Zmeny v pripravovanej verzii noriem ISO 27001 a 27002

Spoločnosť, ktorá nie je certifikovaná a na certifikáciu sa pripravuje alebo ju má v blízkej budúcnosti v pláne, bude pravdepodobne chcieť ísť priamo na verziu 2022. Spoločnosť, ktorá je certifikovaná, môže zostať istú dobu pod pôvodnou verziou a zrejme je vhodné urobiť plán prechodu na novú verziu normy. Doba prechodu na novú verziu ISO štandardu je z pohľadu certifikácie akceptovaná na 2 roky po uvedení – publikovaní tejto (počas tejto nebude povinnosť – avšak z pohľadu efektívnosti je vhodné ísť rovno na ISO27k 2022 verziu). Ďalej, je taktiež potrebné vziať do úvahy aj jazykové verzie, podľa ktorých sú organizácie certifikované. Jazykové mutácie vyjdú, prirodzene, neskôr. Napríklad slovenský preklad vydá SÚTN až keď daný preklad vznikne, bude schválený a zaradený do repozitára SÚTN.

Výhodou implementácie bezpečnostných opatrení v novej verzii je, že keďže sú po novom identifikovateľné podľa atribútov, bude sa jednoduchšie možné zamerať na konkrétny výber daných bezpečnostných opatrení. Toto by mohlo znížiť záťaž súvisiacu s dodržiavaním súladu a/alebo pomôcť zistiť, ako lepšie integrovať dané bezpečnostné procesy, čím sa ISMS (systém riadenia informačnej bezpečnosti) bude aj jednoduchšie implementovať a ďalej udržiavať a riadiť.

Hlavné aspekty, ktoré bude potrebné pre organizácie certifikované na ISO 27001 pri prechode na novú verziu vziať do úvahy:

Proces riadenia rizík reflektuje bezpečnostnými opatreniami aj na prílohu A, teda bezpečnostné opatrenia by sa mali, ale nevyhnutne nemusia zmeniť a adaptovať na nové. Nie je povinné, bezpečnostné opatrenia na znižovanie rizík na (pod) akceptovateľnú zostatkovú hodnotu rizika môžeme mať odkiaľkoľvek (katalóg rizík). Z pohľadu práce konzultantov pracujeme s (rozšírenou) verziou ktorá obsahuje všetky pôvodné ISO27k Annex A opatrenia (z dôvodu deklarácie čistoty súladu zákazníka pred certifikačnou autoritou (audit)) a budeme musieť upraviť ako katalóg aktív tak aj metodiku riadenia rizík a analýzy rizík.
Posúdenie o aplikovateľnosti (Statement of Applicability) bude musieť byť zmenené a reflektovať na nové opatrenia v Annex A (detto konzultačné činnosti a napr. GAP analýza pre ISO 27k u zákazníka).
Úprava metrík na meranie nových a existujúcich zmenených opatrení.
Zásah do zloženia (skladby) politík a smerníc (ako súčasť ISMS), keďže tieto reflektujú (spravidla pre každý prípad v danej organizácii inak) na definované opatrenia.
Zásah do riadenia tretích strán.
Zásah do plánu interných auditov ktoré by mali reflektovať na aktuálnu sadu opatrení.
Úprava auditných checklistov a compliance checklistov pre GAP analýzy, interné audity a podobne.

Termín a status zmien v normách:

27002:2022: Under development; Texty schválené (fáza „Approval“ ukončená), aktuálne prebieha fáza „International standard under publication“, plánované vydanie február 2022. Viď. https://www.iso.org/standard/75652.html
27001:2022 – bude vydaná krátko po 27002:2022, zmeny budú reflektovať na zmeny ISO 27002. Viď. https://www.iso.org/standard/75652.html

Hlavné zmeny normy ISO 27002:

Odstránil sa výraz „Kódex postupov“
Zmenila sa štruktúra dokumentu
Niektoré bezpečnostné opatrenia (controls) boli zlúčené, niektoré boli zrušené a boli niektoré zavedené nové opatrenia.
Bezpečnostné opatrenia sú teraz štruktúrované do 4 domén:
- Organizačné opatrenia (37 opatrení)
- Opatrenia týkajúce sa ľudí (8 opatrení)
- Opatrenia týkajúce sa fyzickej bezpečnosti (14 opatrení)
- Technologické opatrenia (34 opatrení)

Nanovo existuje 5 atribútov (aj tzv. hashtags (#)) riadenia pre každý bezpečnostné opatrenie:

Kategorizácia – preventívne, detektívne, nápravné
Vlastnosti bezpečnosti informácií – dôvernosť, integrita, dostupnosť
Koncepty kybernetickej bezpečnosti – identifikovať, chrániť, detkovať, reagovať, obnovovať (odkaz na NIST Cybersecurity Framework a NIST 800-171
Operačné schopnosti – riadenie súladu, správa aktív, ochrana informácií , bezpečnosť ľudských zdrojov, fyzická bezpečnosť, bezpečnosť informačných systémov a sietí, bezpečnosť aplikácií, bezpečná konfigurácia, riadenie identít a prístupov, riadenie hrozieb a zraniteľností, riadenie kontinuity, bezpečnosť vo vzťahoch s dodávateľmi, právo a súlad, riadenie bezpečnostných udalostí, poistenie informačnej bezpečnosti (security assurance)
Bezpečnostné domény – riadenie súladu a ekosystém, ochrana, obrana, odolnosť

