Wstęp

Miałem zamiar stworzyć ten artykuł troszkę później z racji natłoku innych tematów. Zostałem jednak poproszony przez Łukasza, który należy do newslettera, o napisanie takiego artykułu więc postanowiłem temu sprotać. Dziś postaram się pokrótce przybliżyć Ci, jakie zmiany nastąpiły w ISO 27001:2022 i 27002:2022. Uznałem, że połączę oba w jeden artykuł. Zapraszam Cię do przeczytania i mam nadzieje, że znajdziesz tu informacje, na które czekałeś.

Zanim jeszcze zaczniesz polecam przeczytanie pierwszego artykułu o ISO, który powstał na moim blogu. Znajdziesz go pod tym linkiem

Jakie nastąpiły zmiany w ISO 27001:2022?

Od razu uspokoję CIę, nie są to tak drastyczne zmiany, jak w wypadku ISO 27002. Oczywiście załącznik zmienił się wraz ze zmianami, jakie zobaczyliśmy w 27002. W porównaniu do wyżej wymienionej to 27001 zmieniła się tylko nieznacznie.

Poniżej postaram się przedstawić Ci zmiany, które znajdują się w normie. Nie będę opisywał tych, które są znikome jak np. usunięcie „i” czy też zmiany „międzynarodowy standard” na słowo dokument, bo one wiele nie wnoszą. A tak naprawdę wypisywanie ich mogłoby wydłużyć zapoznanie się z tymi, z którymi warto się zapoznać. Lista poniżej.

Lista:

• Clause 4.4 Information security management system — Dodano zdanie „including the processes needed and their interactions”
• Clause 6.1.3 – Information security risk treatment — Zmiany w punkcie 6.1.3 są niewielkie:
  • Zmieniło się brzmienie punktu 6.1.3 c z „containing a comprehensive list of control objectives” na „containing a list of possible information security controls.”
  • Zmiana „Control objectives listed in Annex A as being not exhaustive with additional controls may being needed” na „Information Security Controls listed in Annex.”
  • Zmiana 6.1.3 d na listę zamiast zdania.
• Clause 6.2 Information security objectives and planning to achieve them — Zmiany skupiły się na uzyskaniu przejrzystości. Zmiana wprowadziła, że ​​cele bezpieczeństwa informacji powinny być monitorowane i dostępne jako udokumentowana informacja.
• *Clause 6.3 Planning Of Changes — Wprowadzając zmiany w SZBI rób to w zaplanowany sposób.
• Clause 7.4 Communication — Zmiana usuwa to „kto powinien się komunikować” na rzecz tego „jak się komunikować” i eliminuje potrzebę pokazania procesów, za pomocą których ma się odbywać komunikacja.
• Clause 8.1 Operational planning and control — Zmiany są objaśniające:
  • Zmiana sformułowania dotyczącego planowania, wdrażania i kontroli procesów z „meet information security requirements” na„meet requirements”
  • Zamiast przechowywać udokumentowane informacje, zmieniono je na udokumentowane informacje, które powinny być dostępne.
  • Zmieniono „Outsourced processes are determined and controlled” na „externally provided processes, products or services that are relevant to the information security management system are controlled.„
• Clause 9.1 Monitoring, measurement, analysis and evaluation – Zmiany:
  • Usunięto słowa o organizacji oceniającej stan bezpieczeństwa informacji oraz skuteczność systemu zarządzania. Są one ujęte w innych miejscach klauzuli.
  • 9.1 b został zaktualizowany, aby podać wytyczne dotyczące metod monitorowania, pomiaru, analizy i oceny oraz stanowi, że powinny one dawać porównywalne i powtarzalne wyniki, aby można je było uznać za ważne.
  • Wymaga się, aby udokumentowane informacje były dostępne dla wyników dowodowych czyniąc go wyraźnym wymogiem.
  • Zastąpiono „retain appropriate documentation” z „the requirement to evaluate the information security performance and effectiveness of the information security management system”
• Clause 9.2 Internal audit — Treść tej klauzuli została teraz usunięta, a treść przeniesiona do dwóch nowych oddzielnych klauzul podrzędnych.
• *Clause 9.2.1 General — nie mówi nic nowego, po prostu oddziela starą klauzulę dla ułatwienia czytania
• *Clause 9.2.2 Internal audit programme — nie mówi nic nowego, po prostu oddziela starą klauzulę dla ułatwienia czytania
• Clause 9.3 Management review — Treść tej klauzuli została teraz usunięta i przeniesiona do trzech nowych oddzielnych podpunktów.
• *Clause 9.3.1 General — nie mówi nic nowego, po prostu oddziela starą klauzulę dla ułatwienia czytania.
• *Clause 9.3.2 Management review inputs — nie mówi nic nowego, po prostu oddziela starą klauzulę dla ułatwienia czytania.
• *Clause 9.3.3 Management review results — nie mówi nic nowego, po prostu oddziela starą klauzulę dla ułatwienia czytania.
• Clause 10.1 i Clause 10.2 – Zamieniono kolejnością (chyba żeby sprawdzić, czy ludzie czytają 🙂 )

