Blog

IRM360 B.V. Marcel Lavalette 31 Μάρτιος 2022

New ISO 27002:2022

Τι σημαίνει αυτό για τον CyberManager και το ISO 27001;

Από τον Φεβρουάριο, έχει αναπτυχθεί ένα νέο ISO/IEC 27002:2022. Οι πελάτες μας στην Ολλανδία μας θέτουν διάφορες ερωτήσεις σχετικά με το νέο ISO. Σε αυτό το ιστολόγιο συζητάμε:

  1. ISO/IEC 27002:2022.
  2. Το ISO 27001 δεν είναι το ίδιο με το ISO 27002
  3. Έλεγχος και πιστοποιητικό ISO 27001, το παράρτημα Α και το SOA
  4. Σε τι διαφέρει το νέο ISO 27002:2022 από το προηγούμενο;
  5. Τι σχέση έχει το νέο ISO 27002 με την πιστοποίησή μου κατά ISO 27001;
  6. Θα υπάρξουν αλλαγές στο CyberManager όσον αφορά το περιεχόμενο και τη λειτουργικότητα;

1) Νέο πρότυπο ISO/IEC 27002:2022

Το ISO/IEC 27002:2022 είναι ο διάδοχος του ISO/IEC 27002:2013. Υπάρχει αρκετή σύγχυση σχετικά με αυτό, επειδή στις Κάτω Χώρες διατίθεται ως NEN-EN-ISO/IEC 27002:2017. Ποιος είναι ο λόγος για αυτή τη διαφορά στην ονομασία και το έτος;

Ο Διεθνής Οργανισμός Τυποποίησης (ISO) καταρτίζει πρότυπα. Ο οργανισμός είναι μια σύμπραξη εθνικών οργανισμών τυποποίησης σε 163 χώρες, όπως ακριβώς και ο NEN στις Κάτω Χώρες. Σε διεθνές επίπεδο, ο ISO συνεργάζεται με την IEC, τη Διεθνή Ηλεκτροτεχνική Επιτροπή, γι' αυτό και ορισμένα πρότυπα έχουν την ονομασία ISO/IEC. Το NEN αντιπροσωπεύει το Ολλανδικό Ινστιτούτο Τυποποίησης που είναι υπεύθυνο για την καταχώριση των προτύπων. Η ονομασία EN αντιπροσωπεύει τον Ευρωπαϊκό Οργανισμό Τυποποίησης και ισχύει για ολόκληρη την Ευρώπη. Τα εθνικά ινστιτούτα τυποποίησης, όπως το NEN, τα δημοσιεύουν στη συνέχεια στις χώρες τους. Συνεπώς, ένα πρότυπο NEN-EN ISO/IEC σημαίνει ότι πρόκειται για ένα διεθνές πρότυπο που έχει γίνει αποδεκτό και στην Ευρώπη και στις Κάτω Χώρες από το NEN. Συχνά υπάρχει μια προσθήκη όπως NL για να δηλωθεί ότι είναι διαθέσιμο και στην ολλανδική γλώσσα.

Επειδή μπορεί να μεσολαβεί χρόνος μεταξύ της μετάφρασης ή/και της εναρμόνισης ενός διεθνούς προτύπου με την τοπική νομοθεσία, μπορεί να υπάρχει διαφορά στο περιεχόμενο (ελάχιστη) και στη δημοσίευση. Αλλά κατ' αρχήν, το "εθνικό" πρότυπο NEN-EN-ISO/IEC 27002:2017 είναι το ίδιο με το ISO/IEC 27002:2013.

2) Το ISO 27001 δεν είναι το ίδιο με το ISO 27002

Το ISO 27001 είναι ένα παγκοσμίως αναγνωρισμένο πρότυπο στον τομέα της ασφάλειας των πληροφοριών. Το λεγόμενο Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS) περιγράφει την εφαρμογή της διαδικασίας για τον έλεγχο των κινδύνων ασφάλειας πληροφοριών. Προς το παρόν είναι δυνατή η πιστοποίηση μόνο σύμφωνα με το πρότυπο ISO 27001.
Οι τρέχουσες τρέχουσες εκδόσεις είναι οι εξής:

  • ISO/IEC 27001:2013 (διεθνές) και στην πραγματικότητα εξακολουθεί να είναι το ισχύον πρότυπο
  • NEN-EN-ISO/IEC 27001:2017