V novej verzii ISO/IEC 27002 bolo zavedených 17 (niektoré zdroje – napr. uvedený ANSI blog - uvádzajú 12 (združenie)) nových bezpečnostných opatrení:

Inteligencia, manažment hrozieb
Riadenie identít
Autentifikačné informácie
Riadenie informačnej bezpečnosti v dodávateľských reťazcoch ICT
Informačná bezpečnosť pri využívaní cloudových služieb
Pripravenosť ICT pre riadenie kontinuity činností
Monitorovanie fyzickej bezpečnosti
Práca na diaľku
Pamäťové médiá
Konfigurácia a manažment koncových zariadení používateľov
Bezpečné zmazanie informácií
Maskovanie údajov
Prevencia úniku dát
Filtrovanie webu
Požiadavky na bezpečnosť aplikácií
Bezpečná systémová architektúra a inžinierske princípy
Bezpečné programovanie

Šestnásť opatrení bolo vymazaných z dôvodu duplikácie alebo lepšieho zosúladenia s inými opatreniami:

Preskúmanie zásad pre informačnú bezpečnosť
Politika mobilných zariadení
Vlastníctvo aktív
Manipulácia s aktívami
Systém správy hesiel
Priestory pre nakládku a vykládku
Odstránenie aktív
Používateľské vybavenie bez dozoru
Ochrana log záznamov
Obmedzenia inštalácie softvéru
Elektronické odosielanie správ
Zabezpečenie aplikačných služieb vo verejných sieťach
Ochrana transakcií aplikačných služieb
Testovanie a akceptácia systémov
Hlásenie bezpečnostných zraniteľností
Kontrola technického súladu

K hore uvedenému si môžeme uviesť niekoľko príkladov:

„Súpis majetku“ je upravený ako „Súpis informácií a iného súvisiaceho majetku“.
„Prijateľné použitie aktív“ sa zmenilo na „Prijateľné použitie informácií a iných súvisiacich aktív“.
Politika kryptografických ovládacích prvkov a správy kľúčov atď. sa zmenila na „Použitie ovládacích prvkov kryptografie“.
Protokolovanie udalostí bolo premenované na „Logging“.
Protokoly správcu a operátora sa zmenili na „Monitorovacie aktivity“.
Zásady a postupy prenosu informácií, dohoda o prenose informácií atď. sú kombinované ako hlavné opatrenie v časti „Prenos informácií“.

Zoznam bezpečnostných opatrení podľa ISO 27002:2022:

ISO 27002 5 Organizačné opatrenia
ISO 27002 5.1 Bezpečnostné politiky
ISO 27002 5.2 Úlohy a zodpovednosti v informačnej bezpečnosti
ISO 27002 5.3 Rozdelenie právomocí (povinností – segregation of duties)
ISO 27002 5.4 Manažérske zodpovednosti
ISO 27002 5.5 Kontakt s autoritami (úradmi a štátnou mocou)
ISO 27002 5.6 Kontakt so špeciálnymi záujmovými skupinami
ISO 27002 5.7 Inteligencia, manažment hrozieb (threat intelligence) – novinka
ISO 27002 5.8 Informačná bezpečnosť v riadení projektov
ISO 27002 5.9 Inventarizácia informácií a iných súvisiacich aktív – zmena
ISO 27002 5.10 Akceptovateľné použitie informácií a iných súvisiacich aktív – zmena
ISO 27002 5.11 Vrátenie aktív
ISO 27002 5.12 Klasifikácia informácií
ISO 27002 5.13 Označovanie informácií
ISO 27002 5.14 Prenos informácií
ISO 27002 5.15 Kontrola prístupov
ISO 27002 5.16 Riadenie identít – novinka
ISO 27002 5.17 Autentifikačné informácie – novinka
ISO 27002 5.18 Prístupové práva – zmena
ISO 27002 5.19 Informačná bezpečnosť v rámci dodávateľských vzťahov
ISO 27002 5.20 Riešenie informačnej bezpečnosti v rámci dodávateľských zmlúv
ISO 27002 5.21 Riadenie informačnej bezpečnosti v dodávateľských reťazcoch ICT (supply chain) – novinka
ISO 27002 5.22 Monitorovanie, kontrola a riadenie zmien dodávateľských služieb – zmena
ISO 27002 5.23 Informačná bezpečnosť pri využívaní cloudových služieb – novinka
ISO 27002 5.24 Plánovanie a príprava riadenia bezpečnostných incidentov – zmena
ISO 27002 5.25 Posudzovanie a rozhodovanie o bezpečnostných udalostiach
ISO 27002 5.26 Reakcia na bezpečnostné incidenty
ISO 27002 5.27 Poučenie sa z bezpečnostných incidentov
ISO 27002 5.28 Zber dôkazov
ISO 27002 5.29 Informačná bezpečnosť pri prerušení služieb v rámci riadenia kontinuity činností (BCM) – zmena
ISO 27002 5.30 Pripravenosť ICT na riadenie kontinuity činností (BCM) – novinka
ISO 27002 5.31 Identifikácia právnych, zákonných, regulačných a zmluvných požiadaviek
ISO 27002 5.32 Ochrana duševného vlastníctva
ISO 27002 5.33 Ochrana (LOG) záznamov
ISO 27002 5.34 Súkromie a ochrana osobných údajov
ISO 27002 5.35 Nezávislé preskúmanie informačnej bezpečnosti
ISO 27002 5.36 Súlad so zásadami a štandardmi pre informačnú bezpečnosť
ISO 27002 5.37 Zdokumentované prevádzkové postupy

