Zmeny v pripravovanej verzii noriem ISO 27001 a 27002

Spoločnosť, ktorá nie je certifikovaná a na certifikáciu sa pripravuje alebo ju má v blízkej budúcnosti v pláne, bude pravdepodobne chcieť ísť priamo na verziu 2022. Spoločnosť, ktorá je certifikovaná, môže zostať istú dobu pod pôvodnou verziou a zrejme je vhodné urobiť plán prechodu na novú verziu normy. Doba prechodu na novú verziu ISO štandardu je z pohľadu certifikácie akceptovaná na 2 roky po uvedení – publikovaní tejto (počas tejto nebude povinnosť – avšak z pohľadu efektívnosti je vhodné ísť rovno na ISO27k 2022 verziu). Ďalej, je taktiež potrebné vziať do úvahy aj jazykové verzie, podľa ktorých sú organizácie certifikované. Jazykové mutácie vyjdú, prirodzene, neskôr. Napríklad slovenský preklad vydá SÚTN až keď daný preklad vznikne, bude schválený a zaradený do repozitára SÚTN.

Výhodou implementácie bezpečnostných opatrení v novej verzii je, že keďže sú po novom identifikovateľné podľa atribútov, bude sa jednoduchšie možné zamerať na konkrétny výber daných bezpečnostných opatrení. Toto by mohlo znížiť záťaž súvisiacu s dodržiavaním súladu a/alebo pomôcť zistiť, ako lepšie integrovať dané bezpečnostné procesy, čím sa ISMS (systém riadenia informačnej bezpečnosti) bude aj jednoduchšie implementovať a ďalej udržiavať a riadiť.

Hlavné aspekty, ktoré bude potrebné pre organizácie certifikované na ISO 27001 pri prechode na novú verziu vziať do úvahy:

  • Proces riadenia rizík reflektuje bezpečnostnými opatreniami aj na prílohu A, teda bezpečnostné opatrenia by sa mali, ale nevyhnutne nemusia zmeniť a adaptovať na nové. Nie je povinné, bezpečnostné opatrenia na znižovanie rizík na (pod) akceptovateľnú zostatkovú hodnotu rizika môžeme mať odkiaľkoľvek (katalóg rizík). Z pohľadu práce konzultantov pracujeme s (rozšírenou) verziou ktorá obsahuje všetky pôvodné ISO27k Annex A opatrenia (z dôvodu deklarácie čistoty súladu zákazníka pred certifikačnou autoritou (audit)) a budeme musieť upraviť ako katalóg aktív tak aj metodiku riadenia rizík a analýzy rizík.
  • Posúdenie o aplikovateľnosti (Statement of Applicability) bude musieť byť zmenené a reflektovať na nové opatrenia v Annex A (detto konzultačné činnosti a napr. GAP analýza pre ISO 27k u zákazníka).
  • Úprava metrík na meranie nových a existujúcich zmenených opatrení.
  • Zásah do zloženia (skladby) politík a smerníc (ako súčasť ISMS), keďže tieto reflektujú (spravidla pre každý prípad v danej organizácii inak) na definované opatrenia.
  • Zásah do riadenia tretích strán.
  • Zásah do plánu interných auditov ktoré by mali reflektovať na aktuálnu sadu opatrení.
  • Úprava auditných checklistov a compliance checklistov pre GAP analýzy, interné audity a podobne.

Termín a status zmien v normách:

Hlavné zmeny normy ISO 27002:

  • Odstránil sa výraz „Kódex postupov“
  • Zmenila sa štruktúra dokumentu
  • Niektoré bezpečnostné opatrenia (controls) boli zlúčené, niektoré boli zrušené a boli niektoré zavedené nové opatrenia.
  • Bezpečnostné opatrenia sú teraz štruktúrované do 4 domén:
    • Organizačné opatrenia (37 opatrení)
    • Opatrenia týkajúce sa ľudí (8 opatrení)
    • Opatrenia týkajúce sa fyzickej bezpečnosti (14 opatrení)
    • Technologické opatrenia (34 opatrení)

