Blog

IRM360 B.V. Marcel Lavalette 31 ožujak 2022

Novi ISO 27002:2022

Što to znači za CyberManager i ISO 27001?

Od veljače je razvijen novi ISO /IEC 27002:2022. Naši kupci u Nizozemskoj postavljaju nam nekoliko pitanja u vezi s novim ISO-om. Na ovom blogu raspravljamo o:

  1. Novi standard ISO/IEC 27002:2022
  2. ISO 27001 nije isto što i ISO 27002
  3. Revizija i potvrda iso 27001, Prilog A i SOA
  4. Po čemu se novi ISO 27002:2022 razlikuje od prethodnog?
  5. Kakve veze ima novi ISO 27002 s mojim CERTIFIKATOM ISO 27001?
  6. Hoće li biti promjena u CyberManageru u smislu sadržaja i funkcionalnosti?

1) Novi standard ISO/IEC 27002:2022

ISO/IEC 27002:2022 nasljednik je ISO/IEC 27002:2013. Oko toga postoji poprilična zbrka, jer je u Nizozemskoj dostupan kao NEN-EN-ISO/IEC 27002:2017. Koji je razlog za ovu razliku u određivanju i godini?

Međunarodna organizacija za normizaciju (ISO) sastavlja standarde. Organizacija je partnerstvo nacionalnih organizacija za normizaciju u 163 zemlje, baš kao i NEN u Nizozemskoj. Na međunarodnoj razini ISO surađuje s IEC-om; Međunarodna elektrotehnička komisija, zbog čega neki standardi imaju oznaku ISO/IEC. NEN je kratica za Nizozemski institut za standardizaciju koji je odgovoran za registraciju standarda. Oznaka EN označava Europsku organizaciju za normizaciju i primjenjuje se na cijelu Europu. Nacionalni instituti za normizaciju kao što je NEN zatim ih objavljuju u svojim zemljama. Nen-EN ISO/IEC standard stoga znači da se odnosi na međunarodni standard koji je NEN također prihvatio u Europi, ali i u Nizozemskoj. Često postoji dodatak kao što je NL koji ukazuje na to da je dostupan i na nizozemskom jeziku.

Budući da može postojati vrijeme između prijevoda i/ili usklađivanja međunarodnog standarda s lokalnim zakonodavstvom, može postojati razlika u sadržaju (minimalnom) i objavljivanju. No, u načelu, "nacionalni" standard NEN-EN-ISO/IEC 27002:2017 isti je kao i ISO/IEC 27002:2013.

 

2) ISO 27001 nije isto što i ISO 27002

ISO 27001 je globalno priznati standard u području informacijske sigurnosti. Takozvani sustav upravljanja informacijskom sigurnošću (SUIS) opisuje provedbu procesa kontrole rizika informacijske sigurnosti. Trenutno je moguće certificirati samo prema normi ISO 27001.
Trenutne trenutne verzije su:

  • ISO/IEC 27001:2013 (međunarodni) i zapravo još uvijek postojeći standard

3) Revizija i potvrda ISO 27001, Prilog A i SOA

Revizija norme ISO 27001 uglavnom je usmjerena na osiguranje procesa, SUIS, ali tijekom revizije ispituju se i mjere kontrole opisane u Prilogu A standardnog dokumenta ISO 27001. Prilog A popis je kontrolnih mjera i one su preuzete iz norme ISO 27002, uključujući numeriranje, poglavlja i odjeljke, ali one nisu iste.

Norma ISO 27002 ide dalje od samog ovog popisa kontrolnih mjera i predviđa za svaku kontrolnu mjeru detaljniju analizu u obliku "Najboljih praksi" (moguće tehnika koje će se primijeniti, metoda rada itd.) kako bi se tvar dala kontrolnoj mjeri.

Možete primijeniti druge mjere kontrole (vlastite ili druge standarde kao što su CIS, NIST-CSF itd.) sve dok se očito pridržavate mjera kontrole iz Priloga A.

Za svaku kontrolnu mjeru morate navesti je li primjenjiva i je li provedena ili ne. To izjavljujete u takozvanoj Izjavi o primjenjivosti (SOA). Ova SOA sadrži upućivanje na verziju korištenu tijekom revizije norme ISO 27001, npr. EN-EN-ISO/IEC 27001:2017 +A11:2020.

