Aktuálna verzia ISO 27001 čoskoro končí. Ako upgradovať ?

Organizácia certifikovaná podľa systému riadenia informačnej bezpečnosti ISO 27001, Interný Audítori, Manažéri Kybernetickej bezpečnosti, Vedúci Audítori, držitelia certifikácie ISO 27001 - Information Security Management System (ISMS) v akejkoľvek podobe (na organizáciu, alebo personálne) musí vymeniť svoje profesijné "vodičáky". Zmena zasiahne prakticky celý sektor informačnej a kybernetickej bezpečnosti.


Posledná revízia normy ISO 27001 prebehla v roku 2013, je to už 9 rokov od vydania aktualizácie, ktorá nesie označenie ISO/IEC 27001:2013. Na ceste je nová verzia ISO/IEC 27001:2022. A v tomto prípade nepôjde o kozmetický upgrade. Tu nezostane kameň na kameni.

Ako sa zmení systém informačnej bezpečnosti?

Vydanie novej normy ISO/IEC 27001 predchádza release ISO/IEC 27002. Ten je naplánovaný na Q1 2022. Spustenie certifikácie podľa novej normy ISO/IEC 27001 bude nasledovať prakticky okamžite.

Spoločný technický výbor Medzinárodnej organizácie pre normalizáciu (ISO) a Medzinárodnej elektrotechnickej komisie (IEC) ISO/IEC JTC 1 mení po takmer 20 rokoch celú štruktúru kontrolného rámca ISO/IEC 27001/27002. Pôjde tak o úplne nový pohľad a požiadavky na organizácie, aj špecialistov informačnej a kybernetickej bezpečnosti.


Základný rozdiel medzi ISO/IEC 27001 a ISO/IEC 27002

Štandard ISO/IEC 27001 kladie požiadavky, ktoré musia byť splnené, aby spoločnosť mohla získať certifikát o zhode od akreditovaného certifikačného orgánu (Conformity Assessment Body - CAB). Norma ISO/IEC 27001 tak dokumentuje požiadavky na vytvorenie, zavedenie, udržovanie a neustále zlepšovanie systému riadenia bezpečnosti informácií.

Norma ISO/IEC 27002 je určená pre všetky organizácie, ktoré ju môžu používať ako referenčný dokument pre výber kontrolných mechanizmov a poskytuje pokyny pre postupy riadenia bezpečnosti informácií vrátane zavedenia a riadenia kontrolných mechanizmov. Organizácie môžu získať certifikát iba podľa noriem, ktoré obsahujú požiadavky, ale nemôžu získať certifikát podľa noriem, ktoré poskytujú pokyny.

Zmeny v ISO/IEC 27001:2022

Medzi hlavné zmeny v ISO/IEC 27001:2022 patrí:

  • Príloha A odkazuje na kontroly v ISO/IEC 27002:2022, čo zahŕňa názov kontroly a vlastnú kontrolu;
  • Poznámka v článku 6.1.3 c) je upravená. Došlo k vypusteniu obratu "cieľov opatrenia" a nahradenie obratom "kontroly bezpečnosti informácií"
  • Znenie článku 6.1.3 d) je upravené tak, aby bolo jasné a odstránená možná nejednoznačnosť.

Zmeny v ISO/IEC 27002:2022

Je upravený samostatný názov normy. Je vypustený text "Súbor postupov" (Code of practice..). Cieľom tejto zmeny je odrážať zamýšľané použitie vo verzii 2022 ako referenčného súboru obecných kontrol a pokynov pre bezpečnosť informácií.

Úplný názov normy bude pravdepodobne "Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia - Kontroly bezpečnosti informácií. " (Information secuity, cybersecurity and privacy protection - Information secuity controls), ktorý odráža širší kontext a aj skutočnosť, že prevencia, detekcia a reakcia na kybernetické útoky je teraz považovaná za ochranu dát.

ISO/IEC 27002:2013 obsahuje 114 kontrol v 14 oblastiach, ISO/IEC 27002:2022 bude obsahovať 93 kontrol v 4 oblastiach:

  • Kapitola 5 - Organizačná (pokiaľ nespadajú do žiadnej inej oblasti) - 37 kontrol
  • Kapitola 6 - Ľudia (pokiaľ sa týkajú jednotlivých ľudí) - 8 kontrol
  • Kapitola 7 - Fyzické (pokiaľ sa týkajú fyzických objektov) - 14 kontrol
  • Kapitola 8 - Technologické (pokiaľ sa týkajú technológií) - 34 kontrol

Pre každú kontrolu bude 5 atribútov:

  • Ako kategorizovať - preventívne, detektívne (vyšetrovacie), nápravné
  • Vlastnosti bezpečnosti informácií - dôvernosť, integrita, dostupnosť
  • Koncepty kybernetickej bezpečnosti - identifikácia, ochrana, detekcia, reakcia, obnova
  • Prevádzkové schopnosti - riadenie, správa aktív, ochrana informácií, bezpečnosť ľudských zdrojov, fyzická bezpečnosť, bezpečnosť systémov a sietí, bezpečnosť aplikácií, bezpečná konfigurácia, správa identít a prístupov, správa hrozieb a zraniteľnosť, kontinuita, bezpečnosť dodávateľských vzťahov, zhoda s požiadavkami zákonov a zmlúv, riadenie udalostí v oblasti bezpečnosti informácií, zaistenie bezpečnosti informácií
  • Oblasť bezpečnosti - riadenie a ekosystém, ochrana, obrana, odolnosť

V novej verzii normy ISO/IEC 27002 bude zavedených dvanásť nových kontrol:

  • Správa identít
  • Správa hrozieb
  • Bezpečnosť informácií pre využívanie cloudových služieb
  • Pripravenosť ICT pre zaistenie kontinuity prevozu
  • Monitorovanie fyzickej bezpečnosti
  • Užívateľské koncové zariadenie
  • Správa konfigurácie
  • Mazanie informácií
  • Prevencia úniku dát
  • Filtrovanie webu
  • Bezpečné kódovanie

Šestnásť kontrol bolo odstránených z dôvodu duplicity alebo lepšieho zladenia v rámci iných kontrol:

  • Prieskum zásad pre bezpečnosť informácií
  • Zásady pre mobilné zariadenia
  • Vlastníctvo aktív
  • Nakladanie s aktívami
  • Systém správy hesiel
  • Priestory  pre nákladku a výkladku
  • Navracanie/likvidácia aktív
  • Zariadenie bez obsluhy
  • Ochrana logov
  • Obmedzenie inštalácie softwaru
  • Elektronické zasielanie správ
  • Zabezpečenie aplikačných služieb vo verejných sieťach
  • Ochrana transakcií aplikačných služieb
  • Akceptačné testovanie systému
  • Hlásenie slabých miest
  • Kontrola technickej zhody      
    • Zakúpenie aktualizovanej normy.
    • Preskúmanie novej normy ISO 27002 a jej kontrolných zmien.
    • Previesť posúdenie/analýzu rizík.
    • Pre zmiernenie všetkých zistených rizík vyberte kontrolné mechanizmy, ktoré sú najvhodnejšie, a podľa toho aktualizujte zásady ISMS, pracovných postupov atď.
    • Aktualizujte prehlásenie o aplikovateľnosti (PoA).

Niektoré kontroly a kontrolné prvky boli upravené a integrované do jednej hlavnej kontroly.

Najčastejšie otázky a odpovede pred ukončením platnosti ISO/IEC 27001:2013

Je možné sa nejako pripraviť na novú verziu ISO 27001:2022? Určite áno, chystáme "Bridge" program pre absolventov existujúcich certifikácie. V tomto programe sa dozvedia hlavné rozdiely oboch noriem a best practice pre nastavenie opatrení.

Mám certifikáciu na organizáciu podľa ISO 27001. Čo ma čaká? Pri najbližšom dohľadovom, alebo re-certifikačnom audite, ktorý nastane v dobe vydania novej verzie budete vedúcim audítorom TAYLLORCOX podrobení auditu podľa nových požiadaviek.

Plánoval som kurz zo sekcie ISO 27001, mám ho odložiť a počkať až bude nová norma? Určite nie. Náš pohľad a odborný názor je taký, že pokiaľ to len trochu ide, investujte do znalostí už teraz. Aktuálna verzia tu s kozmetickými zmenami je 20 rokov. Prechod na novú normu bude v rade organizácií postupný a z kariérneho a business pohľadu vidíme obrovský potenciál v upgradovaní starých smerníc ISO 27001 na novú verziu. K tomu je ale dobré orientovať sa v aktuálnych pravidlách, ale aj v tých nových.

Chcete získať darček k narodeninám?