3) Έλεγχος και πιστοποιητικό ISO 27001, το παράρτημα Α και το SOA

Ο έλεγχος του ISO 27001 επικεντρώνεται κυρίως στη διασφάλιση της διαδικασίας, το ΣΔΠΔ, αλλά κατά τη διάρκεια του ελέγχου ελέγχονται επίσης τα μέτρα ελέγχου που περιγράφονται στο παράρτημα Α του τυποποιημένου εγγράφου ISO 27001. Το παράρτημα Α είναι ένας κατάλογος μέτρων ελέγχου και αυτά έχουν ληφθεί από το ISO 27002, συμπεριλαμβανομένης της αρίθμησης, των κεφαλαίων και των ενοτήτων, αλλά δεν είναι τα ίδια.

Το πρότυπο ISO 27002 πηγαίνει παραπέρα από αυτόν τον κατάλογο μέτρων ελέγχου και παρέχει για κάθε μέτρο ελέγχου μια πιο εμπεριστατωμένη ανάλυση με τη μορφή "βέλτιστων πρακτικών" (ενδεχομένως τεχνικές που πρέπει να εφαρμόζονται, μέθοδοι εργασίας κ.λπ.) για να δοθεί ουσία στο μέτρο ελέγχου.

Είστε ελεύθεροι να εφαρμόσετε άλλα μέτρα ελέγχου (δικά σας ή από άλλα πρότυπα, όπως CIS, NIST-CSF κ.λπ.), εφόσον αποδεδειγμένα συμμορφώνεστε με τα μέτρα ελέγχου του παραρτήματος Α.

Για κάθε μέτρο ελέγχου, πρέπει να αναφέρετε αν εφαρμόζεται ή όχι και αν έχει εφαρμοστεί ή όχι. Αυτό το δηλώνετε στη λεγόμενη δήλωση εφαρμογής (Statement of applicability - SOA). Αυτή η SOA περιέχει την αναφορά στην έκδοση που χρησιμοποιείται κατά τον έλεγχο του ISO 27001, π.χ. EN-EN-ISO/IEC 27001:2017 +A11:2020.

Έι, άλλη μια ένδειξη "+A11:2020"; Αυτό το "+A11" αναφέρεται στις αλλαγές που έγιναν από το NEN και το ":2020" στο έτος κατά το οποίο έγινε η αλλαγή. Το NEN χρησιμοποιεί τη δική του αρίθμηση για το ίδιο πρότυπο στις Κάτω Χώρες, γεγονός που μπορεί να προκαλέσει σύγχυση. Άλλες χώρες μπορεί επίσης να χρησιμοποιούν τη "δική" τους διαφορετική αρίθμηση.
Ελπίζω να εξακολουθείτε να καταλαβαίνετε......;

4) Πώς διαφέρει το νέο ISO 27002:2022 από το προηγούμενο;

Δεν θα αναφερθούμε σε όλες τις αλλαγές σε αυτό το ιστολόγιο, καθώς γνωρίζουμε ήδη πολλά γι' αυτές, αλλά θα εξηγήσουμε κυρίως τα ζητήματα που θα πρέπει να αντιμετωπίσουν οι χρήστες μας.

Στο παλιό ISO/IEC 27002:2013, κάθε μέτρο ελέγχου (βέλτιστη πρακτική) αποτελούνταν από ένα:

  • Περιγραφή ελέγχου
  • Οδηγίες εφαρμογής (βέλτιστη πρακτική)

Το νέο ISO/IEC 27002:2022 δεν αναφέρει πλέον "βέλτιστες πρακτικές" αλλά μόνο ελέγχους και αυτοί αποτελούνται πλέον από :

  • Έλεγχος (μέτρο ελέγχου)
  • Σκοπός
  • Καθοδήγηση

Επίσης, για κάθε έλεγχο εμφανίζεται ένας πίνακας χαρακτηριστικών (βλ. παράδειγμα παρακάτω) που μπορεί να βοηθήσει στην επιλογή (φιλτράρισμα) μέτρων ελέγχου για διάφορα θέματα.

Τρεις τύποι ελέγχου προς επιλογή όσον αφορά το πότε και πώς θα ενεργήσετε σε περίπτωση περιστατικού ασφάλειας πληροφοριών.

