Jaké změny se chystají v oboru
Revize ISO 27001 a ISO 27002:2022 - co přichází, co odchází a co zůstává?
V tomto článku Robert Jamnik, vedoucí oddělení auditorských služeb společnosti CIS, informuje o nadcházejících změnách v normách, standardech a dalších předpisech a diskutuje o možnostech, které tyto změny přinesou v praxi.
Nejprve dobrá zpráva: systém řízení jako takový se nemění. Jádro normy ISO 27001 pro "Informační technologie - Postupy zabezpečení IT - Systémy řízení bezpečnosti informací - Požadavky" (resp. kapitoly 4-10 systému řízení) se tedy revizí v roce 2022 nezmění. Týká se to tedy všech společností, které mají zaveden systém řízení podle ISO 27001.
Druhá dobrá zpráva: Příloha A normy ISO 27001 byla revidována a má zcela novou strukturu kapitol a také čtyři nové praktické tematické oblasti (rozdělené na organizační, personální, fyzické a technické) a nové atributy (opatření) .
Norma ISO 27002 jde vždy ruku v ruce s normou ISO 27001 - obsahuje přibližně 93 obecných opatření (= kontrol), která mají pomoci splnit požadavky normy ISO 27001. Nový název normy naznačuje, že tématům kybernetické bezpečnosti a ochrany soukromí byla ve světě norem ISO 27001 dána vyšší priorita.
Toto nové zaměření se odráží také v nových opatřeních normy ISO 27002 a v příloze A normy ISO 27001:
-
Kontrola hrozeb a zpravodajství o hrozbách
V budoucnu budou muset společnosti průběžně shromažďovat informace o hrozbách a nástrojích útoku a integrovat je do systému řízení - na strategické, taktické i operativní úrovni.
-
Bezpečnost informací při využívání cloudových služeb
Celý životní cyklus cloudových služeb - od výběru přes provoz až po ukončení - musí být doprovázen.
-
Vymazání informací
Nemůžete ztratit informace, které nemáte. Tento koncept, který je znám již z GDPR, nabývá v nové verzi normy na významu. Toto opatření se týká vymazání všech citlivých informací, které již nejsou potřeba, a nikoli (jako v případě GDPR EU) pouze osobních údajů. Obecně tedy platí, že všechna data, která již nejsou potřeba, musí být odstraněna.
-
Monitorování fyzické bezpečnosti
Místa musí být monitorována, aby se zamezilo neoprávněnému přístupu.
-
Správa konfigurace
Je jasně zdůrazněn význam aktuální a úplné dokumentace konfigurací softwaru, hardwaru, služeb a sítí.
-
Požadavky na kontinuitu provozu pro ICT (informační a komunikační technologie)
Podniky musí vypracovat konkrétní požadavky na údržbu infrastruktury ICT a zavést je.
-
Maskování dat
Zásada minimalizace při používání údajů má v nové verzi normy vlastní bezpečnostní kontrolu. Pojmy, jak je již známe např. z obecného nařízení o ochraně osobních údajů, se tak dostávají konkrétně do přílohy A normy 27001:2022. Ústřední otázkua "Jaké údaje musí být vlastně k dispozici pro jednotlivé kroky procesu?" je třeba na tomto místě zodpovědět nově.
-
Prevence úniku dat
Opatření k prevenci a odhalování krádeží dat musí být vypracována, zavedena a používána v závislosti na rizicích organizace.
-
Bezpečné kódování
Bezpečné kódování jako samostatná disciplína při vývoji softwaru se dostává do popředí zájmu. Příslušné koncepty se týkají celého vývojového cyklu softwaru a vedou k softwaru s výrazně menšími nebo ideálně žádnými bezpečnostními mezerami.
-
Monitorování
Průměrná doba odhalení bezpečnostních incidentů 212 dní plus dalších 75 dní na reakci na ně podtrhuje, o čem tato bezpečnostní kontrola je. Sítě, systémy a aplikace by měly být nepřetržitě monitorovány, zda neobsahují anomálie, aby bylo možné včas přijmout příslušná opatření.
-
Filtrování webu
V zájmu ochrany vlastní infrastruktury je třeba zabránit přístupu na nedůvěryhodné nebo kompromitované webové stránky.
A co to pro vás znamená v praxi?
Aktuální (třetí) verze normy ISO 27001:2022 nese datum 2022-10. V souladu se stanoveným tříletým přechodným obdobím musí být všechny systémy řízení certifikované podle normy ISO 27001:2013 převedeny nejpozději do konce září 2025, protože certifikáty ISO 27001:2013 poté pozbývají platnosti.
1 rok po tomto zveřejnění bude certifikační orgán CIS provádět nové a počáteční certifikace pouze podle nové normy. V případě dozorových nebo recertifikačních auditů je možné na nový standard přejít průběžně.
Souhrnně lze říci, že příloha A byla aktualizována, aby odrážela současný stav techniky. Aby bylo možné i nadále zohledňovat jak současný stav techniky, tak měnící se situaci v oblasti hrozeb, měly by společnosti řešit faktory, jako je řízení rizik, revize bezpečnostních opatření a program auditu, raději dříve než později.
Máte dotazy k nové normě nebo k tomu, co přesně tato aktualizace znamená pro vaši společnost nebo organizaci? Kontaktujte nás - odborníci z CIS jsou vám vždy k dispozici a rádi vaše připomínky zodpoví!