logo_opentech2

AktuALNOŚCI

akta_pracownik
Facebook
Twitter
LinkedIn

ISO/IEC 27002:2022 – Co nowego? Jakie zmiany?

Norma ISO/IEC 27002:2022

Norma ISO/IEC 27002 została zmieniona w celu zaktualizowania elementów kontroli bezpieczeństwa informacji, aby odzwierciedlić rozwój i aktualne praktyki w zakresie bezpieczeństwa informacji w różnych sektorach przedsiębiorstw i rządów. Istnieje duża liczba norm i innych podobnych ram bezpieczeństwa związanych z normą ISO 27002:2013 lub opartych na niej. Zmiana tej normy na nową wersję będzie miała na nie wpływ.

Poprzednia wersja normy ISO/IEC 27002:2013

Podstawowym celem normy ISO/IEC 27002:2013 było zapewnienie kompleksowego programu zarządzania bezpieczeństwem informacji i zasobami dla każdej organizacji, która potrzebuje nowego programu zarządzania bezpieczeństwem informacji lub chce udoskonalić istniejące polityki i praktyki dotyczące bezpieczeństwa informacji. Kodeks praktyki zawierał zalecenia dotyczące zarządzania bezpieczeństwem informacji dla osób odpowiedzialnych za inicjowanie, wdrażanie i utrzymywanie bezpieczeństwa informacji w organizacji.

Jakie zmiany w ISO 27002:2022?

W ISO/IEC 27002:2022 nazwa normy została zmieniona. Zamiast „Technika informatyczna – Techniki bezpieczeństwa – Kodeks postępowania dla kontroli bezpieczeństwa informacji”, w nowelizacji 2022 nazwa brzmi „Bezpieczeństwo informacji, bezpieczeństwo cybernetyczne i ochrona prywatności – Kontrole bezpieczeństwa informacji”.

Zmiany w zakresie zgodności z przepisami, np. regulacje takie jak RODO (General Data Protection Regulation), ewoluujące wyzwania w zakresie ciągłości działania, zagrożeń cybernetycznych i zgodności z przepisami, przed którymi stoją organizacje na całym świecie, oraz wprowadzenie normy ISO 27701, spowodowały, że norma ISO 27002 musiała rozszerzyć zakres kontroli z pierwotnego skupienia się na bezpieczeństwie informacji, aby uwzględnić bezpieczeństwo cybernetyczne i ochronę prywatności informacji oraz zarządzanie podatnościami. Organizacja ISO ma nadzieję, że poprawi intencje poprzez dostarczenie zestawu referencyjnego celów kontroli bezpieczeństwa informacji do wykorzystania w specyficznym dla danego kontekstu zarządzaniu ryzykiem związanym z bezpieczeństwem informacji, prywatnością i cyberbezpieczeństwem.

Kiedy weszła w życie norma ISO/IEC 27002:2022?

Nowa rewizja ISO 27002 2022 została opublikowana 15 lutego 2022 roku.

Nasze pierwsze wrażenie dotyczące zmienionej normy jest takie, że zapewnia ona bardziej prostą strukturę, która może być stosowana w całej organizacji, a teraz może być również wykorzystywana do zarządzania szerszym profilem ryzyka. Może to obejmować bezpieczeństwo informacji oraz bardziej techniczne aspekty bezpieczeństwa fizycznego, zarządzanie aktywami, bezpieczeństwo cybernetyczne oraz elementy bezpieczeństwa zasobów ludzkich związane z ochroną prywatności.

Pierwszą istotną zmianą w normie jest odejście od „Kodeksu postępowania” na rzecz zestawu środków kontroli, które mogą funkcjonować samodzielnie lub jako część systemu zarządzania bezpieczeństwem informacji ISO 27001.

Co się zmieniło?

Liczba mechanizmów kontrolnych w nowej wersji normy ISO 27002 2022 zmniejszyła się ze 114 mechanizmów w 14 klauzulach w wydaniu z 2013 roku do 93 mechanizmów w wydaniu z 2022 roku. Kontrole te są teraz podzielone na cztery „tematy”, czyli „kontrole organizacyjne”, „kontrole dotyczące ludzi”, „kontrole fizyczne” i „kontrole technologiczne”.

