Upravte ISMS dokumentaci – aktualizace ISO 27002
Informace jsou synonymem dnešní doby!
Dnes již snad neexistuje organizace, která by se nemusela zabývat jejich efektivním a bezpečným zpracováním v celém životním cyklu. Od pořízení až po výmaz a skartaci. Možná řešení jsou rozmanitá (tomu pak odpovídají i výsledky).
Zavádíte či udržujete Systém řízení bezpečnosti informací – ISMS (Information Security Management System) dle norem řady ISO 27000? Nebo o zavedení uvažujete?
Pak by vás mělo zajímat, že v únoru 2022 byl po devíti letech aktualizován standard ISO/IEC 27002. Aktualizace přináší řadu změn. Zavádí kategorie, atributy a nová opatření umožňující reagovat na aktuální úskalí bezpečnosti informací.
Principem ISMS je ochrana identifikovaných informačních aktiv. Celý systém je navržen tak, aby zajistil (na základě analýzy rizik) adekvátní opatření chránící informační aktiva a poskytl odpovídající bezpečnostní jistotu zainteresovaným stranám.
Nová verze normy 27002
První změny si všimneme již v úvodu, neboť je upraven samotný název normy „Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Kontroly bezpečnosti informací“ (Information security, cybersecurity and privacy protection – Information security controls).
Autoři vypustili označení „Soubor postupů“/“Code of practise“, což lépe odráží účel normy, která slouží jako referenční dokument pro výběr kontrolních mechanismů k řízení bezpečnosti informací.
ISO/IEC 27002:2022 je výrazně delší než předchozí verze ISO/IEC 27002:2013. Výraznou změnou je přeskupení bezpečnostních opatření do 4 oblastí/kategorií namísto původních 14 klauzulí.
Některá opatření byla sloučena, přibyla nová a jiná zanikla. Nově tedy máme 93 opatření místo původních 114. Mezi zcela nová opatření patří:
- Správa hrozeb (shromažďování a analýza)
- Bezpečnost informací v rámci využívání cloudových služeb
- Připravenost ICT pro kontinuitu provozu
- Monitorovací aktivity
- Správa konfigurace
- Mazání informací
- Maskování dat
- Prevence úniku dat
- Filtrování webu
- Bezpečné kódování
Ke každému opatření se vztahuje pět atributů, které usnadňují jejich kategorizaci, přičemž jedno opatření může mít přiřazeno více atributů ze stejné skupiny:
- Druh opatření – preventivní, detektivní, nápravné
- Vlastnosti bezpečnosti informací – důvěrnost, integrita, dostupnost
- Fáze kybernetické bezpečnosti – identifikace, ochrana, detekce, reakce, obnova
- Operační schopnosti – řízení, správa aktiv, ochrana informací, administrativní/personální/fyzická/technická bezpečnost
- Oblasti bezpečnosti – správa a ekosystém, ochrana, obrana, odolnost
Organizace si může zvolit i další atributy pro účinnější správu bezpečnostních opatření (například stupeň vyspělosti opatření, prioritu, stav implementace atp.).
Stejně tak je možno doplnit i další opatření specifická pro danou organizaci nebo lze využít opatření pro řízení identifikovatelných rizik, jež jsou uvedená v dalších odvětvových normách. Jedná se například o normu pro:
- cloudové služby ISO/IEC 27017
- ochranu soukromí ISO/IEC 27701
- energetický průmysl ISO/IEC 27019
- telekomunikační organizace ISO/IEC 27011
- zdravotnické organizace ISO 27799
Další vyčnívající změnou je rozdělení aktiv na primární a podpůrná. Primárními aktivy se míní podnikové procesy, aktivity a informace. Jedná se o prvky, které jsou závislé na podpůrných aktivech kam patří HW, SW, síťová infrastruktura, personál, organizační struktura, objekty apod.
Následovat bude aktualizace normy ISO/IEC 27001
Pravděpodobně se ještě letos dočkáme také aktualizace normy ISO/IEC 27001, která klade požadavky na vytvoření, zavedení, udržování a neustálé zlepšování systému řízení, které musí být splněny, aby společnost získala certifikát o shodě od akreditovaného certifikačního orgánu.
Očekává se, že tento release spolu s aktualizovaným ISO/IEC 27002 položí základ pro nový pohled na informační a kybernetickou bezpečnost a s tím související požadavky na organizace, ale i specialisty z těchto oblastí.
Chcete-li držet krok s novými verzemi, bude potřeba upravit ISMS dokumentaci. S tím vám tým společnosti Q – COM rád pomůže.