Aktuality

Aké zmeny priniesla nová norma ISO/IEC 27002:2022? Aký ma vplyv na certifikáciu systémov informačnej bezpečnosti? Aký je rozdiel medzi ISO/IEC 27001 a ISO/IEC 27002?

Rok 2022 bude pre rodinu noriem radu ISO/IEC 27000 kľúčový. Vo februári vyšla revidovaná norma ISO/IEC 27002:2022 a ISO 27001 ju bude nasledovať. Aký je ale rozdiel medzi týmito dvoma normami? Načo sú zamerané a prečo by ich mali organizácie poznať? 

Čo je ISO/IEC 27001?

Norma ISO/IEC 27001 špecifikuje požiadavky na zostavenie, implementáciu, prevádzku, monitorovanie, preskúmanie a zlepšovanie systému manažmentu informačnej bezpečnosti. Cieľom normy je systematicky zabezpečiť aby nedošlo k narušeniu informačnej bezpečnosti organizácie a zamedziť tak vážnym finančným škodám alebo prípadným ťažkostiam straty dôveryhodnosti organizácie.

Táto medzinárodná norma špecifikuje požiadavky na vytvorenie, zavedenie, údržbu a stále zlepšovanie systému riadenia informačnej bezpečnosti v kontexte organizácie. Táto medzinárodná norma obsahuje aj požiadavky na posúdenie a ošetrenie rizík informačnej bezpečnosti prispôsobených potrebám organizácie. Požiadavky vymedzené v tejto medzinárodnej norme sú všeobecné a sú určené pre všetky organizácie bez rozdielu typu, veľkosti alebo pôvodu. Nesplnenie niektorej z požiadaviek vymenovaných v kapitolách 4 až 10 nie je akceptovateľné, ak organizácia konštatuje dosiahnutie zhody s touto medzinárodnou normou.

Čo je ISO/IEC 27002?

Norma ISO/IEC 27002 predstavuje zoznam špecifických požiadaviek na bezpečnosť. Táto norma navrhuje a podrobne popisuje použitie bezpečnostných kontrol v organizáciách. Pozostáva zo špecifických usmernení týkajúcich sa vývoja štandardov organizačnej bezpečnosti a účinných postupov riadenia bezpečnosti, ktoré pomáhajú budovať dôvernosť v rámci organizačných činností. 

Táto medzinárodná norma poskytuje návod na organizovanie informačnej bezpečnosti a skúsenosti na riadenie informačnej bezpečnosti vrátane výberu, zavedenia a riadenia opatrení, ktoré treba zohľadniť v organizácii v prostredí bezpečnostných rizík.

Táto medzinárodná norma je vytvorená pre organizácie, ktoré majú záujem:

  • vybrať opatrenia v rámci procesov zavedenia riadenia informačnej bezpečnosti podľa normy ISO/IEC 27001;
  • zaviesť všeobecne platné opatrenia informačnej bezpečnosti;
  • vytvoriť vlastné návody na riadenie informačnej bezpečnosti.

Aký je rozdiel medzi ISO/IEC 27001 a ISO/IEC 27002?

  • ISO/IEC 27001 poskytuje požiadavky pre organizácie, ktoré chcú zaviesť, implementovať, udržiavať a neustále zlepšovať systém riadenia informačnej bezpečnosti. 
  • ISO/IEC 27002 je medzinárodná  norma používaná ako pomôcka , podpora na usmernenie zavedenia informačnej bezpečnosti. Je to implementačná norma založená na návrhoch a osvedčených postupoch. 
  • V tomto ohľade je hlavný rozdiel v tom, že organizácie môžu získať certifikáciu podľa ISO/IEC 27001 , zatiaľ čo nemôžu získať certifikáciu podľa ISO/IEC 27002. 
  • ISO/IEC 27002 slúži ako podporný materiál pri implementácii požiadaviek a kontrol ISO/IEC 27001.

Čo sa zmenilo v ISO/IEC 27002:2022?