Co to jest kontrola?

Kontrolę definiuje się jako środek, który modyfikuje lub utrzymuje ryzyko. Na przykład polityka bezpieczeństwa informacji może tylko utrzymywać ryzyko, natomiast zgodność z polityką bezpieczeństwa informacji może je modyfikować. Co więcej, niektóre kontrole opisują ten sam ogólny środek w różnych kontekstach ryzyka.

Wskazówki dotyczące kontroli.

Sekcja Wytyczne dla każdej kontroli została przejrzana i zaktualizowana (w razie potrzeby), aby odzwierciedlić bieżące zmiany i praktyki. Ponadto każda kontrola została wyposażona w deklarację „Celu” i zestaw „Atrybutów”, aby nawiązać do koncepcji bezpieczeństwa cybernetycznego i innych najlepszych praktyk w zakresie bezpieczeństwa.

Które kontrole uległy zmianie?

W ramach 93 kontroli (w porównaniu z edycją z 2013 r.), 11 kontroli jest nowych, 24 zostały połączone, a 58 zaktualizowano (głównie w sekcji Wytyczne).

Zestawy kontroli są teraz podzielone na cztery (4) kategorie lub tematy zamiast czternastu (14) dziedzin kontroli. Cztery kategorie obejmują:

  • Organizacyjne;
  • Ludzie;
  • Fizyczne;
  • Technologiczne.

Całkowita liczba kontroli została zmniejszona – w nowej wersji normy ISO 27002:2022 jest ich o 21 mniej. Wersja 2022 zawiera 24 kontrole, które zostały przeniesione z wersji 2013. Norma zawiera teraz 11 nowych kontroli, które odzwierciedlają aktualny stan bezpieczeństwa informacji, bezpieczeństwa fizycznego i cyberbezpieczeństwa. W wersji 2022 cel kontroli dla grupy kontroli został zastąpiony elementem „cel”. Aby usprawnić proces ograniczania, oceny i leczenia ryzyka, wprowadzono pojęcie „atrybutów kontroli”. Ponadto będzie można tworzyć różne widoki kontroli – to znaczy kategoryzacje kontroli z innej perspektywy niż tematy kontroli.

Nowe kontrole ISO/IEC 27002:2022

W zakresie normy ISO/IEC 27002:2022 znajduje się obecnie 11 nowych kontroli. Są to:

  • Rozpoznanie zagrożeń – zrozumienie atakujących i ich metod w kontekście środowiska IT.
  • Bezpieczeństwo informacji przy korzystaniu z usług w chmurze – należy teraz kompleksowo rozważyć strategię wprowadzenia, działania i wyjścia z inicjatyw w chmurze.
  • Gotowość TIK do zapewnienia ciągłości działania – wymagania dotyczące środowiska informatycznego powinny wynikać z ogólnych procesów biznesowych i możliwości odtworzenia zdolności operacyjnych.
  • Monitorowanie bezpieczeństwa fizycznego – coraz większą wagę przywiązuje się do stosowania systemów alarmowych i monitorujących w celu zapobiegania nieupoważnionemu dostępowi fizycznemu.
  • Zarządzanie konfiguracją – utwardzanie i bezpieczna konfiguracja systemów informatycznych.
  • Usuwanie informacji – należy zapewnić zgodność z wymogami zewnętrznymi, takimi jak koncepcje usuwania danych.
  • Maskowanie danych – stosowanie technik maskowania danych, takich jak anonimizacja i pseudonimizacja, w celu zwiększenia ochrony danych.
  • Zapobieganie wyciekom danych – podejmowanie kroków mających na celu zapobieganie wyciekom danych wrażliwych.
  • Monitorowanie działań – organizacja powinna monitorować bezpieczeństwo sieci i zachowanie aplikacji w celu wykrycia wszelkich anomalii w sieci.
  • Filtrowanie stron internetowych – pomaga zapobiegać przeglądaniu przez użytkowników określonych adresów URL zawierających złośliwy kod.
  • Bezpieczne kodowanie – używanie narzędzi, komentowanie, śledzenie zmian i unikanie niebezpiecznych metod programowania to sposoby na zapewnienie bezpiecznego kodowania.