Hej, još jedna naznaka "+A11:2020"? Ovaj "+A11" odnosi se na promjene koje je unio NEN i ":2020" u odnosu na godinu u kojoj je došlo do promjene. NEN koristi vlastito numeriranje za isti standard u Nizozemskoj, što može biti zbunjujuće. Druge zemlje također mogu koristiti svoje "vlastito" različito numeriranje.
Nadam se da još uvijek razumiješ.......?

 

4) Po čemu se novi ISO 27002:2022 razlikuje od prethodnog?

Nećemo ulaziti u sve promjene na ovom blogu, jer već znamo puno o njima, ali uglavnom ćemo objasniti probleme s kojima će se naši korisnici morati nositi.

U starom ISO/IEC 27002:2013 svaka kontrolna mjera (Najbolja praksa) sastojala se od jedne:

  • Opis kontrole
  • Smjernice za provedbu (najbolja praksa)

Novi ISO/IEC 27002:2022 više ne spominje "najbolje prakse" već samo kontrole, a one se sada sastoje od :

  • Control (controlmeasure)
  • Svrha
  • Smjernice

Također, za svaku kontrolu prikazuje se tablica atributa (vidi primjer u nastavku) koja može pomoći u odabiru (filtriranja) kontrolnih mjera o različitim pitanjima.

Tri vrste kontrole koje možete odabrati u smislu kada i kako postupati u slučaju incidenta informacijske sigurnosti.

Preventief; kontrola mora spriječiti pojavu incidenta informacijske sigurnosti,

Detektiv; kontrola se događa kada dođe do incidenta informacijske sigurnosti,

Popravni; kontrola se događa nakon što se dogodi incident informacijske sigurnosti.

 

Tri svojstva informacijske sigurnosti: odabrati kontrolne mjere sa stajališta karakteristika informacija kao što su: Povjerljivost, Integritet i/ili Dostupnost.

Koncepti kibersigurnosti atribut su za odabir mjera kontrole iz perspektive koncepata kibersigurnosti definiranih u okviru za kibersigurnost ISO/IEC TS 27110 i u modelu NIST CSF-a: Identificirajte, zaštitite, otkrijte, odgovorite i oporavite.

Operativne mogućnosti atribut su za odabir mjera upravljanja iz perspektive vlasnika ili upravitelja određenog područja. Vrijednosti atributa sastoje se od: upravljanja, upravljanja imovinom, informacijske sigurnosti, HR-a, fizičke sigurnosti, sigurnosti sustava i mreže, sigurnosti aplikacija, sigurne konfiguracije, upravljanja identitetom i pristupom, upravljanja ranjivošću i prijetnjama, kontinuiteta, upravljanja dobavljačima, usklađenosti, upravljanja incidentima informacijske sigurnosti i jamstva.

Sigurnosna područja atribut su za odabir mjera upravljanja iz perspektive četiriju područja informacijske sigurnosti: upravljanja i ekosustava, zaštite, obrane i otpornosti.

Svi gore opisani atributi iz norme ISO 27002 općeniti su i organizacije mogu odlučiti zanemariti jedan ili više atributa ili stvoriti vlastiti.

5) Kakve veze ima novi ISO 27002 s mojim ISO 27001 certifikatom?

U ovom trenutku, ništa; još nema novog standarda ISO 27001, a time ni novog Priloga A. Naravno, bit će ga, a onda će Prilog A biti u skladu jedan s drugim u smislu formata i nabrajanja opisa kontrolnih mjera. Organizacija NEN očekuje ažurirani Prilog A za postojeći ISO/IEC 27001:2013 u svibnju, vjerojatno s oznakom kao što je +A1:2022? Uostalom, to će tada biti prva "izmjena" novog Priloga iz 2022. godine. Mnogi će čekati nizozemce izmijenjeni NEN-EN ISO/IEC 27001:2017 +A1:2022. To se očekuje krajem 2022.

Ako već imate certifikat, ne morate odmah ništa učiniti. Prijelazno razdoblje od 2 godine primjenjuje se čim novi standard ISO27001 bude dostupan s ažuriranim Prilogom A. Ako radite na projektu certificiranja, onda ovisi o tome kada ćete provesti reviziju možete li se najbolje usredotočiti na novi ISO 27001 i Prilog A. Razgovarajte o tome sa svojim certifikacijskim tijelom ili provedbenim partnerom, npr!

