10. Lis 2022

Jaké změny se chystají v oboru

Revize ISO 27001 a ISO 27002:2022 - co přichází, co odchází a co zůstává?

V tomto článku Robert Jamnik, vedoucí oddělení auditorských služeb společnosti CIS, informuje o nadcházejících změnách v normách, standardech a dalších předpisech a diskutuje o možnostech, které tyto změny přinesou v praxi.

Nejprve dobrá zpráva: systém řízení jako takový se nemění. Jádro normy ISO 27001 pro "Informační technologie - Postupy zabezpečení IT - Systémy řízení bezpečnosti informací - Požadavky" (resp. kapitoly 4-10 systému řízení) se tedy revizí v roce 2022 nezmění. Týká se to tedy všech společností, které mají zaveden systém řízení podle ISO 27001.

Druhá dobrá zpráva: Příloha A normy ISO 27001 byla revidována a má zcela novou strukturu kapitol a také čtyři nové praktické tematické oblasti (rozdělené na organizační, personální, fyzické a technické) a nové atributy (opatření) .

Norma ISO 27002 jde vždy ruku v ruce s normou ISO 27001 - obsahuje přibližně 93 obecných opatření (= kontrol), která mají pomoci splnit požadavky normy ISO 27001. Nový název normy naznačuje, že tématům kybernetické bezpečnosti a ochrany soukromí byla ve světě norem ISO 27001 dána vyšší priorita.

Toto nové zaměření se odráží také v nových opatřeních normy ISO 27002 a v příloze A normy ISO 27001:

  • Kontrola hrozeb a zpravodajství o hrozbách

    V budoucnu budou muset společnosti průběžně shromažďovat informace o hrozbách a nástrojích útoku a integrovat je do systému řízení - na strategické, taktické i operativní úrovni.

  • Bezpečnost informací při využívání cloudových služeb

    Celý životní cyklus cloudových služeb - od výběru přes provoz až po ukončení - musí být doprovázen.

  • Vymazání informací

    Nemůžete ztratit informace, které nemáte. Tento koncept, který je znám již z GDPR, nabývá v nové verzi normy na významu. Toto opatření se týká vymazání všech citlivých informací, které již nejsou potřeba, a nikoli (jako v případě GDPR EU) pouze osobních údajů. Obecně tedy platí, že všechna data, která již nejsou potřeba, musí být odstraněna.

  • Monitorování fyzické bezpečnosti

    Místa musí být monitorována, aby se zamezilo neoprávněnému přístupu.

  • Správa konfigurace

    Je jasně zdůrazněn význam aktuální a úplné dokumentace konfigurací softwaru, hardwaru, služeb a sítí.

  • Požadavky na kontinuitu provozu pro ICT (informační a komunikační technologie)

    Podniky musí vypracovat konkrétní požadavky na údržbu infrastruktury ICT a zavést je.

  • Maskování dat

    Zásada minimalizace při používání údajů má v nové verzi normy vlastní bezpečnostní kontrolu. Pojmy, jak je již známe např. z obecného nařízení o ochraně osobních údajů, se tak dostávají konkrétně do přílohy A normy 27001:2022. Ústřední otázkua "Jaké údaje musí být vlastně k dispozici pro jednotlivé kroky procesu?" je třeba na tomto místě zodpovědět nově.

  • Prevence úniku dat

    Opatření k prevenci a odhalování krádeží dat musí být vypracována, zavedena a používána v závislosti na rizicích organizace.

  • Bezpečné kódování

    Bezpečné kódování jako samostatná disciplína při vývoji softwaru se dostává do popředí zájmu. Příslušné koncepty se týkají celého vývojového cyklu softwaru a vedou k softwaru s výrazně menšími nebo ideálně žádnými bezpečnostními mezerami.

  • Monitorování

    Průměrná doba odhalení bezpečnostních incidentů 212 dní plus dalších 75 dní na reakci na ně podtrhuje, o čem tato bezpečnostní kontrola je. Sítě, systémy a aplikace by měly být nepřetržitě monitorovány, zda neobsahují anomálie, aby bylo možné včas přijmout příslušná opatření.

  • Filtrování webu

    V zájmu ochrany vlastní infrastruktury je třeba zabránit přístupu na nedůvěryhodné nebo kompromitované webové stránky.

A co to pro vás znamená v praxi?

Aktuální (třetí) verze normy ISO 27001:2022 nese datum 2022-10. V souladu se stanoveným tříletým přechodným obdobím musí být všechny systémy řízení certifikované podle normy ISO 27001:2013 převedeny nejpozději do konce září 2025, protože certifikáty ISO 27001:2013 poté pozbývají platnosti.

1 rok po tomto zveřejnění bude certifikační orgán CIS provádět nové a počáteční certifikace pouze podle nové normy. V případě dozorových nebo recertifikačních auditů je možné na nový standard přejít průběžně.

Souhrnně lze říci, že příloha A byla aktualizována, aby odrážela současný stav techniky. Aby bylo možné i nadále zohledňovat jak současný stav techniky, tak měnící se situaci v oblasti hrozeb, měly by společnosti řešit faktory, jako je řízení rizik, revize bezpečnostních opatření a program auditu, raději dříve než později.

Máte dotazy k nové normě nebo k tomu, co přesně tato aktualizace znamená pro vaši společnost nebo organizaci? Kontaktujte nás - odborníci z CIS jsou vám vždy k dispozici a rádi vaše připomínky zodpoví!

27. Zář 2024

World Quantum Readiness Day

26. září 2024 poprvé jako World Quantum Readiness Day

16. Zář 2024

Co Vás čeká – část II.

CIS Compliance Summit 2024

10. Zář 2024

Co Vás čeká – část I.

CIS Compliance Summit 2024

22. Srp 2024

Zpráva o globálních hrozbách 2024

Zjištění, trendy a doporučení

20. Čvn 2024

Online kurz: Refreshing kurz pro auditory a manažery IS

2024: podzimní termín

13. Čvn 2024

Inovace v oblasti ISO norem

Zahrnutí aspektů změny klimatu do norem pro systémy řízení

28. Kvě 2024

Jaký způsob získávání znalostí je nejúčinnější?

Co očekáváte od dalšího vzdělávání?

20. Kvě 2024

Online kurz: Refreshing kurz pro manažery a auditory IS

2024: nový termín

17. Kvě 2024

Podrobněji o TISAX®: 12 cílů hodnocení

Bezpečnost informací v automobilovém průmyslu

15. Kvě 2024

Podrobněji o TISAX®: tři úrovně hodnocení

Bezpečnost informací v automobilovém průmyslu

02. Kvě 2024

TISAX®: Bezpečnost informací v automobilovém průmyslu

V rychlém pruhu

22. Dub 2024

ISO 42001 – nová norma pro umělou inteligenci

První světový standard pro umělou inteligenci

+420 733 180 494