To daje nam:

  • 93 kontrole w nowej wersji normy 27002.
  • 11 kontroli jest nowych.

W sumie 24 kontrole zostały połączone z dwóch, trzech lub więcej kontroli z wersji 2013; oraz 58 mechanizmów kontrolnych z wersji z 2013 r. zostało poddanych przeglądowi i poprawionych w celu dostosowania do aktualnego środowiska bezpieczeństwa informacji i cyberbezpieczeństwa.
Załącznik A, który zawiera wytyczne dotyczące stosowania atrybutów, oraz Załącznik B, który jest zgodny z normą ISO/IEC 27001 2013. Są to w zasadzie dwie tabele, w których dla ułatwienia znajdują się odniesienia do numerów kontrolnych/identyfikatorów, z wyszczególnieniem tego, co jest nowe, a co zostało połączone.

Czym są atrybuty ISO/IEC 27002:2022

Nowa wersja normy ISO 27002 wprowadza do każdej kontroli sekcję atrybutów. Atrybuty są sposobem kategoryzacji kontroli. Pozwalają one na szybkie dostosowanie wyboru kontroli do wspólnego języka branżowego i standardów. Atrybuty te określają kluczowe punkty:

  • Typ kontroli;
  • Właściwości Bezpieczeństwa Informacji;
  • Koncepcje bezpieczeństwa cybernetycznego;
  • Możliwości operacyjne;
  • Domeny bezpieczeństwa;
  • Zastosowanie atrybutów wspiera pracę, którą wiele firm już wykonuje w ramach oceny ryzyka i deklaracji stosowalności (SOA).

Na przykład można wyraźnie rozróżnić koncepcje bezpieczeństwa cybernetycznego NIST i CIS Controls oraz rozpoznać zdolności operacyjne związane z innymi standardami.

Jak to wpływa na podmioty?

Nowelizacja ISO 27002 2022 będzie miała następujący wpływ na organizację:

  • Jeśli posiadasz już certyfikat ISO 27001 2013;
  • Jeśli jesteś w trakcie certyfikacji;
  • Jeśli zamierzasz dokonać ponownej certyfikacji.

Certyfikacja ISO 27001 trwa trzy lata. Jeśli Twoja organizacja posiada już certyfikat, nie musisz nic teraz robić, ponieważ znowelizowana norma ISO 27002 2022 będzie obowiązywać po odnowieniu/ponownej certyfikacji. Jest zatem zrozumiałe, że wszystkie certyfikowane organizacje będą musiały na pewnym etapie przygotować się do zmienionej normy.

Jak to wpływa na (re)certyfikację

Załóżmy, że organizacja jest obecnie w trakcie procesu certyfikacji ISO 27001 2013 lub ponownej certyfikacji. W takim przypadku oczekuje się od niej ponownego przeanalizowania Oceny ryzyka i zidentyfikowania nowych mechanizmów kontrolnych, które mają zastosowanie, oraz zrewidowania „Oświadczenia o stosowalności” poprzez porównanie zrewidowanych mechanizmów kontrolnych z załącznika A. W związku z tym, że niektóre kontrole są nowe, a inne zmodyfikowane lub uzupełnione o dodatkowe wytyczne, organizacje muszą dokonać przeglądu zrewidowanej normy ISO 27002 pod kątem wszelkich zmian w jej wdrażaniu.

Mimo że ISO 27001 rewizja 2022 nie została jeszcze opublikowana, Załącznik B do ISO 27002 mapuje kontrole pomiędzy wersjami normy z 2013 i 2022 roku.

Deklaracja stosowalności (SOA) powinna nadal odnosić się do Załącznika A normy ISO 27001, natomiast kontrole muszą odnosić się do znowelizowanej normy ISO 27002:2022, która będzie alternatywnym zestawem kontroli.

Czy musisz zmienić swoją dokumentację?

Dostosowanie się do tych zmian powinno obejmować:

  • aktualizację procesu zarządzania ryzykiem wraz z uaktualnionymi kontrolami;
  • aktualizację oświadczenia o stosowalności;
  • aktualizację aktualnych polityk i procedur wraz z wytycznymi dotyczącymi każdej kontroli, jeśli jest to konieczne.