Nanovo existuje 5 atribútov (aj tzv. hashtags (#)) riadenia pre každý bezpečnostné opatrenie: 

  1. Kategorizácia – preventívne, detektívne, nápravné 
  2. Vlastnosti bezpečnosti informác – dôvernosť, integrita, dostupnosť 
  3. Koncepty kybernetickej bezpečnosti – identifikovať, chrániť, detkovať, reagovať, obnovovať (odkaz na NIST Cybersecurity Framework a NIST 800-171
  4. Operačné schopnosti – riadenie súladu, správa aktív, ochrana informácií , bezpečnosť ľudských zdrojov, fyzická bezpečnosť, bezpečnosť informačných systémov a sietí, bezpečnosť aplikácií, bezpečná konfigurácia, riadenie identít a prístupov, riadenie hrozieb a zraniteľností, riadenie kontinuity, bezpečnosť vo vzťahoch s dodávateľmi, právo a súlad, riadenie bezpečnostných udalostí, poistenie informačnej bezpečnosti (security assurance)
  5. Bezpečnostné domény – riadenie súladu a ekosystém, ochrana, obrana, odolnosť 

V novej verzii ISO/IEC 27002 bolo zavedených 17 (niektoré zdroje – napr. uvedený ANSI blog - uvádzajú 12 (združenie)) nových bezpečnostných opatrení: 

  • Inteligencia, manažment hrozieb 
  • Riadenie identít
  • Autentifikačné informácie 
  • Riadenie informačnej bezpečnosti v dodávateľských reťazcoch ICT 
  • Informačná bezpečnosť pri využívaní cloudových služieb 
  • Pripravenosť ICT pre riadenie kontinuity činností 
  • Monitorovanie fyzickej bezpečnosti 
  • Práca na diaľku 
  • Pamäťové médiá
  • Konfigurácia a manažment koncových zariadení používateľov
  • Bezpečné zmazanie informácií 
  • Maskovanie údajov 
  • Prevencia úniku dát 
  • Filtrovanie webu 
  • Požiadavky na bezpečnosť aplikácií 
  • Bezpečná systémová architektúra a inžinierske princípy
  • Bezpečné programovanie 

Šestnásť opatrení bolo vymazaných z dôvodu duplikácie alebo lepšieho zosúladenia s inými opatreniami: 

  • Preskúmanie zásad pre informačnú bezpečnosť 
  • Politika mobilných zariadení 
  • Vlastníctvo aktív 
  • Manipulácia s aktívami 
  • Systém správy hesiel 
  • Priestory pre nakládku a vykládku
  • Odstránenie aktív 
  • Používateľské vybavenie bez dozoru 
  • Ochrana log záznamov 
  • Obmedzenia inštalácie softvéru 
  • Elektronické odosielanie správ 
  • Zabezpečenie aplikačných služieb vo verejných sieťach 
  • Ochrana transakcií aplikačných služieb 
  • Testovanie a akceptácia systémov 
  • Hlásenie bezpečnostných zraniteľností
  • Kontrola technického súladu

K hore uvedenému si môžeme uviesť niekoľko príkladov: 

  1. „Súpis majetku“ je upravený ako „Súpis informácií a iného súvisiaceho majetku“. 
  2. „Prijateľné použitie aktív“ sa zmenilo na „Prijateľné použitie informácií a iných súvisiacich aktív“. 
  3. Politika kryptografických ovládacích prvkov a správy kľúčov atď. sa zmenila na „Použitie ovládacích prvkov kryptografie“. 
  4. Protokolovanie udalostí bolo premenované na „Logging“. 
  5. Protokoly správcu a operátora sa zmenili na „Monitorovacie aktivity“. 
  6. Zásady a postupy prenosu informácií, dohoda o prenose informácií atď. sú kombinované ako hlavné opatrenie v časti „Prenos informácií“.

