Co přinese revize norem ISO 27001 a ISO 27002?

Přehled novinek

Co přinese revize norem ISO 27001 a ISO 27002?

Co přinese revize norem ISO 27001 a ISO 27002?

Zavádíte či udržujete Systém řízení bezpečnosti informací – ISMS (Information Security Management System) dle norem řady ISO 27000? Nebo o zavedení uvažujete?

V letošním roce nás čeká nová verze norem ISO 27001 a ISO 27002 a nutno říct, že autoři to vzali opravdu “z gruntu”- mění se celá struktura kontrolního rámce ISO 27001 a ISO 27002. Od poslední aktualizace v roce 2013 uplynulo dlouhých 9 let, určitý upgrade už je tedy na místě. Organizace, které se snaží k řízení bezpečnosti informací přistupovat systematicky, případně mají zájem o certifikaci dle této normy nebo její udržení, by proto měly zpozornět.

Připomeňme si, že norma ISO 27001 stanovuje požadavky na vytvoření, zavedení, udržování a neustálé zlepšování systému řízení bezpečnosti informací. Norma ISO 27002 je v podstatě referenční dokument k ISO 27001, sloužící pro výběr kontrolních mechanismů, poskytuje pokyny pro postupy řízení bezpečnosti informací a pro zavádění a řízení kontrolních mechanismů. Obě tyto ISO normy představují tak trochu spojené nádoby. Organizace však mohou získat certifikát pouze podle norem, které obsahují požadavky (ISO 27001), ale nemohou získat certifikát podle norem, které poskytují pokyny (ISO 27002).

Chystaná revize v číslech

ISO 27002:2013 obsahuje 114 kontrol ve 14 oblastech,

ISO 27002:2022 bude obsahovat 93 kontrol pouze ve 4 oblastech:

Organizační

37 opatření

Workers Icon

Personální

8 opatření

Fyzická

14 opatření

Technická

34 opatření

Ve struktuře normy tak dochází k výraznému slučování kontrol i oblastí. Nenechte se ovšem zmást – po obsahové stránce materie spíše přibyde.

Ke každé kontrole se nově vztahuje pět atributů, pro účely jejich lepší kategorizace (a tím i přehlednosti v rámci organizace), přičemž jedno opatření může mít přiřazeno více atributů ze stejné skupiny:

  • Druh opatření – preventivní, detektivní, nápravné,
  • Vlastnosti bezpečnosti informací – důvěrnost, dostupnost, integrita,
  • Fáze kybernetické bezpečnosti – identifikace, ochrana, detekce, reakce, obnova,
  • Provozní schopnosti - řízení, správa aktiv, ochrana informací, bezpečnost lidských zdrojů, fyzická bezpečnost, bezpečnost systémů a sítí, bezpečnost aplikací, bezpečná konfigurace, správa identit a přístupu, správa hrozeb a zranitelností, kontinuita, bezpečnost dodavatelských vztahů, shoda s požadavky zákonů a smluv, řízení událostí v oblasti bezpečnosti informací, zajištění bezpečnosti informací
  • Oblasti bezpečnosti – správa a ekosystém, ochrana, obrana, odolnost.

Organizace si může zvolit i další, vlastní atributy pro účinnější správu bezpečnostních opatření (například stupeň vyspělosti opatření, prioritu, stav implementace atd.).

Nové oblasti pro přijímání opatření

Pozornost je nutné věnovat také oblastem, ve kterých bude nově vyžadováno přijímání opatření:

  • Vymazání informací (informace uložené v informačních systémech a zařízeních by měly být vymazány, pokud již nejsou potřebné);
  • Monitorování fyzické bezpečnosti (nepřetržitý monitoring prostor s cílem předejít neoprávněnému přístupu osob);
  • Provádění správy hrozeb (informace o hrozbách informační bezpečnosti by měly být shromažďovány a analyzovány);
  • Používání cloudových služeb (celý proces využívání cloudových služeb by měl být v souladu s požadavky organizace na bezpečnost informací);
  • Monitorování činnosti v sítích a systémech (mělo by být monitorováno neobvyklé chování a vyhodnocovány potenciální incidenty bezpečnosti informací);
  • Bezpečné kódování (týká se vývoje softwaru - aplikace zásad bezpečného kódování);
  • Zamezení úniku dat (na systémy, sítě a zařízení, které operují s citlivými informacemi by měla být aplikována opatření k předcházení úniku dat);
  • Příprava ICT na kontinuitu podnikání (připravenost ICT by měla být mj. testována na základě cílů kontinuity podnikání a požadavků na kontinuitu ICT);
  • Filtrování webu (omezit přístup k externím webovým stránkám, aby se snížilo vystavení škodlivému obsahu);
  • Řízení konfigurace (konfigurace - včetně bezpečnostních konfigurací, hardwaru, softwaru, služeb a sítí - by měly být mj. zdokumentovány, monitorovány a přezkoumávány).
  • Maskování dat (zamaskovaná data jsou umělá, avšak reálně vyhlížející data, která mají stejný statistický charakter jako původní provozní data, včetně zachované integrity dat a vazeb mezi objekty a aplikacemi. Těmito daty lze nahradit provozní „ostrá“ data pro účely výzkumu, vývoje a testování, při současné eliminaci rizika úniku citlivých dat. Maskování údajů by mělo být používáno v souladu s politikou organizace zaměřenou na řízení přístupu a obchodními požadavky, se zohledněním legislativních požadavků).

Po vydání nové normy v letošním roce začíná běžet tzv. přechodové období, které mají společnosti na to, aby si aktualizovaly svůj systém řízení bezpečnosti informací. To zpravidla trvá 2 roky.

Information Security Management System

Jednoduché řešení pro získání nebo soulad s ISO 27001

Chci vědět více
  • Security
  • Security, ISO

Vložit komentář k článku

Přidejte komentář, abychom věděli, co si o tomto tématu myslíte.

Přidat komentář

Autor

Lucie Linhartova, SoftwareONE Blog Author

Lucie Linhartová

Associate Consultant

Související články

Bezpečnostní funkce Microsoft 365 | SoftwareONE Blog
  • 16 září 2022
  • Martin Trněný
  • Security

Bezpečnostní funkce Microsoft 365

Ani v době cloudových služeb nemůžeme opomíjet hledisko zabezpečení dat. V rámci služby Microsoft 365 najdeme řadu nástrojů a mechanismů, které možná nejsou všeobecně známé.

Security
  • 08 září 2022
  • Lucie Linhartová
  • Security
  • Security

Co je Disaster Recovery plán a jak jej vytvořit?

Katastrofa může postihnout podnik kdykoli a v různých formách. Bez přípravy a ochrany dat hrozí, že takovou událost váš podnik nepřežije, anebo přežije jen s velkými ztrátami.

Azure Sentinel | SoftwareONE Blog
  • 16 srpna 2022
  • SoftwareONE Czech Republic
  • Security

Azure Sentinel

Začít bojovat s kyberútoky v okamžiku, kdy je už vaše síť napadena, je zoufale pozdě. Aby byla vaše obrana účinná, musí útok detekovat a zastavit ještě dříve, než se dokáže rozvinout. Pomůže s tím řešení, využívající pro detekci hrozeb analýzu dat.