10. Lis 2022

Jaké změny se chystají v oboru

Revize ISO 27001 a ISO 27002:2022 - co přichází, co odchází a co zůstává?

V tomto článku Robert Jamnik, vedoucí oddělení auditorských služeb společnosti CIS, informuje o nadcházejících změnách v normách, standardech a dalších předpisech a diskutuje o možnostech, které tyto změny přinesou v praxi.

Nejprve dobrá zpráva: systém řízení jako takový se nemění. Jádro normy ISO 27001 pro "Informační technologie - Postupy zabezpečení IT - Systémy řízení bezpečnosti informací - Požadavky" (resp. kapitoly 4-10 systému řízení) se tedy revizí v roce 2022 nezmění. Týká se to tedy všech společností, které mají zaveden systém řízení podle ISO 27001.

Druhá dobrá zpráva: Příloha A normy ISO 27001 byla revidována a má zcela novou strukturu kapitol a také čtyři nové praktické tematické oblasti (rozdělené na organizační, personální, fyzické a technické) a nové atributy (opatření) .

Norma ISO 27002 jde vždy ruku v ruce s normou ISO 27001 - obsahuje přibližně 93 obecných opatření (= kontrol), která mají pomoci splnit požadavky normy ISO 27001. Nový název normy naznačuje, že tématům kybernetické bezpečnosti a ochrany soukromí byla ve světě norem ISO 27001 dána vyšší priorita.

Toto nové zaměření se odráží také v nových opatřeních normy ISO 27002 a v příloze A normy ISO 27001:

  • Kontrola hrozeb a zpravodajství o hrozbách

    V budoucnu budou muset společnosti průběžně shromažďovat informace o hrozbách a nástrojích útoku a integrovat je do systému řízení - na strategické, taktické i operativní úrovni.

  • Bezpečnost informací při využívání cloudových služeb

    Celý životní cyklus cloudových služeb - od výběru přes provoz až po ukončení - musí být doprovázen.

  • Vymazání informací

    Nemůžete ztratit informace, které nemáte. Tento koncept, který je znám již z GDPR, nabývá v nové verzi normy na významu. Toto opatření se týká vymazání všech citlivých informací, které již nejsou potřeba, a nikoli (jako v případě GDPR EU) pouze osobních údajů. Obecně tedy platí, že všechna data, která již nejsou potřeba, musí být odstraněna.

  • Monitorování fyzické bezpečnosti

    Místa musí být monitorována, aby se zamezilo neoprávněnému přístupu.

  • Správa konfigurace

    Je jasně zdůrazněn význam aktuální a úplné dokumentace konfigurací softwaru, hardwaru, služeb a sítí.

  • Požadavky na kontinuitu provozu pro ICT (informační a komunikační technologie)

    Podniky musí vypracovat konkrétní požadavky na údržbu infrastruktury ICT a zavést je.

  • Maskování dat

    Zásada minimalizace při používání údajů má v nové verzi normy vlastní bezpečnostní kontrolu. Pojmy, jak je již známe např. z obecného nařízení o ochraně osobních údajů, se tak dostávají konkrétně do přílohy A normy 27001:2022. Ústřední otázkua "Jaké údaje musí být vlastně k dispozici pro jednotlivé kroky procesu?" je třeba na tomto místě zodpovědět nově.

  • Prevence úniku dat

    Opatření k prevenci a odhalování krádeží dat musí být vypracována, zavedena a používána v závislosti na rizicích organizace.

  • Bezpečné kódování

    Bezpečné kódování jako samostatná disciplína při vývoji softwaru se dostává do popředí zájmu. Příslušné koncepty se týkají celého vývojového cyklu softwaru a vedou k softwaru s výrazně menšími nebo ideálně žádnými bezpečnostními mezerami.

  • Monitorování

    Průměrná doba odhalení bezpečnostních incidentů 212 dní plus dalších 75 dní na reakci na ně podtrhuje, o čem tato bezpečnostní kontrola je. Sítě, systémy a aplikace by měly být nepřetržitě monitorovány, zda neobsahují anomálie, aby bylo možné včas přijmout příslušná opatření.

  • Filtrování webu

    V zájmu ochrany vlastní infrastruktury je třeba zabránit přístupu na nedůvěryhodné nebo kompromitované webové stránky.

A co to pro vás znamená v praxi?

Aktuální (třetí) verze normy ISO 27001:2022 nese datum 2022-10. V souladu se stanoveným tříletým přechodným obdobím musí být všechny systémy řízení certifikované podle normy ISO 27001:2013 převedeny nejpozději do konce září 2025, protože certifikáty ISO 27001:2013 poté pozbývají platnosti.

1 rok po tomto zveřejnění bude certifikační orgán CIS provádět nové a počáteční certifikace pouze podle nové normy. V případě dozorových nebo recertifikačních auditů je možné na nový standard přejít průběžně.

Souhrnně lze říci, že příloha A byla aktualizována, aby odrážela současný stav techniky. Aby bylo možné i nadále zohledňovat jak současný stav techniky, tak měnící se situaci v oblasti hrozeb, měly by společnosti řešit faktory, jako je řízení rizik, revize bezpečnostních opatření a program auditu, raději dříve než později.

Máte dotazy k nové normě nebo k tomu, co přesně tato aktualizace znamená pro vaši společnost nebo organizaci? Kontaktujte nás - odborníci z CIS jsou vám vždy k dispozici a rádi vaše připomínky zodpoví!

28. Kvě 2024

Jaký způsob získávání znalostí je nejúčinnější?

Co očekáváte od dalšího vzdělávání?

20. Kvě 2024

Online kurz: Refreshing kurz pro manažery a auditory IS

2024: nový termín

17. Kvě 2024

Podrobněji o TISAX®: 12 cílů hodnocení

Bezpečnost informací v automobilovém průmyslu

15. Kvě 2024

Podrobněji o TISAX®: tři úrovně hodnocení

Bezpečnost informací v automobilovém průmyslu

02. Kvě 2024

TISAX®: Bezpečnost informací v automobilovém průmyslu

V rychlém pruhu

22. Dub 2024

ISO 42001 – nová norma pro umělou inteligenci

První světový standard pro umělou inteligenci

06. Bře 2024

Budoucnost AI a vlastnictví dat

Balancování mezi AI, bezpečností informací a vlastnictvím dat - II.část

29. Úno 2024

Ztrácíme kvůli AI kontrolu nad svými daty?

Balancování mezi AI, bezpečností informací a vlastnictvím dat

19. Úno 2024

Norma EN 50600 podporuje udržitelnost

12. Úno 2024

Nově jsme certifikačním orgánem pro EN 50600

Nyní v naší nabídce!

05. Úno 2024

Barometr rizik: kybernetické útoky

Celosvětové riziko číslo 1

12. Led 2024

DORA – Odolnost ve finančním sektoru

Zákon o digitální provozní odolnosti

+420 733 180 494