     Πρόληψη- ο έλεγχος πρέπει να αποτρέπει την εκδήλωση ενός περιστατικού ασφάλειας πληροφοριών,

     Detectief- ο έλεγχος πραγματοποιείται όταν συμβεί ένα περιστατικό ασφάλειας πληροφοριών,

     Correctief- ο έλεγχος πραγματοποιείται μετά την εκδήλωση ενός περιστατικού ασφάλειας πληροφοριών.

 

Τρεις ιδιότητες ασφάλειας πληροφοριών: επιλογή μέτρων ελέγχου από την άποψη των χαρακτηριστικών των πληροφοριών, όπως: Εμπιστευτικότητα, ακεραιότητα ή/και διαθεσιμότητα.

Έννοιες κυβερνοασφάλειας: είναι μια ιδιότητα για την επιλογή μέτρων ελέγχου από την άποψη των εννοιών κυβερνοασφάλειας που ορίζονται στο πλαίσιο κυβερνοασφάλειας ISO/IEC TS 27110 και στο μοντέλο NIST CSF: Αναγνώριση, προστασία, ανίχνευση, αντίδραση και ανάκτηση.

Οι επιχειρησιακές ικανότητες είναι ένα χαρακτηριστικό για την επιλογή μέτρων διαχείρισης από την οπτική γωνία του ιδιοκτήτη ή του διαχειριστή μιας συγκεκριμένης περιοχής. Οι τιμές του χαρακτηριστικού αποτελούνται από: Διακυβέρνηση, Διαχείριση περιουσιακών στοιχείων, Ασφάλεια πληροφοριών, Ανθρώπινο δυναμικό, Φυσική ασφάλεια, Ασφάλεια συστημάτων και δικτύων, Ασφάλεια εφαρμογών, Ασφαλής διαμόρφωση, Διαχείριση ταυτότητας και πρόσβασης, Διαχείριση τρωτών σημείων και απειλών, Συνέχεια, Διαχείριση προμηθευτών, Συμμόρφωση, Διαχείριση περιστατικών ασφάλειας πληροφοριών και Διασφάλιση.

Οι τομείς ασφάλειας είναι ένα χαρακτηριστικό για την επιλογή μέτρων διαχείρισης από την άποψη τεσσάρων τομέων ασφάλειας πληροφοριών: Διακυβέρνηση και οικοσύστημα, προστασία, άμυνα και ανθεκτικότητα.

Όλα τα χαρακτηριστικά που περιγράφονται ανωτέρω από το ISO 27002 είναι γενικά και οι οργανισμοί μπορούν να επιλέξουν να αγνοήσουν ένα ή περισσότερα από τα χαρακτηριστικά ή να δημιουργήσουν τα δικά τους.

5) Τι σχέση έχει το νέο ISO 27002 με την πιστοποίησή μου κατά ISO 27001;

Προς το παρόν, τίποτα- δεν υπάρχει ακόμη νέο πρότυπο ISO 27001 και, συνεπώς, νέο παράρτημα Α. Φυσικά, θα υπάρξει ένα, και τότε τα Παραρτήματα Α θα είναι εναρμονισμένα μεταξύ τους όσον αφορά τη μορφή και την απαρίθμηση της περιγραφής των μέτρων ελέγχου. Ο οργανισμός NEN αναμένει ένα επικαιροποιημένο παράρτημα Α για το υπάρχον ISO/IEC 27001:2013 τον Μάιο, ενδεχομένως με μια ονομασία όπως +A1:2022; Άλλωστε, τότε θα είναι η πρώτη "τροποποίηση" του νέου παραρτήματος από το 2022. Πολλοί θα περιμένουν το ολλανδικό τροποποιημένο NEN-EN ISO/IEC 27001:2017 +A1:2022. Αυτό αναμένεται στα τέλη του 2022.

Εάν έχετε ήδη πιστοποιητικό, δεν χρειάζεται να κάνετε τίποτα άμεσα. Υπάρχει μια μεταβατική περίοδος 2 ετών που ισχύει από τη στιγμή που θα είναι διαθέσιμο το νέο πρότυπο ISO27001 με το επικαιροποιημένο παράρτημα Α. Εάν εργάζεστε σε ένα έργο πιστοποίησης, τότε εξαρτάται από το πότε πρόκειται να πραγματοποιήσετε τον έλεγχο εάν μπορείτε να επικεντρωθείτε καλύτερα στο νέο ISO 27001 και το παράρτημα Α. Συζητήστε το με τον φορέα πιστοποίησης ή τον συνεργάτη υλοποίησης, για παράδειγμα!