6) Hoće li se nešto promijeniti u CyberManageru u smislu sadržaja i funkcionalnosti?

Struktura novog Priloga A najvjerojatnije se neće bitno razlikovati od trenutačnog Priloga A. Dakle, uvrštavanje mjera upravljanja, ali:

  • Format će se temeljiti na novom Prilogu A koji se temelji na normi ISO 27002:2022
    1. Staro: 14 poglavlja i 114 kontrolnih mjera
    2. Novo: 4 poglavlja (čovjek, tehnika, fizička i organizacija)
  • 93 mjere upravljanja umjesto 114, dakle manje rada? Ima 11 novih, ali su uključeni u ukupno 93. Ali kako? U novoj 27002. godini spojeno je 114 mjera kontrole koje su već puno pripadale, neke su ostale iste, a jedna mjera podijeljena je kako bi se stigle do 82 mjere. Potpuni popis razlika između norme ISO 27002:2013 i ISO 27002:2022 nalazi se u Prilogu B NORME ISO 27002:2022.

Bit će poznat korisnicima CyberManagera koji su koristili skup mjera CyberManager. Umjesto četiri nova poglavlja i 82 spojene mjere upravljanja, skup mjera Za kibernetički nadzor već se temeljio na 7 stavaka i 71 spojenoj mjeri.

Dakle, razumijemo ovaj novi ISO 27002:2022, ali je otišao samo malo dalje. Usput, ovaj skup mjera CyberManager i dalje se može koristiti u novom postavljanju.

Čim novi Prilog A bude na snazi, obrađivat će se sljedeće:

6.1) Dodatak ISO/IEC ISO27001:2017 +A1:2022 ako imate dozvolu.

6.2) Pružamo drugačiju klasifikaciju mjera

Zamijenite mjere u ispravnom poglavlju, neka spajanja i dodajte/integrirajte novih 11 mjera.

Sve postojeće veze s kontrolama s drugim standardima kao što su ISAE 3402, SOC 2 itd. i dalje će postojati. Zapravo, ništa se ne mijenja s obzirom na postojeće i spojene mjere.  

Novi predlošci za nove mjere: U novom iso 27002 dodane su nove mjere kontrole, koje stoga također treba dodati ili integrirati u skup mjera:

- Obavještajna služba o prijetnjama (cl. 5.7)

- Informacijska sigurnost za korištenje usluga u oblaku (cl. 5.23)

- IKT spremnost za kontinuitet poslovanja (cl. 5.30)

- Nadzor fizičke sigurnosti (oko 7.4) Upravljanje konfiguracijom(cl. 8.9)  

- Brisanje informacija (cl. 8.10) 

- Maskiranje podataka (cl. 8.11) 

- Sprječavanje curenja podataka (cl. 8.12) 

- Praćenje aktivnosti (cl. 8.16) 

- Web-filtriranje (cl. 8.23) 

- Sigurno kodiranje (cl. 8.28)

Ove nove mjere kontrole morate provesti bez obzira koristite li "stari" ISO 27002:2017, skup mjera CyberManager ili neki drugi skup poput starog ISO 27002.

Kvaka?

ISO 27002:2022 uključuje referentnu tablicu za pridržavanje "starih" kontrolnih mjera za nove. Tekst nekih mjera kontrole izmijenjen je, djelomično zbog spajanja (u tom slučaju nema mnogo promjena u pogledu sadržaja), ali tekst se također može izmijeniti. U slučaju nekih od mjera kontrole za koje su najbolje prakse sada uključene kao provedbene smjernice, izmijenjen je i sadržaj mjere kontrole, a time i Prilog A.

Naravno da ćemo vam to pravovremeno istaknuti, ali morat ćete provjeriti odgovaraju li vaše trenutne mjere i dalje.

6.3) A što se tiče funkcionalnosti?

Postupak odabira mjera za izradu prijedloga mjera (polazno) u cybermanageru već je u velikoj mjeri kompatibilan s upotrebom tih atributa.

Sustav već nudi mogućnosti rada s odabirima (atributima) kao što su vrste kontrola, ali tip koji se može otkriti još nije primijenjen.

