Poznatky
Čo prináša aktualizácia bezpečnostnej normy ISO 27002:2022?
Séria ISO 27000 od Medzinárodnej organizácie pre normalizáciu (International Organization for Standardization – „ISO“) www.iso.org je najznámejšou sériou noriem IT bezpečnosti, ktorú používajú tisíce organizácií a firiem po celom svete ako základný kameň svojho riešenia kybernetickej bezpečnosti. Od uverejnenia bezpečnostných noriem ISO 27001 a ISO 27002 v roku 2013 a ich čiastočných aktualizácií v rokoch 2014 a 2015 sa objavilo množstvo noviniek a zmien. Vývoj nových IT technológií priniesol nové bezpečnostné výzvy nielen pre technických profesionálov, manažérov a používateľov, ale aj pre organizácie zaoberajúce sa normami a reguláciami.
Hlavná rámcová norma ISO 27001 sa skladá z dvoch častí: prvou je systém riadenia informačnej bezpečnosti ako rámec pre bezpečnostnú politiku organizácie, pre procesy riadenia, ako aj s tým súvisiace dopady. Druhá časť predstavuje zoznam špecifických požiadaviek na bezpečnosť IT, t. j. kontrolných prvkov, ktoré upresňuje ISO 27002. Vo februári 2022 bude publikovaná aktualizácia ISO 27002, ktorá navrhuje a podrobne opisuje použitie nových bezpečnostných kontrol.
Hlavné zmeny v ISO 27002:2022
Zmena počtu kategórií
Celkový počet kategórií ISO 27002 sa z pôvodných štrnástich zredukoval na tieto štyri kategórie: organizačné, osobné, fyzické a technologické.
Zmeny v kontrolných prvkoch
Celkový počet kontrolných prvkov sa zredukoval z pôvodných 114 na 93, pričom 61 z nich zostáva nezmenených, 3 prvky boli zrušené, 19 kontrolných prvkov bolo skonsolidovaných a pribudlo 11 nových kontrol. Každý kontrolný prvok bude mať aj päť atribútov popisujúcich špecifiká danej kontroly:
- typ kontroly (prevencia, detekcia, korekcia),
- vlastnosti informačnej bezpečnosti (CIA alebo dôvernosť – integrita – dostupnosť),
- bezpečnostné domény (riadenie a ekosystém, ochrana, obrana a odolnosť),
- koncept kybernetickej bezpečnosti (identifikácia, ochrana, detekcia, odozva, obnova),
- operačné schopnosti (riadenie a ekosystém, ochrana, obrana, odolnosť).
To môže slúžiť ako základ pre lepšiu prepojenosť medzi rôznymi rámcami IT bezpečnosti a pomôže firmám, ktoré nemajú dostatočné skúsenosti, aby správne kvalifikovali všetky požiadavky.
Čo to znamená pre firmy?
Firmy a organizácie certifikované podľa ISO 27001:2013 alebo implementujúce túto normu budú musieť prijať systém riadenia IT bezpečnosti, aktualizovať bezpečnostné politiky a súvisiace dokumenty. Predpokladáme, že zmeny v edícii ISO 27002:2022 budú mať vplyv aj na ostatné súvisiace normy ISO, takže v blízkej budúcnosti očakávame aktualizácie nielen ISO 27001, ale aj ISO 27017, ISO 20018 a ISO 27701. Počas prechodného obdobia budú akreditačné organizácie istý čas akceptovať certifikačné požiadavky podľa verzie ISO z roku 2013, ale je potrebné pripraviť sa na certifikáciu podľa novej normy.
V prípade záujmu o úvodnú online konzultáciu ohľadom vplyvu zmien v ISO 27001 a ISO 27002 na váš systém riadenia bezpečnosti IT nás kontaktujte na nižšie uvedenej adrese.