6) Θα αλλάξει κάτι στο CyberManager όσον αφορά το περιεχόμενο και τη λειτουργικότητα;

Η δομή του νέου παραρτήματος Α πιθανότατα δεν θα διαφέρει πολύ από το ισχύον παράρτημα Α. Οπότε και η απαρίθμηση των μέτρων διαχείρισης αλλά:

  • Ο μορφότυπος θα βασίζεται στο νέο παράρτημα Α που βασίζεται στο ISO 27002:2022.
         1. Old: 14 κεφάλαια και 114 μέτρα ελέγχου
         2. Νέο: 4 κεφάλαια (Ανθρώπινα, Τεχνικά, Φυσικά & Οργάνωση)
  • 93 μέτρα διαχείρισης αντί για 114, άρα λιγότερη εργασία; Υπάρχουν 11 νέα μέτρα, αλλά περιλαμβάνονται στο σύνολο των 93. Αλλά πώς; Στο νέο 27002, 114 μέτρα ελέγχου που ανήκαν ήδη πολύ μαζί έχουν συγχωνευτεί, κάποια έχουν παραμείνει τα ίδια και ένα μέτρο έχει χωριστεί για να φτάσουμε στα 82 μέτρα. Ο πλήρης κατάλογος των διαφορών μεταξύ του ISO 27002:2013 και του ISO 27002:2022 βρίσκεται στο παράρτημα Β του ISO 27002:2022.

Θα είναι οικείο στους χρήστες του CyberManager που χρησιμοποίησαν το σύνολο μέτρων του CyberManager. Αντί για τα 4 νέα κεφάλαια και τα 82 συγχωνευμένα μέτρα διαχείρισης, το σύνολο μέτρων του CyberManager βασιζόταν ήδη σε 7 παραγράφους και 71 συγχωνευμένα μέτρα.

Έτσι, κατανοούμε αυτό το νέο ISO 27002:2022, αλλά πήγαμε μόνο λίγο παραπέρα. Παρεμπιπτόντως, αυτό το σύνολο μέτρων CyberManager μπορεί να χρησιμοποιηθεί ακόμα και στη νέα ρύθμιση.

Μόλις τεθεί σε εφαρμογή το νέο παράρτημα Α, θα διεκπεραιωθούν τα ακόλουθα:

6.1) Προσθήκη του ISO/IEC ISO27001:2017 +A1:2022 εάν έχετε άδεια.

6.2) Παρέχουμε μια διαφορετική ταξινόμηση μέτρων

Νέα πρότυπα για νέα μέτρα: Στο νέο ISO 27002, έχουν προστεθεί νέα μέτρα ελέγχου, τα οποία, ως εκ τούτου, πρέπει επίσης να προστεθούν ή να ενσωματωθούν στο σύνολο των μέτρων:

- Πληροφορία για απειλές (κεφ. 5.7)

- Ασφάλεια πληροφοριών για τη χρήση υπηρεσιών νέφους (cl. 5.23)

- Ετοιμότητα ΤΠΕ για επιχειρησιακή συνέχεια (cl. 5.30)

- Παρακολούθηση της φυσικής ασφάλειας (σημ. 7.4) Διαχείριση παραμέτρων (σημ. 8.9)

- Διαγραφή πληροφοριών (σημ. 8.10)

- Κάλυψη δεδομένων (σημ. 8.11)

- Πρόληψη διαρροής δεδομένων (σημ. 8.12)

- Δραστηριότητες παρακολούθησης (σημ. 8.16)

- Φιλτράρισμα ιστού (σημ. 8.23)

- Ασφαλής κωδικοποίηση (σημ. 8.28)

Πρέπει να εφαρμόσετε αυτά τα νέα μέτρα ελέγχου ανεξάρτητα από το αν χρησιμοποιείτε το "παλιό" ISO 27002:2017, το σύνολο μέτρων του CyberManager ή άλλο σύνολο όπως το παλιό ISO 27002.

