IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Co je ISO norma?

AXENTA ISO standard

Dobře implementovaný standard ISO 27001 dokáže ve firmě snížit chaos při práci s informacemi, zajistit snížení chyb v informační bezpečnosti a tak přispět k lepšímu fungování firmy, nemluvě o tom, že pokud se podaří firmě získat certifikaci, zvýší si tím důvěryhodnost ze strany jejích zákazníků.

S přihlédnutím ke stavu právě i kybernetické bezpečnosti je ISO 27001, bez ohledu na splnění požadavků na certifikaci, skvělým manuálem i v této oblasti. My se podíváme blíže na změny, které si pro nás připravila aktualizace normy ISO/EIC 27001 a 27002, které patří do skupiny norem 27000, a které představují systém řízení informační bezpečnosti.

Normu 27001 známe již od roku 1995, kdy ještě nesla označení BS 7799. V tomto období ještě nebyla začleněna do ISO/EIC. V roce 2000 již norma obdržela označení ISO/EIC 7799 a následně o 5 let později byla norma začleněna do rodiny norem 27000. Od té doby ji známe se standardním označením ISO/IEC 27001: rok vydání.

AxentaAvšak ISO norma již v roce 2002 zavedla do svého obsahu Demingův model zabezpečení kvality, známý jako PDCA cyklus (Plan-Do-Check-Act). Jedná se o model neustálého zlepšování. Pokud tento cyklus jednou začneme, nikdy bychom ho neměli ukončit. S tímto se velmi ztotožňuji, proto oceňuji i aktualizaci normy ISO. Přijde mi to stejně jako u PDCA. Oblast IT roste nezastavitelnou rychlostí a zejména v oblasti bezpečnosti je potřeba neustálého zlepšování více než na místě.

Tak co se vlastně změní?

Nyní možná zklamu ty, kteří čekali velké změny a potěším ty, kteří přemýšlejí nad certifikací, nebo se po čase budou re-certifikovat. Změny nejsou tak tvrdé, ale je třeba se s nimi seznámit, protože po čase se nás mohou týkat více, než si myslíme.

A teď k věci. Hned v úvodu se nám mění název normy

z

ISO 27001:2013 Information technology — Security techniques — Information security management systems — Requirements

na

ISO 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements

 

Změnou je také zredukování počtu stran z 23 na 19, opět nic dramatické.

Za největší změnu ale považujeme přílohu A – kontroly a následné změny v ISO/EIC 27002:2022.

Ze 14 původních kategorií byly vytvořeny 4, které jsou ale rozšířenější. Kategorie a počty kontrol v jednotlivých kategoriích jsou rozděleny následovně:

  • Lidé, pokud se týkají individuálních lidí (8 kontrol)
  • Fyzické, pokud se týkají fyzických objektů (14 kontrol)
  • Technologické, pokud se týkají technologií (34 kontrol)
  • Organizační (37 kontrol)

 

Původních 114 kontrol bylo zredukováno na 93 kontrol, ale přibylo 11 nových, které jsme dříve v ISO neznali. Kontroly, které byly sloučeny, odstraněny a následně ty nejdůležitější, které přibyly, si vyobrazíme v tabulkách.

Sloučené kontroly
5.1 Policies for information 5.1.1, 5.1.2 8.1 User endpoint devices 6.2.1, 11.2.8
5.9 Inventory of information and other associated assets 8.1.1, 8.1.2 8.8 Management of technical vulnerabilities 12.6.1, 18.2.3
5.14 Information transfer 13.2.1, 13.2.2, 13.2.3 8.15 Logging 12.4.1, 12.4.2, 12.4.3
5.15 Access control 9.1.1, 9.4.3 8.24 Use of cryptography 10.1.1, 10.1.2, 18.1.5
5.16 Identity management 9.2.1, 9.4.3 8.25 Secure development lifecycle 14.1.1, 14.2.1
5.17 Authentication information 9.2.4, 9.3.1 8.26 Application security requirements 14.1.2, 14.1.3
5.18 Access rights 9.2.2, 9.2.5, 9.2.6 8.29 Security testing in development and acceptance 14.2.8, 14.2.9
5.22 Monitoring, review and change management of supplier services 15.2.1, 15.2.2 8.31 separation of development, test and production enviroments 12.1.4, 14.2.6
5.29 Information security during distruption 17.1.1, 17.1.2, 17.1.2 8.32 Change management 12.1.2, 14.2.2, 14.2.3, 14.2.4
7.10 Storage media 8.3.1, 8.3.2, 8.3.3

 

Zrušené kontroly
8.2.3 Handling of assets 11.2.5 Removal of assets 16.1.3 Reporting information security weaknesses

Nejdůležitější část změn představují nové kontroly, které patří mezi zmíněných 11 nových. Seznam nových kontrol je následující:

  • 5.7 Threat Inlligence (Organizační kontroly)
  • 5.23 Informační bezpečnost při používání cloudových služeb (Organizační kontroly)
  • 5.30 Připravenost ICT pro business kontinuitu (Organizační kontroly)
  • 7.4 Monitorování fyzické bezpečnosti (Fyzické kontroly)
  • 8.9 Řízení konfigurace (Technologické kontroly)
  • 8.10 Mazání informací (Technologické kontroly)
  • 8.11 Maskování dat (Technologické kontroly)
  • 8.12 Předcházení úniku dat (Technologické kontroly)
  • 8.16 Monitorování aktivit (Technologické kontroly)
  • 8.23 Web filtrování (Technologické kontroly)
  • 8.28 Bezpečné kódování (Technologické kontroly)

 

Všechny kontroly, které ISO představilo jako nové, ti, kteří se dlouhodobě pohybují v odvětví IT a kybernetické bezpečnosti, jistě ocení. Nelze nezmínit fakt, že právě technologie v oblasti monitoringu kybernetické bezpečnosti dokáží naplnit některé technologické požadavky, které plynou z novely ISO 27001. Právě v technologické oblasti je počet kontrol nejvyšší.

Zajímavé prvky, které byly v normě přidány jsou atributy označované pomocí #. Konkrétně se bude jednat o:

  • Vlastnosti informační bezpečnosti – Známé jako CIA (#Confidentiality #Integrity #Availability)
  • Typ opatření (#Preventive #Detective #Protective #Corrective)
  • Koncepce kybernetické bezpečnosti (#Identifiy #Protect #Detect #Respond #Recover) – Tyto atributy jsou v souladu s NIST
  • Bezpečnostní domény (#Gover_and_Ecosystem; #Protection; #Defence; #Resilience)
  • Provozní oblasti (#Asset_management; #Information_protection; #Human_resource_security; #Physical_security; #System_and_network_security…)

 

Všechny prvky s jejich # budou uvedeny v tabulce hned pod názvem kapitoly.

AXENTA ISO

Atributy u každé kapitoly budou v budoucnu velmi dobře využitelné například při reportingu, ale určitě si každá organizace najde i vlastní využití těchto atributů.

Jak to bude s časem a termíny?

Nová vylepšená verze ISO/EIC 27001 byla zveřejněna 25.10.2022. S tímto datem se následně pojí termíny pro uživatele normy ISO a to:

  • Poslední možná certifikace a re-certifikace podle ISO/EIC 27001:2013 bude možná ještě 18 měsíců po zveřejnění normy 2022
  • Přechod na novou ISO certifikaci (ukončení přechodného období) je stanoven na 3 roky od vydání aktualizované ISO normy (říjen 2025)

 

Na závěr si uvedeme kroky, které musí organizace učinit, pokud již má ISMS ve společnosti zavedeny. Těchto 8 kroků sepsal autor Andrey Prozorov (Technical Compliance Manager at Finnplay), který vystihl podstatu věcně a jasně, proto si je dovolím uvést i v tomto článku.

  1. Přezkoumat plán zacházení s riziky (RTP), jeho sladění s novou strukturou a číslováním kontrol.
  2. Prozkoumat a aktualizovat naše SoA. Doporučeno je použití 2 tabulek (r. 2013 a 2022) po dobu následujících 1 – 2 let
  3. Přezkoumat a aktualizovat postup přezkumu řízení ISMS (vstupy).
  4. Přezkoumat a aktualizovat cíle IS a postup monitorování, měření, analýzy a hodnocení.
  5. Přezkoumat a aktualizovat komunikační plán ISMS.
  6. Přezkoumat a aktualizovat ostatní politiky norem a postupů (je-li to nutné).
  7. Přezkoumat a aktualizovat kontrolní seznamy a dotazníky používané při auditech (interních a externích).
  8. Vyhodnotit a případně přizpůsobit bezpečnostní nástroje třetích stran (např. GRC, SIEM, VM), abyste zajistili, že záznamy, které používáte k prokázání shody, podporují nové požadavky.

 

Autor: Alexandra Rusňáková, Security Analyst, AXENTA a.s.