W jaki sposób wpływa to na normę ISO 27001 2013

Do czasu opublikowania nowej normy ISO 27001 2022, obecne systemy certyfikacji ISO będą kontynuowane, choć wymagane będzie mapowanie do nowych kontroli ISO 27002 2022 poprzez Załącznik B i B1.2.

Nadchodzące zmiany w normie ISO 27001

Większość osób zajmujących się bezpieczeństwem informacji spodziewa się, że zmiany w normie ISO 27001 będą polegały na niewielkich zmianach tekstowych oraz niewielkiej aktualizacji Załącznika A w celu dostosowania go do nowelizacji normy ISO 27002 2022.

Kiedy zostanie zaktualizowana norma ISO 27001?

Powszechnie oczekuje się, że ISO 27001 zostanie zaktualizowana w tym roku (październik 2022). Data ta jest spekulatywna i wymaga potwierdzenia.

Czy zmiany dotyczą innych norm 27000?

Zmiany odczują normy i ramy systemów zarządzania związane z wersją ISO/IEC 27002:2013 i/lub na niej oparte. Oczekuje się, że powszechnie stosowane normy i ramy, takie jak ISO 27701 (prywatność), ISO 27017 (usługi w chmurze) i ISO 27018 (prywatność w chmurze), pójdą w ślad za nimi, a dalszy wpływ może być spodziewany w przypadku norm i ram lokalnych.

Czy jesteś gotowy na zmiany?

Mogą Państwo zacząć przygotowywać system zarządzania swojej organizacji do wersji DIS 27001 (DIS oznacza Draft International Standard) lub poczekać na ostateczną wersję zmienionej normy.

Niektóre kroki, które Państwa organizacja może podjąć w celu przygotowania się do zmienionej normy, to:

  • Przeprowadzenie analizy luk w obecnych mechanizmach kontrolnych w stosunku do nowych mechanizmów kontrolnych;
  • Przeprowadzenie analizy ryzyka zgodnie z uaktualnionymi kontrolami 27002 2022;
  • Mapowanie kontroli za pomocą załącznika B między normami ISO 27002:2013 i ISO 27002:2022;
  • Zrozumienie, które kontrole mają zastosowanie i odpowiednia aktualizacja systemu zarządzania bezpieczeństwem informacji;
  • Przeprowadzenie aktualizacji oświadczenia o stosowalności;
  • Przeprowadzenie przeglądu i aktualizacji programu audytów wewnętrznych w celu określenia wymaganych zaktualizowanych kontroli.
  • Zapewnienie, że wskaźniki bezpieczeństwa są aktualizowane zgodnie z nową oceną ryzyka i kontrolami;
  • Aktualizacja i przegląd standardów, procedur i polityk zgodnie ze zmianami w środowisku;
  • Podjęcie kroków w celu zaktualizowania oceny ryzyka organizacji, ponieważ istniejące kontrole będą aktualizowane;
  • Ocenić wszystkie narzędzia innych firm, które są obecnie używane do wykazywania zgodności, aby upewnić się, że mogą one obsługiwać nowe zmiany;
  • ISO 27018, 27017, 27032, które według powszechnych oczekiwań zostaną zaktualizowane wkrótce po rewizji normy ISO 27001 2022.

Czy OpenTech | IQ Security może pomóc w przejściu na nową wersję ISO 27002:2022?

Tak, możemy. Jeśli jesteś już naszym klientem, wkrótce skontaktujemy się z Tobą i przedstawimy Ci zestaw opcji migracji. Jeśli nie jesteś naszym klientem, mamy szereg opcji, które pomogą Ci w migracji Twojego systemu zarządzania bezpieczeństwem informacji.

Mariusz Piskorczyk

Specjalista ds. bezpieczeństwa informacji, ochrony danych i cyberbezpieczeństwa. Audytor wiodący ISO 27001, 9001. Od 10 lat zajmujący się praktycznie bezpieczeństwem informacji i cyberbezpieczeństwem. Administrator systemów IT.