ISO 27002 6 Opatrenia týkajúce sa ľudí

ISO 27002 6.1 Screening
ISO 27002 6.2 Podmienky zamestnávania
ISO 27002 6.3 Bezpečnostné povedomie, vzdelávanie a školenia
ISO 27002 6.4 Disciplinárny proces
ISO 27002 6.5 Zodpovednosti po ukončení alebo pri zmene zamestnania
ISO 27002 6.6 Dohody o mlčanlivosti alebo mlčanlivosti
ISO 27002 6.7 Práca na diaľku – novinka
ISO 27002 6.8 Hlásenie bezpečnostných udalostí

ISO 27002 7 Opatrenia týkajúce sa fyzickej bezpečnosti

ISO 27002 7.1 Perimeter z pohľadu fyzickej bezpečnosti
ISO 27002 7.2 Bezpečnostné opatrenia na zabezpečenie vstupov
ISO 27002 7.3 Zabezpečenie kancelárií, miestností a objektov
ISO 27002 7.4 Monitorovanie fyzickej bezpečnosti – novinka
ISO 27002 7.5 Ochrana pred fyzickými a environmentálnymi hrozbami
ISO 27002 7.6 Práca v zabezpečených priestoroch
ISO 27002 7.7 Zásada čistého stola a čistej obrazovky
ISO 27002 7.8 Bezpečnosť v rámci umiestnenia a ochrany zariadení
ISO 27002 7.9 Bezpečnosť aktív mimo prevádzkových priestorov
ISO 27002 7.10 Pamäťové médiá – novinka
ISO 27002 7.11 Bezpečnosť podporných zariadení a nástrojov (supporting utilities)
ISO 27002 7.12 Bezpečnosť kabeláže
ISO 27002 7.13 Údržba zariadení
ISO 27002 7.14 Bezpečná likvidácia zariadení alebo ich opätovné použitie

ISO 27002 8 Technologické opatrenia

ISO 27002 8.1 Konfigurácia a manažment koncových zariadení používateľov – novinka
ISO 27002 8.2 Privilegované prístupové práva
ISO 27002 8.3 Obmedzenie prístupu k informáciám
ISO 27002 8.4 Prístup k zdrojovému kódu
ISO 27002 8.5 Bezpečné overovanie
ISO 27002 8.6 Manažment kapacít
ISO 27002 8.7 Ochrana proti malvéru
ISO 27002 8.8 Manažment technických zraniteľností
ISO 27002 8.9 Správa konfigurácií
ISO 27002 8.10 Bezpečné zmazanie informácií – novinka
ISO 27002 8.11 Maskovanie údajov – novinka
ISO 27002 8.12 Prevencia úniku dát (DLP) – novinka
ISO 27002 8.13 Zálohovanie informácií
ISO 27002 8.14 Redundancia zariadení na spracovanie informácií
ISO 27002 8.15 Logovanie
ISO 27002 8.16 Monitoring aktivít
ISO 27002 8.17 Synchronizácia času
ISO 27002 8.18 Používanie privilegovaných pomocných programov (nástrojov – utilities)
ISO 27002 8.19 Inštalácia softvéru do operačných systémov
ISO 27002 8.20 Bezpečnosť sietí
ISO 27002 8.21 Bezpečnosť sieťových služieb
ISO 27002 8.22 Filtrovanie webu – novinka
ISO 27002 8.23 Segregácia sietí
ISO 27002 8.24 Používanie kryptografických opatrení
ISO 27002 8.25 Bezpečný životný cyklus vývoja (SDLC/SSDLC)
ISO 27002 8.26 Požiadavky na bezpečnosť aplikácií – novinka
ISO 27002 8.27 Bezpečná systémová architektúra a inžinierske princípy – novinka
ISO 27002 8.28 Bezpečné programovanie – novinka
ISO 27002 8.29 Testovanie bezpečnosti vo vývoji a akceptácii informačných systémov a služieb
ISO 27002 8.30 Outsourcovaný vývoj
ISO 27002 8.31 Oddelenie vývojového, testovacieho a produkčného prostredia
ISO 27002 8.32 Manažment zmien
ISO 27002 8.33 Testovacie informácie
ISO 27002 8.34 Ochrana informačných systémov pri audite a testovaní – novinka

Zdroje: