Revize ISO 27001 a ISO 27002:2022 - co přichází, co odchází a co zůstává?

Nejprve dobrá zpráva: systém řízení jako takový se nemění. Jádro normy ISO 27001 pro "Informační technologie - Postupy zabezpečení IT - Systémy řízení bezpečnosti informací - Požadavky" (resp. kapitoly 4-10 systému řízení) se tedy revizí v roce 2022 nezmění. Týká se to tedy všech společností, které mají zaveden systém řízení podle ISO 27001.

Druhá dobrá zpráva: Příloha A normy ISO 27001 byla revidována a má zcela novou strukturu kapitol a také čtyři nové praktické tematické oblasti (rozdělené na organizační, personální, fyzické a technické) a nové atributy (opatření) .

Norma ISO 27002 jde vždy ruku v ruce s normou ISO 27001 - obsahuje přibližně 93 obecných opatření (= kontrol), která mají pomoci splnit požadavky normy ISO 27001. Nový název normy naznačuje, že tématům kybernetické bezpečnosti a ochrany soukromí byla ve světě norem ISO 27001 dána vyšší priorita.

Toto nové zaměření se odráží také v nových opatřeních normy ISO 27002 a v příloze A normy ISO 27001:

• Kontrola hrozeb a zpravodajství o hrozbách

  V budoucnu budou muset společnosti průběžně shromažďovat informace o hrozbách a nástrojích útoku a integrovat je do systému řízení - na strategické, taktické i operativní úrovni.

• Bezpečnost informací při využívání cloudových služeb

  Celý životní cyklus cloudových služeb - od výběru přes provoz až po ukončení - musí být doprovázen.

• Vymazání informací

  Nemůžete ztratit informace, které nemáte. Tento koncept, který je znám již z GDPR, nabývá v nové verzi normy na významu. Toto opatření se týká vymazání všech citlivých informací, které již nejsou potřeba, a nikoli (jako v případě GDPR EU) pouze osobních údajů. Obecně tedy platí, že všechna data, která již nejsou potřeba, musí být odstraněna.

• Monitorování fyzické bezpečnosti

  Místa musí být monitorována, aby se zamezilo neoprávněnému přístupu.

• Správa konfigurace

  Je jasně zdůrazněn význam aktuální a úplné dokumentace konfigurací softwaru, hardwaru, služeb a sítí.

• Požadavky na kontinuitu provozu pro ICT (informační a komunikační technologie)

  Podniky musí vypracovat konkrétní požadavky na údržbu infrastruktury ICT a zavést je.

• Maskování dat

  Zásada minimalizace při používání údajů má v nové verzi normy vlastní bezpečnostní kontrolu. Pojmy, jak je již známe např. z obecného nařízení o ochraně osobních údajů, se tak dostávají konkrétně do přílohy A normy 27001:2022. Ústřední otázkua "Jaké údaje musí být vlastně k dispozici pro jednotlivé kroky procesu?" je třeba na tomto místě zodpovědět nově.

• Prevence úniku dat

  Opatření k prevenci a odhalování krádeží dat musí být vypracována, zavedena a používána v závislosti na rizicích organizace.

• Bezpečné kódování

  Bezpečné kódování jako samostatná disciplína při vývoji softwaru se dostává do popředí zájmu. Příslušné koncepty se týkají celého vývojového cyklu softwaru a vedou k softwaru s výrazně menšími nebo ideálně žádnými bezpečnostními mezerami.

• Monitorování

  Průměrná doba odhalení bezpečnostních incidentů 212 dní plus dalších 75 dní na reakci na ně podtrhuje, o čem tato bezpečnostní kontrola je. Sítě, systémy a aplikace by měly být nepřetržitě monitorovány, zda neobsahují anomálie, aby bylo možné včas přijmout příslušná opatření.

• Filtrování webu

  V zájmu ochrany vlastní infrastruktury je třeba zabránit přístupu na nedůvěryhodné nebo kompromitované webové stránky.

1 rok po zveřejnění bude certifikační orgán CIS provádět pouze nové a počáteční certifikace podle nové normy. V případě dozorových nebo recertifikačních auditů je možné na nový standard přejít průběžně.

Souhrnně lze říci, že příloha A byla aktualizována, aby odrážela současný stav techniky. Aby bylo možné i nadále zohledňovat jak současný stav techniky, tak měnící se situaci v oblasti hrozeb, měly by společnosti řešit faktory, jako je řízení rizik, revize bezpečnostních opatření a program auditu, raději dříve než později.