 kontrol
Pre každú kontrolu bude 5 atribútov:
- Ako kategorizovať - preventívne, detektívne (vyšetrovacie), nápravné
- Vlastnosti bezpečnosti informácií - dôvernosť, integrita, dostupnosť
- Koncepty kybernetickej bezpečnosti - identifikácia, ochrana, detekcia, reakcia, obnova
- Prevádzkové schopnosti - riadenie, správa aktív, ochrana informácií, bezpečnosť ľudských zdrojov, fyzická bezpečnosť, bezpečnosť systémov a sietí, bezpečnosť aplikácií, bezpečná konfigurácia, správa identít a prístupov, správa hrozieb a zraniteľnosť, kontinuita, bezpečnosť dodávateľských vzťahov, zhoda s požiadavkami zákonov a zmlúv, riadenie udalostí v oblasti bezpečnosti informácií, zaistenie bezpečnosti informácií
- Oblasť bezpečnosti - riadenie a ekosystém, ochrana, obrana, odolnosť
V novej verzii normy ISO/IEC 27002 bude zavedených dvanásť nových kontrol:
- Správa identít
- Správa hrozieb
- Bezpečnosť informácií pre využívanie cloudových služieb
- Pripravenosť ICT pre zaistenie kontinuity prevozu
- Monitorovanie fyzickej bezpečnosti
- Užívateľské koncové zariadenie
- Správa konfigurácie
- Mazanie informácií
- Prevencia úniku dát
- Filtrovanie webu
- Bezpečné kódovanie
Šestnásť kontrol bolo odstránených z dôvodu duplicity alebo lepšieho zladenia v rámci iných kontrol:
- Prieskum zásad pre bezpečnosť informácií
- Zásady pre mobilné zariadenia
- Vlastníctvo aktív
- Nakladanie s aktívami
- Systém správy hesiel
- Priestory pre nákladku a výkladku
- Navracanie/likvidácia aktív
- Zariadenie bez obsluhy
- Ochrana logov
- Obmedzenie inštalácie softwaru
- Elektronické zasielanie správ
- Zabezpečenie aplikačných služieb vo verejných sieťach
- Ochrana transakcií aplikačných služieb
- Akceptačné testovanie systému
- Hlásenie slabých miest
- Kontrola technickej zhody
- Zakúpenie aktualizovanej normy.
- Preskúmanie novej normy ISO 27002 a jej kontrolných zmien.
- Previesť posúdenie/analýzu rizík.
- Pre zmiernenie všetkých zistených rizík vyberte kontrolné mechanizmy, ktoré sú najvhodnejšie, a podľa toho aktualizujte zásady ISMS, pracovných postupov atď.
- Aktualizujte prehlásenie o aplikovateľnosti (PoA).
Niektoré kontroly a kontrolné prvky boli upravené a integrované do jednej hlavnej kontroly.
Najčastejšie otázky a odpovede pred ukončením platnosti ISO/IEC 27001:2013
Je možné sa nejako pripraviť na novú verziu ISO 27001:2022? Určite áno, chystáme "Bridge" program pre absolventov existujúcich certifikácie. V tomto programe sa dozvedia hlavné rozdiely oboch noriem a best practice pre nastavenie opatrení.
Mám certifikáciu na organizáciu podľa ISO 27001. Čo ma čaká? Pri najbližšom dohľadovom, alebo re-certifikačnom audite, ktorý nastane v dobe vydania novej verzie budete vedúcim audítorom TAYLLORCOX podrobení auditu podľa nových požiadaviek.
Plánoval som kurz zo sekcie ISO 27001, mám ho odložiť a počkať až bude nová norma? Určite nie. Náš pohľad a odborný názor je taký, že pokiaľ to len trochu ide, investujte do znalostí už teraz. Aktuálna verzia tu s kozmetickými zmenami je 20 rokov. Prechod na novú normu bude v rade organizácií postupný a z kariérneho a business pohľadu vidíme obrovský potenciál v upgradovaní starých smerníc ISO 27001 na novú verziu. K tomu je ale dobré orientovať sa v aktuálnych pravidlách, ale aj v tých nových.