Jak widzisz żadna z tych zmian nie wnosi jakiejś drastycznej dodatkowej pracy, którą musisz wykonać. Zmiany, które spowodują wzmożoną ilość prac, przemyśleń implementacji kontroli oraz samego wdrożenia tych kontroli znajdują się w załączniku, który opisze poniżej. Tam już nie będzie tak kolorowo i troszkę trzeba będzie się napracować :).

Zmiany, jakie nastąpiły w załączniku A oraz ISO 27002

Tak jak już wspomniałem powyżej tutaj już zmiany są znaczące ponieważ zmieniła się struktura, jak i ilość kontroli. W tym momencie z 114 kontroli mam 93 ale wcale to nie znaczy, że mamy ich mniej. Liczba się zmniejszyła ponieważ kontrole zostały połączone a ostatecznie to i tak mamy dodatkowe, za czym pójdzie dodatkowa praca.

Struktura

Zmieniła się struktura samego załącznika, jak i normy. Teraz z 14 kategorii zostały nam tylko 4, osobiście dzisiejszy układ bardziej mi się podoba i dla mnie wygląda przejrzyściej. Poniżej przedstawiam Ci, jak wygląda dzisiejszy układ.

Struktura

• A.5 Organizational controls — zawiera 37 kontroli
• A.6 People controls — zawiera 8 kontroli
• A.7 Physical controls — zawiera 14 kontroli
• A.8 Technological controls — zawiera 34 kontroli

W nowej wersji normy 35 kontroli pozostało nie zmienionych. Zmieniono natomiast nazwy 23 kontroli, a 57 kontroli połączono, tworząc 24 kontrole. Jedną kontrolę podzielono na dwie: Kontrola 18.2.3 została podzielona na 8.8 oraz 5.3.6. Do najnowszej wersji dodano również jedenaście nowych kontroli, które opisze poniżej.

