STN ISO/IEC 27001:2023 Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia. Systémy manažérstva informačnej bezpečnosti. Požiadavky

Norma STN ISO/IEC 27001:2023 špecifikuje požiadavky na stanovenie, implementáciu, udržiavanie a trvalé zlepšovanie systému manažérstva informačnej bezpečnosti v kontexte organizácie. Je prekladom normy ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection. Information security management systems. Requirements (Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia. Systémy manažérstva informačnej bezpečnosti. Požiadavky).

Po vydaní normy ISO/IEC 27002:2022 vo februári vydala Medzinárodná organizácia pre normalizáciu v októbri novú normu ISO/IEC 27001:2022 Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia. Systémy manažérstva informačnej bezpečnosti. Požiadavky

Vzhľadom na všadeprítomnosť hackerov je implementácia silného systému informačnej bezpečnosti, ktorý spĺňa požiadavky normy ISO/IEC 27001:2022, neoddeliteľnou súčasťou ochrany súkromia údajov organizácie. V tejto súvislosti je potrebné si uvedomiť niekoľko štatistických údajov z posledného obdobia:

• každých 39 sekúnd dôjde na celom svete k jednému hackerskému útoku
• 64 % spoločností na celom svete zažilo v minulom roku nejakú formu kybernetického útoku
• denne je napadnutých 30 000 webových stránok
• e-mail je zodpovedný za 94 % všetkého škodlivého softvéru
• celosvetové ročné náklady na počítačovú kriminalitu sa odhadujú na 6 biliónov dolárov ročne

Čo je ISO/IEC 27001:2022? Čo je STN ISO/IEC 27001:2023?

Norma STN ISO/IEC 27001:2022 poskytuje požiadavky na zriadenie, implementáciu, udržiavanie a zlepšovanie systému riadenia informačnej bezpečnosti (ISMS) v rámci organizácie. ISMS sa vzťahuje na prax ochrany pred neoprávneným použitím informácií, najmä elektronických údajov.

Norma STN ISO/IEC 27001 obsahuje aj požiadavky na posúdenie a ošetrenie rizík informačnej bezpečnosti prispôsobených potrebám organizácie. Požiadavky vymedzené v norme STN ISO/IEC 27001:2023 sú všeobecné a sú určené pre všetky organizácie bez ohľadu na typ, veľkosť alebo povahu organizácie. Nesplnenie niektorej z požiadaviek vymenovaných v kapitolách 4 až 10 nie je akceptovateľné, ak organizácia deklaruje dosiahnutie zhody s týmto dokumentom.

Aké sú zmeny v ISO/IEC 27001:2022 v porovnaní s ISO/IEC 27001:2013?

ISO/IEC 27001:2022 reviduje druhé vydanie tej istej medzinárodnej normy, ktorá bola publikovaná v roku 2013. Jej text bol zmenený tak, aby bol v súlade s harmonizovanou štruktúrou noriem systému manažérstva vydávaných organizáciou ISO.

ISO (ten International Organizácia pre štandardizácia) a IEC (ten International Elektrotechnická komisia) tvoria špecializovaný systém pre celosvetovú normalizáciu. Národné orgány, ktoré sú členmi ISO alebo IEC, sa zúčastňujú na vývoji medzinárodných noriem prostredníctvom technických komisií zriadených príslušnou organizáciou na riešenie konkrétnych oblastí technickej činnosti.

Normu ISO/IEC 27001:2022 pripravila Spoločná technická komisia ISO/IEC JTC 1, Informačné technológie , Subkomisia SC 27, Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia .

Toto tretie vydanie ruší a nahrádza druhé vydanie (ISO/IEC 27001:2013), ktoré bolo technicky revidované. to tiež zahŕňa na Technická Corrigenda ISO/IEC 27001:2013/Cor 1:2014 a ISO/IEC 27001:2013/Cor 2:2015.

Zmeny v základných požiadavkách ISO/IEC 27001:2022 – články 4 až 10

Celkovo zostáva zámer normy rovnaký, pričom základné základné aspekty riadenia rizík zostávajú nezmenené. Na základe prístupu založeného na riziku norma chráni dôvernosť, integritu a dostupnosť informačných aktív.

Základné požiadavky vo všeobecnosti zostávajú rovnaké, s miernymi doplnkami a vylepšeniami fráz.

• Odsek 4.2 (Pochopenie potrieb a očakávaní zainteresovaných strán)
  teraz zahŕňa identifikáciu požiadaviek zainteresovaných strán , ktoré sa budú riešiť prostredníctvom ISMS.
• V kapitole 4.4 (Systém riadenia bezpečnosti informácií) 
  bola pridaná nová fráza, ktorá vyžaduje plánovanie procesov a ich interakcií ako súčasť ISMS.
• V článku 5.3 (Organizačné roly, zodpovednosti a právomoci) 
  bola pridaná nová fráza, ktorá vysvetľuje, že komunikácia rolí sa uskutočňuje interne v rámci organizácie.
• Článok 6.2 (Ciele informačnej bezpečnosti a plánovanie na ich dosiahnutie)
  teraz zahŕňa schopnosť monitorovania cieľov informačnej bezpečnosti.
• (NOVINKA) Odsek 6.3 (Plánovanie zmien)
  obsahuje plán akýchkoľvek zmien v ISMS.
• Odsek 7.4 (Komunikácia),
  bod (e), bol vypustený, čo bola požiadavka na nastavenie procesov pre komunikáciu .
• Článok 8.1 (Prevádzkové plánovanie a kontrola) 
  teraz obsahuje stanovenie kritérií pre bezpečnostné procesy a implementačný proces . Požiadavka na realizáciu plánov na dosiahnutie cieľov bola vypustená. 
• Článok 9.3 (Preskúmanie manažmentom)
  teraz obsahuje preskúmanie zmien v potrebách a očakávaniach zainteresovaných strán a relevantných pre ISMS. 
• Článok 10 (Zlepšenie),
  text doložiek zostal nezmenený . Články zmenili svoje miesto, pričom prvým je Neustále zlepšovanie (10.1) a druhým sú nezhody a nápravné opatrenia (10.2).

Príloha A (Annex A) ISO/IEC 27001:2022

Príloha A ISO/IEC 27001:2022 zaznamenala najväčšiu zmenu. Aktualizovaná verzia prílohy A ISO/IEC 27001:2022 bola kompletne prerobená a revidovaná. V dôsledku toho sa počet kontrol v novej verzii ISO/IEC 27001:2022 znížil zo 114 na 93. Okrem toho sú teraz tieto bezpečnostné kontroly rozdelené do štyroch sekcií namiesto predchádzajúcich 14.  

Okrem toho táto zmena predstavuje hmatateľný pokus urobiť normu ISO/IEC 27001:2022 stručnejšou a jednoduchšou na implementáciu. Presahy a opakovania boli odstránené, aby sa vytvorilo päť hlavných bezpečnostných atribútov, ktoré uľahčujú ich zoskupovanie. 

Zmeny v prílohe A odrážajú zmeny vykonané v novej norme ISO 27002:2022 zverejnenej vo februári 2022, ktorá je doplnkovou normou na implementáciu normy ISO 27001.

Revidované z „referenčných kontrolných cieľov a kontrol“ na „referenčné kontroly informačnej bezpečnosti“ došlo k významným zmenám a aktualizáciám prílohy A. Medzi kľúčové zmeny patria nasledujúce:

• Ovládacie prvky sú preskupené do štyroch oblastí – Organizačná, Ľudia, Fyzikálne a Technologické namiesto predchádzajúcich 14.
  • Časť 5: Organizačné (37 ovládacích prvkov) 
  • Časť 6: Ľudia (8 ovládacích prvkov) 
  • Časť 7: Fyzické (14 ovládacích prvkov) 
  • Časť 8: Technologické (34 ovládacích prvkov) 

• Celkový počet kontrol sa znížil zo 114 na 93 .
  Neboli vylúčené žiadne kontroly, niektoré sa zlúčili kvôli racionalizácii a účinnosti. Preto zníženie počtu ovládacích prvkov.
  • 57 kontrol sa zlúčilo do 24 kontrol.
  • 35 kontrol zostalo rovnakých so zmenou čísla kontroly.
  • 23 ovládacích prvkov bolo premenovaných.
  • Len jedna kontrola bola rozdelená, Kontrola 18.2.3 Kontrola technickej zhody:
    • 5.3.6 – Súlad s politikami, pravidlami a štandardmi pre informačnú bezpečnosť.
    • 8.8 – Riadenie technických zraniteľností

• Bol zavedený koncept atribútov.
  • Typ ovládania
  • Vlastnosti zabezpečenia informácií
  • Koncepcie kybernetickej bezpečnosti
  • Prevádzkové schopnosti
  • Bezpečnostné domény

• Pribudlo 11 nových bezpečnostných kontrol. 
  • A.5.7 Informácie o hrozbách
  • A.5.23 Informačná bezpečnosť pri využívaní cloudových služieb
  • A.5.30 Pripravenosť IKT na kontinuitu podnikania
  • A.7.4 Monitorovanie fyzickej bezpečnosti
  • A.8.9 Správa konfigurácie
  • A.8.10 Vymazanie informácií
  • A.8.11 Maskovanie údajov
  • A.8.12 Zabránenie úniku údajov
  • A.8.16 Monitorovacie činnosti
  • A.8.23 Filtrovanie webu
  • A.8.28 Bezpečné kódovanie

Stručne povedané, 35 kontrol zostalo nezmenených, 23 kontrol bolo premenovaných, 57 kontrol bolo zlúčených do 24 kontrol a bolo pridaných 11 nových kontrol.

ISO/IEC 27001 je v súčasnosti najuznávanejším medzinárodným štandardom pre systémy riadenia informačnej bezpečnosti.

• Pomáha organizáciám stanoviť politiku a ciele riadenia informačnej bezpečnosti a pochopiť, ako je možné riadiť významné aspekty, implementovať potrebné kontroly a stanoviť jasné ciele na zlepšenie bezpečnosti informácií.
• Umožňuje organizácii riadiť svoju povinnosť dodržiavať platné právne požiadavky, ako je GDPR (v spojení s ISO/IEC 27001) a pravidelne kontrolovať stav súladu. To umožňuje neustále zlepšovanie systému, aby sa zabezpečila ochrana a riešenie zraniteľných miest.
• Ide o komplexný prístup k informačnej bezpečnosti. Aktíva, ktoré potrebujú ochranu, siahajú od digitálnych informácií, papierových dokumentov a fyzického majetku (počítače a siete) až po znalosti jednotlivých zamestnancov. Problémy, ktoré treba riešiť, siahajú od rozvoja kompetencií zamestnancov až po technickú ochranu proti počítačovým podvodom.

ISO/IEC 27001 je navrhnutá tak, aby bola kompatibilná a harmonizovaná s inými uznávanými normami systému manažérstva. Je preto ideálna na integráciu do existujúcich manažérskych systémov a procesov.

Pre organizácie s existujúcou certifikáciou ISO/IEC 27001:2013

Nemá to žiadny vplyv na existujúce certifikácie.

Od vydania v októbri 2022 existuje 3-ročné časové prechodné obdobie (do 31. októbra 2025),  aby organizácie prešli na nové požiadavky normy ISO/IEC 27001:2022. Ak je to možné, môže sa to uskutočniť ako súčasť 3-ročného recertifikačného auditu, resp. pri ktoromkoľvek audite ktorý sa uskutoční počas ročného dozorného auditu , alebo ako samostatné hodnotenie.

Ako prejsť na ISO 27001:2022?

Aby organizácie prešli na ISO/IEC 27001:2022, musia prejsť prechodovým auditom certifikačným orgánom, ktorý zhodnotí, že zmeny boli implementované efektívne. Úspešný prechod si vyžaduje efektívnu implementáciu nových požiadaviek ISO/IEC 27001:2022 a dôkladné pochopenie zmien a dopadov na organizácie.  Organizácie sa teda  môžu zamerať na: 

• Vykonajte posúdenie nedostatkov v porovnaní s novým štandardom, aby ste dosiahli súlad s novými požiadavkami ISO/IEC 27001:2022 (GAP analýza)
• Aktualizujte svoje vyhlásenie o použiteľnosti (SoA), aby bolo v súlade s aktualizovanou prílohou A ISO/IEC 27001:2022
• Skontrolujte svoj register rizík a činností, aby ste zabezpečili súlad s revidovanou normou ISO/IEC 27001:2022 a novými požiadavkami a kontrolami.
• Prezrite si a aktualizujte svoju dokumentáciu vrátane zásad a postupov, aby ste splnili aktualizáciu aj nové ovládacie prvky platné pre váš ISMS.

Výhody získania certifikátu ISO/IEC 27001

Norma ISO/IEC 27001 má komplexný prístup k informačnej bezpečnosti a ochrane majetku. ISO/IEC 27001 vám pomôže chrániť vaše informácie v zmysle nasledujúcich zásad:

• Dôvernosť zaisťuje, že informácie sú prístupné len tým, ktorí majú oprávnenie na prístup;
• Integrita zabezpečuje presnosť a úplnosť informácií a metód spracovania;
• Dostupnosť zabezpečuje, že autorizovaní používatelia majú v prípade potreby prístup k informáciám a súvisiacim aktívam;
• Technická ochrana proti počítačovým podvodom.

V prípade Vášho záujmu o implementáciu požiadaviek normy ISO/IEC 27001:2013 resp. požiadaviek normy ISO/IEC 27001:2022 alebo certifikáciu Vášho systému nás prosím kontaktujte cez kontaktný formulár alebo nám píšte na náš mail.