Zoznam bezpečnostných opatrení podľa ISO 27002:2022: 

  • ISO 27002 5 Organizačné opatrenia
  • ISO 27002 5.1 Bezpečnostné politiky
  • ISO 27002 5.2 Úlohy a zodpovednosti v informačnej bezpečnosti 
  • ISO 27002 5.3 Rozdelenie právomocí (povinností – segregation of duties)
  • ISO 27002 5.4 Manažérske zodpovednosti
  • ISO 27002 5.5 Kontakt s autoritami (úradmi a štátnou mocou)
  • ISO 27002 5.6 Kontakt so špeciálnymi záujmovými skupinami
  • ISO 27002 5.7 Inteligencia, manažment hrozieb (threat intelligence) – novinka
  • ISO 27002 5.8 Informačná bezpečnosť v riadení projektov
  • ISO 27002 5.9 Inventarizácia informácií a iných súvisiacich aktív – zmena
  • ISO 27002 5.10 Akceptovateľné použitie informácií a iných súvisiacich aktív –  zmena
  • ISO 27002 5.11 Vrátenie aktív
  • ISO 27002 5.12 Klasifikácia informácií
  • ISO 27002 5.13 Označovanie informácií
  • ISO 27002 5.14 Prenos informácií
  • ISO 27002 5.15 Kontrola prístupov
  • ISO 27002 5.16 Riadenie identít – novinka
  • ISO 27002 5.17 Autentifikačné informácie – novinka
  • ISO 27002 5.18 Prístupové práva – zmena
  • ISO 27002 5.19 Informačná bezpečnosť v rámci dodávateľských vzťahov
  • ISO 27002 5.20 Riešenie informačnej bezpečnosti v rámci dodávateľských zmlúv
  • ISO 27002 5.21 Riadenie informačnej bezpečnosti v dodávateľských reťazcoch ICT (supply chain) – novinka
  • ISO 27002 5.22 Monitorovanie, kontrola a riadenie zmien dodávateľských služieb –  zmena
  • ISO 27002 5.23 Informačná bezpečnosť pri využívaní cloudových služieb – novinka
  • ISO 27002 5.24 Plánovanie a príprava riadenia bezpečnostných incidentov –  zmena
  • ISO 27002 5.25 Posudzovanie a rozhodovanie o bezpečnostných udalostiach
  • ISO 27002 5.26 Reakcia na bezpečnostné incidenty
  • ISO 27002 5.27 Poučenie sa z bezpečnostných incidentov
  • ISO 27002 5.28 Zber dôkazov
  • ISO 27002 5.29 Informačná bezpečnosť pri prerušení služieb v rámci riadenia kontinuity činností (BCM) – zmena
  • ISO 27002 5.30 Pripravenosť ICT na riadenie kontinuity činností (BCM) – novinka
  • ISO 27002 5.31 Identifikácia právnych, zákonných, regulačných a zmluvných požiadaviek
  • ISO 27002 5.32 Ochrana duševného vlastníctva
  • ISO 27002 5.33 Ochrana (LOG) záznamov
  • ISO 27002 5.34 Súkromie a ochrana osobných údajov
  • ISO 27002 5.35 Nezávislé preskúmanie informačnej bezpečnosti
  • ISO 27002 5.36 Súlad so zásadami a štandardmi pre informačnú bezpečnosť
  • ISO 27002 5.37 Zdokumentované prevádzkové postupy

ISO 27002 6 Opatrenia týkajúce sa ľudí

  • ISO 27002 6.1 Screening
  • ISO 27002 6.2 Podmienky zamestnávania
  • ISO 27002 6.3 Bezpečnostné povedomie, vzdelávanie a školenia
  • ISO 27002 6.4 Disciplinárny proces
  • ISO 27002 6.5 Zodpovednosti po ukončení alebo pri zmene zamestnania
  • ISO 27002 6.6 Dohody o mlčanlivosti alebo mlčanlivosti
  • ISO 27002 6.7 Práca na diaľku – novinka
  • ISO 27002 6.8 Hlásenie bezpečnostných udalostí

ISO 27002 7 Opatrenia týkajúce sa fyzickej bezpečnosti

  • ISO 27002 7.1 Perimeter z pohľadu fyzickej bezpečnosti
  • ISO 27002 7.2 Bezpečnostné opatrenia na zabezpečenie vstupov
  • ISO 27002 7.3 Zabezpečenie kancelárií, miestností a objektov
  • ISO 27002 7.4 Monitorovanie fyzickej bezpečnosti – novinka
  • ISO 27002 7.5 Ochrana pred fyzickými a environmentálnymi hrozbami
  • ISO 27002 7.6 Práca v zabezpečených priestoroch
  • ISO 27002 7.7 Zásada čistého stola a čistej obrazovky
  • ISO 27002 7.8 Bezpečnosť v rámci umiestnenia a ochrany zariadení
  • ISO 27002 7.9 Bezpečnosť aktív mimo prevádzkových priestorov
  • ISO 27002 7.10 Pamäťové médiá – novinka
  • ISO 27002 7.11 Bezpečnosť podporných zariadení a nástrojov (supporting utilities)
  • ISO 27002 7.12 Bezpečnosť kabeláže
  • ISO 27002 7.13 Údržba zariadení
  • ISO 27002 7.14 Bezpečná likvidácia zariadení alebo ich opätovné použitie

ISO 27002 8 Technologické opatrenia

  • ISO 27002 8.1 Konfigurácia a manažment koncových zariadení používateľov – novinka
  • ISO 27002 8.2 Privilegované prístupové práva
  • ISO 27002 8.3 Obmedzenie prístupu k informáciám
  • ISO 27002 8.4 Prístup k zdrojovému kódu
  • ISO 27002 8.5 Bezpečné overovanie
  • ISO 27002 8.6 Manažment kapacít
  • ISO 27002 8.7 Ochrana proti malvéru
  • ISO 27002 8.8 Manažment technických zraniteľností
  • ISO 27002 8.9 Správa konfigurácií
  • ISO 27002 8.10 Bezpečné zmazanie informácií – novinka
  • ISO 27002 8.11 Maskovanie údajov – novinka
  • ISO 27002 8.12 Prevencia úniku dát (DLP) – novinka
  • ISO 27002 8.13 Zálohovanie informácií
  • ISO 27002 8.14 Redundancia zariadení na spracovanie informácií
  • ISO 27002 8.15 Logovanie
  • ISO 27002 8.16 Monitoring aktivít
  • ISO 27002 8.17 Synchronizácia času
  • ISO 27002 8.18 Používanie privilegovaných pomocných programov (nástrojov – utilities)
  • ISO 27002 8.19 Inštalácia softvéru do operačných systémov
  • ISO 27002 8.20 Bezpečnosť sietí
  • ISO 27002 8.21 Bezpečnosť sieťových služieb
  • ISO 27002 8.22 Filtrovanie webu – novinka
  • ISO 27002 8.23 Segregácia sietí
  • ISO 27002 8.24 Používanie kryptografických opatrení
  • ISO 27002 8.25 Bezpečný životný cyklus vývoja (SDLC/SSDLC)
  • ISO 27002 8.26 Požiadavky na bezpečnosť aplikácií – novinka
  • ISO 27002 8.27 Bezpečná systémová architektúra a inžinierske princípy – novinka
  • ISO 27002 8.28 Bezpečné programovanie – novinka
  • ISO 27002 8.29 Testovanie bezpečnosti vo vývoji a akceptácii informačných systémov a služieb
  • ISO 27002 8.30 Outsourcovaný vývoj
  • ISO 27002 8.31 Oddelenie vývojového, testovacieho a produkčného prostredia
  • ISO 27002 8.32 Manažment zmien
  • ISO 27002 8.33 Testovacie informácie
  • ISO 27002 8.34 Ochrana informačných systémov pri audite a testovaní – novinka

Zdroje: 

  1. https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:dis:ed-3:v1:en
  2. https://www.iso.org/standard/75652.html
  3. https://blog.ansi.org/?p=168607
  4. https://blog.ansi.org/anab/changes-new-iso-iec-27001-iso-iec-27002/
  5. https://hightable.io/the-ultimate-guide-to-iso-27002-changes-2022/#iso-27002-6-people-controls
  6. https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:dis:ed-3:v1:en
  7. https://www.iso.org/standard/75652.html
  8. https://www.iso.org/standard/75652.html