Lista zmian załącznika A i normy 27001

• 5.7 Threat Intelligence — Ta kontrola wymaga od organizacji zbierać i analizowania informacji o zagrożeniach oraz sposobach ich łagodzenia. Rodzaje informacji, jakie powinny być zbierane to między innymi dane dotyczące konkretnych ataków, metod stosowanych przez osoby atakujące oraz typów ataków. Informacje powinny być zbierane zarówno ze źródeł wewnętrznych, jak i zewnętrznych.
• 5.23 Information security for use of cloud services — Ta kontrola wymaga wdrożenia bezpieczeństwa dla usług w chmurze w celu ochrony poufnych informacji.
• 5.30 ICT readiness for business continuity — Ta kontrola wymaga, aby ludzie, procesy i systemy były przygotowane na wypadek problemów, tak aby kluczowe informacje i niezbędne zasoby były dostępne w razie potrzeby.
• 7.4 Physical security monitoring — Ta kontrola wymaga, aby wrażliwe obszary muszą być monitorowane, aby mieć pewność, że dostęp do nich mają tylko upoważnieni pracownicy.
• 8.9 Configuration management — Ta kontrola wymaga, aby wdrożyć zarządzanie konfiguracjami urządzeń.
• 8.10 Information deletion — Ta kontrola dotyczy to usuwania danych, gdy nie są już potrzebne lub gdy czas przechowywania przekracza okresy przechowywania.
• 8.11 Data masking — Ta kontrola wymaga stosowania maskowania danych w połączeniu z kontrolami dostępu.
• 8.12 Data leakage prevention — Ta kontrola wymaga wdrożenia DLP.
• 8.16 Monitoring activities — Ta kontrola wymaga, monitorowania systemów w celu identyfikacji nietypowych działań i inicjowania odpowiednich reakcji na incydenty w wypadku wykrycia nietypowych działań.
• 8.23 Web filtering — Ta kontrola wymaga wdrożenia filtrowania/zabezpieczenia dla wszystkich stron internetowych w organizacji.
• 8.28 Secure coding — Ta kontrola wymaga ustanowienia bezpiecznych technik kodowania, które można zastosować do wewnętrznego rozwoju oprogramowania.

Tak jak widzisz, kilka kontroli zostało wrzuconych na nasze barki. Ale to organizacja musi zdecydować czy należy wdrożyć dane kontrole, czy też nie. Tak że jest możliwość wykluczenia danych kontroli. Moim zdaniem w wypadku większości organizacji zmiany, które się ukazały nie powinny wpłynąć znacząco na recyrtyfikacje. Choć może się wydawać to sporo pracy to uważam, że bezpiecznicy w firmach nie powinni poprzestawać na dowiezieniu certyfikatu. Norma to norma i dlatego mówi się, że ona nie do końca odpowiada za bezpieczeństwo.

To my bezpiecznicy powinniśmy wdrażać te kontrole czy kontrole, których nie ma na liście, jeśli jest taka konieczność. Nie można poprzestawać na minimum. Trzeba bronić organizacje, budować mury i zasieki większe niż są wymagane. Oczywiście by to było cost – effective przed wdróżeniem jakiegokolwiek rozwiązanie trzeba przeanalizować je dobrze. Reasumując, moim zdaniem organizacje powinny powyższe mieć już wdrożone przynajmniej częściowo, mimo że norma tego nie wymagała.

Atrybuty

Do każdej kontroli przypisano pięć atrybutów, które pozwalają lepiej zrozumieć organizacjom ich obecny stan bezpieczeństwa. Takie podejście pozwala spojrzeć na nie z różnych perspektyw. Atrybuty i/lub ich wartości mogą być używane do filtrowania, sortowania, wyświetlania różnych widoków kontroli.

• Control type 
• Information security properties 
• Cybersecurity concepts 
• Operational capabilities 
• Security domains

Podsumowanie

Podsumowując powyższy artykuł, kluczowe i krytyczne zmiany mamy w załączniku A i w normie 27002. Dostaliśmy tam wiecej kontroli, które należy wdrożyć. Uważam, że jeśli ktoś ich jeszcze nie wdrożył i nie analizował ryzyka w swojej organizacji, to ten problem należy rozwiązać w pierwszej kolejności. Wiec większość organizacji zapewne będzie musiała dokonać drobnych korekt bądź będzie musiała wdrożyć tylko mniejszą cześć.

Wiem, że jestem wielkim optymistą ale w dzisiejszym świecie moim zdaniem można być tylko optymistą. Ponieważ jeśli okaże się że jednak nie było tak kolorowo to optymista weźmie się od razu za robotę, a pesymista będzie narzekać i realnie to wpływu na nic nie będzie miało :). A jeśli potrzebujesz ułatwić sobie wdrożenie ISO 27001 zajrzyj do mnie do usług i tam znajdziesz pakiet wdrożenia ISO 27001, który Ci w tym pomoże.

Pozdrawiam – Pusz