Μια παγίδα;
Το πρότυπο ISO 27002:2022 περιλαμβάνει έναν πίνακα αναφοράς για την αντιστοιχία των "παλαιών" μέτρων ελέγχου με τα νέα. Το κείμενο ορισμένων από τα μέτρα ελέγχου έχει τροποποιηθεί, εν μέρει λόγω της συγχώνευσης (οπότε δεν υπάρχει μεγάλη αλλαγή ως προς το περιεχόμενο), αλλά το κείμενο μπορεί επίσης να τροποποιηθεί. Στην περίπτωση ορισμένων από τα μέτρα ελέγχου για τα οποία οι βέλτιστες πρακτικές έχουν πλέον συμπεριληφθεί ως κατευθυντήριες γραμμές εφαρμογής, το περιεχόμενο του μέτρου ελέγχου έχει επίσης τροποποιηθεί και, κατά συνέπεια, το παράρτημα Α.

Φυσικά θα σας το επισημάνουμε αυτό εν ευθέτω χρόνω, αλλά θα πρέπει να ελέγξετε αν τα τρέχοντα μέτρα σας εξακολουθούν να είναι κατάλληλα.

6.3) Και όσον αφορά τη λειτουργικότητα;
Η διαδικασία επιλογής μέτρων για τη δημιουργία προτάσεων μέτρων (βασική γραμμή) στο CyberManager είναι ήδη σε μεγάλο βαθμό συμβατή με τη χρήση αυτών των χαρακτηριστικών.

Το σύστημα προσφέρει ήδη δυνατότητες εργασίας με επιλογές (χαρακτηριστικά) όπως οι τύποι ελέγχου, αλλά δεν έχει εφαρμοστεί ακόμη ένας ανιχνεύσιμος τύπος.

Τα χαρακτηριστικά ασφάλειας πληροφοριών έχουν ήδη εφαρμοστεί.

Οι έννοιες ασφάλειας στον κυβερνοχώρο και οι τομείς ασφάλειας εφαρμόζονται ήδη ως χαρακτηριστικά επιπέδου ασφάλειας για τις έννοιες ασφάλειας στον κυβερνοχώρο για τον έλεγχο CIS και το NIST CSF.

Το χαρακτηριστικό "Operational capabilities" στο CyberManager καλύπτεται εν μέρει από τύπους διαδικασιών/οργάνωσης ή/και πόρων.

Το νέο ISO 27002:2022 δεν επιφέρει σημαντικές αλλαγές, αλλά όπου είναι απαραίτητο, θα το συμπληρώσουμε, ώστε η ευθυγράμμιση με το ISO27002:2020 να είναι η βέλτιστη δυνατή για τους πελάτες που επιθυμούν να το χρησιμοποιήσουν.

 

Για τη διευκόλυνση αυτού του ιστολογίου, ορισμένα θέματα έχουν μεταφραστεί από το ISO/IEC 27002:2022
αλλά σας συμβουλεύουμε να περιμένετε την επίσημη ολλανδική μετάφραση των νέων προτύπων.
Πηγές:
Πληροφορίες που διατέθηκαν από το NEN κατά τη διάρκεια του διαδικτυακού σεμιναρίου του Φεβρουαρίου,
το πρότυπο ISO/IEC 27002:2022, ο δικτυακός τόπος του NEN, ο δικτυακός τόπος ISO.org και ο φορέας πιστοποίησής μας.

Ερωτήσεις;

Μπορούμε να φανταστούμε ότι μπορεί να έχετε κάποιες ερωτήσεις ή ότι θα θέλατε να συντονίσετε μαζί μας εκ των προτέρων θέματα σχετικά με αυτό το ISO 27002:2022, τότε είμαστε φυσικά ευτυχείς να σας βοηθήσουμε.

Θέλετε να μάθετε περισσότερα για τις πιστοποιήσεις NIS2, ISO 27001 ή άλλες πιστοποιήσεις που ενδιαφέρουν τον οργανισμό σας και πώς μπορεί να σας βοηθήσει ο CyberManager;

Θα θέλαμε πολύ να επικοινωνήσουμε μαζί σας για ευκαιρίες και πληροφορίες!

Στείλτε μήνυμα στο sales@irm360.nl ή συμπληρώστε τη φόρμα επικοινωνίας εδώ ή επικοινωνήστε με τον συνεργάτη σας.