10. Lis 2022

Jaké změny se chystají v oboru

Revize ISO 27001 a ISO 27002:2022 - co přichází, co odchází a co zůstává?

V tomto článku Robert Jamnik, vedoucí oddělení auditorských služeb společnosti CIS, informuje o nadcházejících změnách v normách, standardech a dalších předpisech a diskutuje o možnostech, které tyto změny přinesou v praxi.

Nejprve dobrá zpráva: systém řízení jako takový se nemění. Jádro normy ISO 27001 pro "Informační technologie - Postupy zabezpečení IT - Systémy řízení bezpečnosti informací - Požadavky" (resp. kapitoly 4-10 systému řízení) se tedy revizí v roce 2022 nezmění. Týká se to tedy všech společností, které mají zaveden systém řízení podle ISO 27001.

Druhá dobrá zpráva: Příloha A normy ISO 27001 byla revidována a má zcela novou strukturu kapitol a také čtyři nové praktické tematické oblasti (rozdělené na organizační, personální, fyzické a technické) a nové atributy (opatření) .

Norma ISO 27002 jde vždy ruku v ruce s normou ISO 27001 - obsahuje přibližně 93 obecných opatření (= kontrol), která mají pomoci splnit požadavky normy ISO 27001. Nový název normy naznačuje, že tématům kybernetické bezpečnosti a ochrany soukromí byla ve světě norem ISO 27001 dána vyšší priorita.

Toto nové zaměření se odráží také v nových opatřeních normy ISO 27002 a v příloze A normy ISO 27001:

  • Kontrola hrozeb a zpravodajství o hrozbách

    V budoucnu budou muset společnosti průběžně shromažďovat informace o hrozbách a nástrojích útoku a integrovat je do systému řízení - na strategické, taktické i operativní úrovni.

  • Bezpečnost informací při využívání cloudových služeb

    Celý životní cyklus cloudových služeb - od výběru přes provoz až po ukončení - musí být doprovázen.

  • Vymazání informací

    Nemůžete ztratit informace, které nemáte. Tento koncept, který je znám již z GDPR, nabývá v nové verzi normy na významu. Toto opatření se týká vymazání všech citlivých informací, které již nejsou potřeba, a nikoli (jako v případě GDPR EU) pouze osobních údajů. Obecně tedy platí, že všechna data, která již nejsou potřeba, musí být odstraněna.

  • Monitorování fyzické bezpečnosti

    Místa musí být monitorována, aby se zamezilo neoprávněnému přístupu.

  • Správa konfigurace

    Je jasně zdůrazněn význam aktuální a úplné dokumentace konfigurací softwaru, hardwaru, služeb a sítí.

  • Požadavky na kontinuitu provozu pro ICT (informační a komunikační technologie)

    Podniky musí vypracovat konkrétní požadavky na údržbu infrastruktury ICT a zavést je.

  • Maskování dat

    Zásada minimalizace při používání údajů má v nové verzi normy vlastní bezpečnostní kontrolu. Pojmy, jak je již známe např. z obecného nařízení o ochraně osobních údajů, se tak dostávají konkrétně do přílohy A normy 27001:2022. Ústřední otázkua "Jaké údaje musí být vlastně k dispozici pro jednotlivé kroky procesu?" je třeba na tomto místě zodpovědět nově.

  • Prevence úniku dat

    Opatření k prevenci a odhalování krádeží dat musí být vypracována, zavedena a používána v závislosti na rizicích organizace.

  • Bezpečné kódování

    Bezpečné kódování jako samostatná disciplína při vývoji softwaru se dostává do popředí zájmu. Příslušné koncepty se týkají celého vývojového cyklu softwaru a vedou k softwaru s výrazně menšími nebo ideálně žádnými bezpečnostními mezerami.

  • Monitorování

    Průměrná doba odhalení bezpečnostních incidentů 212 dní plus dalších 75 dní na reakci na ně podtrhuje, o čem tato bezpečnostní kontrola je. Sítě, systémy a aplikace by měly být nepřetržitě monitorovány, zda neobsahují anomálie, aby bylo možné včas přijmout příslušná opatření.

  • Filtrování webu

    V zájmu ochrany vlastní infrastruktury je třeba zabránit přístupu na nedůvěryhodné nebo kompromitované webové stránky.

A co to pro vás znamená v praxi?

Aktuální (třetí) verze normy ISO 27001:2022 nese datum 2022-10. V souladu se stanoveným tříletým přechodným obdobím musí být všechny systémy řízení certifikované podle normy ISO 27001:2013 převedeny nejpozději do konce září 2025, protože certifikáty ISO 27001:2013 poté pozbývají platnosti.

1 rok po zveřejnění bude certifikační orgán CIS provádět pouze nové a počáteční certifikace podle nové normy. V případě dozorových nebo recertifikačních auditů je možné na nový standard přejít průběžně.

Souhrnně lze říci, že příloha A byla aktualizována, aby odrážela současný stav techniky. Aby bylo možné i nadále zohledňovat jak současný stav techniky, tak měnící se situaci v oblasti hrozeb, měly by společnosti řešit faktory, jako je řízení rizik, revize bezpečnostních opatření a program auditu, raději dříve než později.

Máte dotazy k nové normě nebo k tomu, co přesně tato aktualizace znamená pro vaši společnost nebo organizaci? Kontaktujte nás - odborníci z CIS jsou vám vždy k dispozici a rádi vaše připomínky zodpoví!

31. Led 2023

Nové vedení CIS GmbH

Změny v managementu od 01. 01. 2023

26. Led 2023

Online kurz – Implementace změn ISO 27002:2022

Implementace změn a nových požadavků

23. Zář 2022

CIS Compliance Summit 2022

Jaký byl ročník 2022

14. Zář 2022

Zpráva o globálních hrozbách 2022 z oblasti kybernetických útoků

Co by Vám nemělo uniknout!

20. Srp 2022

ISO/IEC 27001:2022 – co je nového?

02. Čvn 2022

Vše o aktualizaci 27002:2022

24. Kvě 2022

Minimalizace rizik pro cloudové služby

certifikace ISO 27017

11. Kvě 2022

Bezpečnost a kvalita

Nejvyšší ohodnocení za integraci 27001 / 9001

14. Dub 2022

Nový komplexní pohled na firmu

Integrace ISO 27001 v Siemens IT Solutions & Services

21. Bře 2022

Audity na dálku

Přínosy & rizika

21. Bře 2022

ISO 27001 ve středně velkých firmách – 3

Úspěšné zavedení ISO 27001

15. Bře 2022

ISO 27001 ve středně velkých firmách – 2

Efektivní implementace

+420 733 180 494