  • 35 kontrol zostalo rovnakých a spolu s novými kontrolami boli presunuté do 4 sekcií;
  • bolo pridaných 11 nových kontrol;
  • 23 ovládacích prvkov bolo premenovaných, aby boli zrozumiteľnejšie
  • Aj keď sa počet kontrol znížil (zo 114  na 93 ) neboli vylúčené žiadne kontroly, len sa pospájali
  • 57  kontrol bolo zlúčených do 24  kontrol;
  • Kontrola 18.2.3 Preskúmanie technického súladu bola rozdelená na:
    • 5.3.6 – Súlad s politikami, pravidlami a štandardmi pre informačnú bezpečnosť; /Compliance with policies, rules and standards for information security/
    • 8.8 – Riadenie technických zraniteľností /Management of technical vulnerabilities/

Šruktura normy

Norma ISO/IEC 27002:2013 špecifikuje v 14 kapitolách, 35 kategóriách celkom 114 opatrení bezpečnosti informácií. Každá z kategórií obsahuje cieľ, ktorý sa má dosiahnuť a jedno alebo viac opatrení.

Norma ISO/IEC 27002 obsahuje 4 hlavné kapitoly a dve informatívne prílohy. Kapitoly 5 až 8 delia 93 opatrení bezpečnosti informácií do 4 kategórií (pozri nižšie). Informatívna príloha A je venovaná atribútom opatrení bezpečnosti informácií a informatívna príloha B mapuje novú a predchádzajúcu štruktúru normy (oboma smermi).

Kategórie a ďalšie atribúty bezpečnostných opatrení

Norma aplikuje hlavné kategórie opatrení, podľa ktorých sú v novej verzii normy bezpečnostné opatrenia zoskupené. Opatrenia sú kategorizované ako organizačné opatrenia (kapitola 5), ​​opatrenia spojené s ľuďmi (kapitola 6), fyzické opatrenia (kapitola 7) a technologické opatrenia (kapitola 8).

Norma zavádza päť ďalších atribútov opatrení, ktoré umožňujú opatrenia ďalej zoskupovať a triediť.

  • Typy opatrení: preventívne, detekčné a nápravné
  • Vlastnosti bezpečnosti informácií: dôvernosť, integrita a dostupnosť
  • Koncepty kybernetickej bezpečnosti: identifikácia, ochrana, detekcia, odozva a obnova
  • Operačné schopnosti: governancia, riadenie aktív, ochrana informácií, bezpečnosť ľudských zdrojov, fyzická bezpečnosť, bezpečnosť systémov a sietí. bezpečnosť aplikácií, ochrana konfigurácií, riadenie identít a prístupu, riadenie hrozieb a zraniteľností, kontinuita, bezpečnosť vo vzťahoch s dodávateľmi, právne predpisy a compliance, riadenie udalostí bezpečnosti informácií, uistenie o bezpečnosti informácií
  • Bezpečnostné domény: governancia a ekosystém, ochrana, obrana a odolnosť

Platí, že jedno opatrenie môže mať priradených viac atribútov z rovnakej skupiny. Napríklad ochrana proti malwaru je opatrením preventívnym, detekčným aj nápravným. Organizácia si môže zvoliť ďalšie atribúty, ktoré jej umožnia lepšiu správu bezpečnostných opatrení. Príkladom je stupeň vyspelosti opatrení, status implementácie, priorita opatrenia atď.

Nové opatrenia aj zlučovanie pôvodných opatrení

Celkový počet opatrení sa znížil zo 114 opatrení uvedených v norme ISO/IEC 27002:2013 na 93 opatrení v novej ISO/IEC 27002:2022. To je dané tým, že niektoré opatrenia sú zlúčené. Napríklad existujúce opatrenia 8.1.1 – Zoznam aktív a 8.1.2. – Vlastníctvo aktív sú spojené do jedného opatrenia 5.09 – Zoznam informácií a ďalších súvisiacich aktív. V norme sa vyskytuje aj 12 úplne nových opatrení:

  • 5.07 – Zhromažďovanie a analýza informácií o hrozbách
  • 5.23 – Bezpečnosť informácií pre používanie cloudových služieb
  • 5.30 – Pripravenosť IKT na kontinuitu podnikania
  • 7.04 – Monitorovanie fyzického zabezpečenia
  • 8.09 – Riadenie konfigurácie
  • 8.10 – Vymazanie informácií
  • 8.11 – Maskovanie dát
  • 8.12 – Prevencia úniku dát
  • 8.16 – Monitorovacou činnosťou
  • 8.23 – Filtrovanie webov
  • 8.28 – Bezpečné kódovanie

Hlavné zmeny normy ISO 27002:

  • Odstránil sa výraz „Kódex postupov“
  • Zmenila sa štruktúra dokumentu
  • Niektoré bezpečnostné opatrenia (controls) boli zlúčené, niektoré boli zrušené a boli niektoré zavedené nové opatrenia.
  • Bezpečnostné opatrenia sú teraz štruktúrované do 4 domén:
    • Organizačné opatrenia (37 opatrení)
    • Opatrenia týkajúce sa ľudí (8 opatrení)
    • Opatrenia týkajúce sa fyzickej bezpečnosti (14 opatrení)
    • Technologické opatrenia (34 opatrení)

Nanovo existuje 5 atribútov (aj tzv. hashtags (#)) riadenia pre každý bezpečnostné opatrenie: 

  1. Kategorizácia – preventívne, detektívne, nápravné 
  2. Vlastnosti bezpečnosti informác – dôvernosť, integrita, dostupnosť 
  3. Koncepty kybernetickej bezpečnosti – identifikovať, chrániť, detkovať, reagovať, obnovovať (odkaz na NIST Cybersecurity Framework a NIST 800-171
  4. Operačné schopnosti – riadenie súladu, správa aktív, ochrana informácií , bezpečnosť ľudských zdrojov, fyzická bezpečnosť, bezpečnosť informačných systémov a sietí, bezpečnosť aplikácií, bezpečná konfigurácia, riadenie identít a prístupov, riadenie hrozieb a zraniteľností, riadenie kontinuity, bezpečnosť vo vzťahoch s dodávateľmi, právo a súlad, riadenie bezpečnostných udalostí, poistenie informačnej bezpečnosti (security assurance)
  5. Bezpečnostné domény – riadenie súladu a ekosystém, ochrana, obrana, odolnosť 

V novej verzii ISO/IEC 27002 bolo zavedených 17 (niektoré zdroje – napr. uvedený ANSI blog – uvádzajú 12 (združenie)) nových bezpečnostných opatrení: 

  • Inteligencia, manažment hrozieb 
  • Riadenie identít
  • Autentifikačné informácie 
  • Riadenie informačnej bezpečnosti v dodávateľských reťazcoch ICT 
  • Informačná bezpečnosť pri využívaní cloudových služieb 
  • Pripravenosť ICT pre riadenie kontinuity činností 
  • Monitorovanie fyzickej bezpečnosti 
  • Práca na diaľku 
  • Pamäťové médiá
  • Konfigurácia a manažment koncových zariadení používateľov
  • Bezpečné zmazanie informácií 
  • Maskovanie údajov 
  • Prevencia úniku dát 
  • Filtrovanie webu 
  • Požiadavky na bezpečnosť aplikácií 
  • Bezpečná systémová architektúra a inžinierske princípy
  • Bezpečné programovanie 

Šestnásť opatrení bolo vymazaných z dôvodu duplikácie alebo lepšieho zosúladenia s inými opatreniami: 

  • Preskúmanie zásad pre informačnú bezpečnosť 
  • Politika mobilných zariadení 
  • Vlastníctvo aktív 
  • Manipulácia s aktívami 
  • Systém správy hesiel 
  • Priestory pre nakládku a vykládku
  • Odstránenie aktív 
  • Používateľské vybavenie bez dozoru 
  • Ochrana log záznamov 
  • Obmedzenia inštalácie softvéru 
  • Elektronické odosielanie správ 
  • Zabezpečenie aplikačných služieb vo verejných sieťach 
  • Ochrana transakcií aplikačných služieb 
  • Testovanie a akceptácia systémov 
  • Hlásenie bezpečnostných zraniteľností
  • Kontrola technického súladu

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená.