Co přinese revize norem ISO 27001 a ISO 27002?

Zavádíte či udržujete Systém řízení bezpečnosti informací – ISMS (Information Security Management System) dle norem řady ISO 27000? Nebo o zavedení uvažujete?

V letošním roce nás čeká nová verze norem ISO 27001 a ISO 27002 a nutno říct, že autoři to vzali opravdu “z gruntu”- mění se celá struktura kontrolního rámce ISO 27001 a ISO 27002. Od poslední aktualizace v roce 2013 uplynulo dlouhých 9 let, určitý upgrade už je tedy na místě. Organizace, které se snaží k řízení bezpečnosti informací přistupovat systematicky, případně mají zájem o certifikaci dle této normy nebo její udržení, by proto měly zpozornět.

Připomeňme si, že norma ISO 27001 stanovuje požadavky na vytvoření, zavedení, udržování a neustálé zlepšování systému řízení bezpečnosti informací. Norma ISO 27002 je v podstatě referenční dokument k ISO 27001, sloužící pro výběr kontrolních mechanismů, poskytuje pokyny pro postupy řízení bezpečnosti informací a pro zavádění a řízení kontrolních mechanismů. Obě tyto ISO normy představují tak trochu spojené nádoby. Organizace však mohou získat certifikát pouze podle norem, které obsahují požadavky (ISO 27001), ale nemohou získat certifikát podle norem, které poskytují pokyny (ISO 27002).

Chystaná revize v číslech

ISO 27002:2013 obsahuje 114 kontrol ve 14 oblastech,

ISO 27002:2022 bude obsahovat 93 kontrol pouze ve 4 oblastech:

• Organizační: 37 opatření
• Personální: 8 opatření
• Fyzická: 14 opatření
• Technická: 34 opatření

Ve struktuře normy tak dochází k výraznému slučování kontrol i oblastí. Nenechte se ovšem zmást – po obsahové stránce materie spíše přibyde.

Ke každé kontrole se nově vztahuje pět atributů, pro účely jejich lepší kategorizace (a tím i přehlednosti v rámci organizace), přičemž jedno opatření může mít přiřazeno více atributů ze stejné skupiny:

• Druh opatření – preventivní, detektivní, nápravné,
• Vlastnosti bezpečnosti informací – důvěrnost, dostupnost, integrita,
• Fáze kybernetické bezpečnosti – identifikace, ochrana, detekce, reakce, obnova,
• Provozní schopnosti - řízení, správa aktiv, ochrana informací, bezpečnost lidských zdrojů, fyzická bezpečnost, bezpečnost systémů a sítí, bezpečnost aplikací, bezpečná konfigurace, správa identit a přístupu, správa hrozeb a zranitelností, kontinuita, bezpečnost dodavatelských vztahů, shoda s požadavky zákonů a smluv, řízení událostí v oblasti bezpečnosti informací, zajištění bezpečnosti informací
• Oblasti bezpečnosti – správa a ekosystém, ochrana, obrana, odolnost.

Organizace si může zvolit i další, vlastní atributy pro účinnější správu bezpečnostních opatření (například stupeň vyspělosti opatření, prioritu, stav implementace atd.).

Nové oblasti pro přijímání opatření

Pozornost je nutné věnovat také oblastem, ve kterých bude nově vyžadováno přijímání opatření:

• Vymazání informací (informace uložené v informačních systémech a zařízeních by měly být vymazány, pokud již nejsou potřebné);
• Monitorování fyzické bezpečnosti (nepřetržitý monitoring prostor s cílem předejít neoprávněnému přístupu osob);
• Provádění správy hrozeb (informace o hrozbách informační bezpečnosti by měly být shromažďovány a analyzovány);
• Používání cloudových služeb (celý proces využívání cloudových služeb by měl být v souladu s požadavky organizace na bezpečnost informací);
• Monitorování činnosti v sítích a systémech (mělo by být monitorováno neobvyklé chování a vyhodnocovány potenciální incidenty bezpečnosti informací);
• Bezpečné kódování (týká se vývoje softwaru - aplikace zásad bezpečného kódování);
• Zamezení úniku dat (na systémy, sítě a zařízení, které operují s citlivými informacemi by měla být aplikována opatření k předcházení úniku dat);
• Příprava ICT na kontinuitu podnikání (připravenost ICT by měla být mj. testována na základě cílů kontinuity podnikání a požadavků na kontinuitu ICT);
• Filtrování webu (omezit přístup k externím webovým stránkám, aby se snížilo vystavení škodlivému obsahu);
• Řízení konfigurace (konfigurace - včetně bezpečnostních konfigurací, hardwaru, softwaru, služeb a sítí - by měly být mj. zdokumentovány, monitorovány a přezkoumávány).
• Maskování dat (zamaskovaná data jsou umělá, avšak reálně vyhlížející data, která mají stejný statistický charakter jako původní provozní data, včetně zachované integrity dat a vazeb mezi objekty a aplikacemi. Těmito daty lze nahradit provozní „ostrá“ data pro účely výzkumu, vývoje a testování, při současné eliminaci rizika úniku citlivých dat. Maskování údajů by mělo být používáno v souladu s politikou organizace zaměřenou na řízení přístupu a obchodními požadavky, se zohledněním legislativních požadavků).

Po vydání nové normy v letošním roce začíná běžet tzv. přechodové období, které mají společnosti na to, aby si aktualizovaly svůj systém řízení bezpečnosti informací. To zpravidla trvá 2 roky.