Značajke informacijske sigurnosti već su implementirane.

Koncepti kibersigurnosti i sigurnosne domene već se primjenjuju kao atributi razine sigurnosti za (razine BBN1, BBN2 i BBN3) i koncepte kibersigurnosti za kontrolu CIS-a i NIST CSF.

Atribut "Operativne mogućnosti" u CyberManageru djelomično je obuhvaćen vrstama procesa/organizacije i/ili resursa.

Novi ISO 27002:2022 ne donosi veće promjene, ali tamo gdje je potrebno, nadopunit ćemo ga tako da usklađivanje s ISO27002:2020 bude što optimalnije za kupce koji ga žele koristiti.

 

Radi praktičnosti ovog bloga prevedeno je niz pitanja s ISO /IEC 27002:2022
ali savjetujemo vam da pričekate službeni nizozemski prijevod novih standarda.
Izvori:
Informacije koje je NEN stavio na raspolaganje tijekom webinara u veljači,
norma ISO/IEC 27002:2022, web stranica NEN-a, web stranica ISO.org i naše certifikacijsko tijelo.

Pitanja?

Možemo zamisliti da biste mogli imati neka pitanja ili biste željeli unaprijed koordinirati stvari s nama u vezi s ovim ISO 27002:2022, onda smo naravno sretni što vam možemo pomoći.

System.InvalidCastException: Unable to cast object of type 'System.Xml.XmlDocument' to type 'System.Xml.XmlElement'.
   at Umbraco.Web.PublishedCache.XmlPublishedCache.PublishedContentCache.DetermineRouteById(UmbracoContext umbracoContext, Boolean preview, Int32 contentId)
   at Umbraco.Web.PublishedCache.XmlPublishedCache.PublishedContentCache.GetRouteById(UmbracoContext umbracoContext, Boolean preview, Int32 contentId)
   at Umbraco.Web.Routing.DefaultUrlProvider.GetUrl(UmbracoContext umbracoContext, Int32 id, Uri current, UrlProviderMode mode)
   at Umbraco.Web.Routing.UrlProvider.<>c__DisplayClass16_0.<GetUrl>b__0(IUrlProvider provider)
   at System.Linq.Enumerable.WhereSelectArrayIterator`2.MoveNext()
   at System.Linq.Enumerable.FirstOrDefault[TSource](IEnumerable`1 source, Func`2 predicate)
   at Umbraco.Web.Routing.UrlProvider.GetUrl(Int32 id, Uri current, UrlProviderMode mode)
   at Umbraco.Web.Templates.TemplateUtilities.ParseInternalLinks(String text, UrlProvider urlProvider)
   at Umbraco.Web.Templates.TemplateUtilities.ParseInternalLinks(String text)
   at ASP._Page_Views_Partials_grid_editors_rte_cshtml.Execute() in d:\wwwroot\IRM360\www\Views\Partials\Grid\Editors\Rte.cshtml:line 5
   at System.Web.WebPages.WebPageBase.ExecutePageHierarchy()
   at System.Web.Mvc.WebViewPage.ExecutePageHierarchy()
   at System.Web.WebPages.WebPageBase.ExecutePageHierarchy(WebPageContext pageContext, TextWriter writer, WebPageRenderingBase startPage)
   at System.Web.Mvc.RazorView.RenderView(ViewContext viewContext, TextWriter writer, Object instance)
   at System.Web.Mvc.BuildManagerCompiledView.Render(ViewContext viewContext, TextWriter writer)
   at Umbraco.Core.Profiling.ProfilingView.Render(ViewContext viewContext, TextWriter writer)
   at System.Web.Mvc.HtmlHelper.RenderPartialInternal(String partialViewName, ViewDataDictionary viewData, Object model, TextWriter writer, ViewEngineCollection viewEngineCollection)
   at System.Web.Mvc.Html.PartialExtensions.Partial(HtmlHelper htmlHelper, String partialViewName, Object model, ViewDataDictionary viewData)
   at System.Web.Mvc.Html.PartialExtensions.Partial(HtmlHelper htmlHelper, String partialViewName, Object model)
   at ASP._Page_Views_Partials_grid_editors_base_cshtml.Execute() in d:\wwwroot\IRM360\www\Views\Partials\Grid\Editors\Base.cshtml:line 21