Najpomembnejša dejstva o spremembah v družini  ISO/IEC 27001 in ISO/IEC 27002

Newsroom / News

Najpomembnejša dejstva o spremembah v družini  ISO/IEC 27001 in ISO/IEC 27002

Nov. 28 2022

Najpomembnejša dejstva o spremembah v družini  ISO/IEC 27001 in ISO/IEC 27002

Objavljena je nova verzija standarda ISO/IEC 27001:2022, ki letos doživlja prvo večjo revizijo po letu 2013. Podjetja, certificirana po standardu ISO/IEC 27001, bodo te spremembe prepoznala predvsem v varnostnih kontrolah Priloge A. Prav tako je bil ISO/IEC 27002 že posodobljen 15. februarja 2022, ki predstavlja osnovo za spremembe Priloge A standarda ISO/IEC 27001.

Vir: https://www.iso.org/standard/82875.html

ISO/IEC 27001 v svoji prilogi A ponuja le zahteve varnostnih kontrol, ne pojasnjuje pa, kako jih je mogoče implementirati, pri čemer ISO/IEC 27002 navaja te iste kontrole in daje smernice o tem, kako jih implentirati in izvajati. Prilogo A si lahko predstavljate kot »kazalo« za standard ISO/IEC 27002:2022. Posodobitve iz leta 2022 veljajo za varnostne kontrole ISO/IEC 27002. Posodobljena je tudi Priloga A k ISO/IEC 27001, da odraža te spremembe.

Standard ISO/IEC 27001 pomaga organizacijam zaščititi zaupnost, celovitost in razpoložljivost njihovih informacij. Ti trije elementi tvorijo osnovo dobre informacijske varnosti. ISO/IEC 27001 pomaga zaščititi informacije v kakršni koli obliki. Kibernetska varnost, ki ščiti digitalne informacije, pa tukaj igra pomembno vlogo.

Zakaj pa je bil standard posodobljen?

Vsi ISO standardi so podvrženi postopku pregleda vsaj vsakih pet let, ni pa nujno, da ta pregled prinese velike spremembe. V primeru ISO/IEC 27002 pa je nedavni pregled prinesel nekaj pomembnih posodobitev. Za to obstaja dober razlog. Od zadnje večje revizije je minilo skoraj desetletje. V tem enem samem desetletju se je veliko spremenilo. Področje kibernetskih groženj se je razvilo in postalo bolj zapleteno. V igro so prišle nove tehnologije. Vse več podjetij se je povezalo s spletom in sprejelo delo na daljavo, ki deluje virtualno z aplikacijami v oblaku. Informacijska varnost leta 2022 preprosto ni enaka informacijski varnosti leta 2013. Zahteva več budnosti in več marljivosti kot kadarkoli prej.

Te spremembe ISO/IEC 27002/Priloga A lahko zahtevajo nekaj dodatnega truda. Toda ISO/IEC 27001 je mednarodni standard za varnost informacij in to so najboljše prakse za zaščito vaših podatkov. Leta 2022 so te prakse izjemno pomembne, tudi za mala podjetja.

Kaj se je spremenilo?

Čeprav se dejanske klavzule standarda ISO/IEC 27001 niso spremenile, je bil podporni standard ISO/IEC 27002 deležen velike prenove. Te spremembe se odražajo v Prilogi A standarda ISO/IEC 27001.

Varnostne kontrole iz Priloge A predstavljajo dobršen del tehničnega dela za implementacijo standarda ISO/IEC 27001. Torej, čeprav se je spremenila le priloga A, bo posodobitev vplivala na celoten sistem vodenja.

Prejšnja različica Priloge A (ISO/IEC 27001:2013) je vsebovala 114 kontrol v 14 družinah. Nova različica vsebuje 93 kontrol v 4 družinah. Tehnično nova različica vsebuje manj kontrol vendar velik del tega zmanjšanja izhaja iz odvečnih kontrol, ki so bile odstranjene ali združene.

Pravzaprav ISO/IEC 27002:2022 dodaja 11 novih kontrol v Prilogo A, ki standardu dodajajo nove plasti informacijske varnosti:

·         Obveščanje o grožnjah (A.5.7 Threat intelligence)

·         Informacijska varnost pri uporabi storitev v oblaku (A.5.23 Information security for use of cloud services)

·         IKT pripravljenost za neprekinjeno poslovanje (A.5.30 ICT readiness for business continuity)

·         Nadzor fizične varnosti (A.7.4 Physical security monitoring)

·         Upravljanje konfiguracije (A.8.9 Configuration management)

·         Brisanje informacij (A.8.10 Information deletion)

·         Maskiranje podatkov (A.8.11 Data masking)

·         Preprečevanje uhajanja podatkov (A.8.12 Data leakage prevention)

·         Spremljanje dejavnosti (A.8.16 Monitoring activities)

·         Spletno filtriranje (A.8.23 Web filtering)

·         Varno kodiranje (A.8.28 Secure coding

Poleg tega zahteva posodobljena različica standarda dokumentirane operativne postopke med tem, ko je prejšnja različica zahtevala le politike. Politike zagotavljajo cilje in kazalnike za vaš sistem vodenja informacijske varnosti. Postopki pa določajo operativne korake, ki jih boste sprejeli za doseganje teh ciljev. S temi na novo zahtevanimi postopki bo tudi dokumentacijski del procesa certificiranja postal bolj poglobljen.

Na tej točki se morda zdi, da so spremembe samo povečale komplesnost priloge A, vendar te pomembne posodobitve zagotavljajo tudi jasnejša navodila in obsežnejše razlage kot prejšnje različice standarda. Posodobljeni ISO/IEC 27002 je veliko obsežnejši dokument, zagotavlja pa večjo jasnost glede posebnosti vsake kontrole.

Posodobljena različica ponuja tudi novo organizacijsko shemo za nadzor. Varnostne kontrole so zdaj razvrščene po petih atributih:

1.       Vrsta nadzora

2.       Koncept kibernetske varnosti

3.       Lastnosti informacijske varnosti

4.       Operativne zmogljivosti

5.       Varnostne domene

Ti novi atributi pomagajo podjetjem pri prioretiziranju pravih kontrol glede na njihov kontekst. Na primer, če je vaša primarna skrb zaupnost, lahko uporabite te atribute za razvrščanje kontrol glede na eno lastnost informacijske varnosti.

Če povzamemo: posodobitve iz leta 2022 dodajajo dodatne odgovornosti certificiranju ISO/IEC 27001, zagotavljajo pa tudi jasnejše smernice in organizacijo.