Ny ISO 27002:2022

Hva betyr dette for CyberManager og ISO 27001?

Siden februar har det blitt utviklet en ny ISO/IEC 27002:2022. Våre kunder i Nederland stiller oss flere spørsmål om den nye ISO-standarden. I denne bloggen diskuterer vi:

1. Ny ISO/IEC 27002:2022-standard
2. ISO 27001 er ikke det samme som ISO 27002.
3. ISO 27001 revisjon og sertifikat, vedlegg A og SOA
4. Hvordan skiller den nye ISO 27002:2022 seg fra den forrige?
5. Hva har den nye ISO 27002 å gjøre med min ISO 27001-sertifisering?
6. Vil det bli noen endringer i CyberManager når det gjelder innhold og funksjonalitet?

1) Den nye standarden ISO/IEC 27002:2022

ISO/IEC 27002:2022 er etterfølgeren til ISO/IEC 27002:2013. Det er en del forvirring rundt dette, fordi den i Nederland er tilgjengelig som NEN-EN-ISO/IEC 27002:2017. Hva er årsaken til denne forskjellen i betegnelse og årstall?

Den internasjonale standardiseringsorganisasjonen (ISO) utarbeider standarder. Organisasjonen er et partnerskap av nasjonale standardiseringsorganisasjoner i 163 land, akkurat som NEN i Nederland. På internasjonalt nivå samarbeider ISO med IEC, den internasjonale elektrotekniske kommisjonen, og derfor har noen standarder betegnelsen ISO/IEC. NEN står for det nederlandske standardiseringsinstituttet som er ansvarlig for å registrere standarder. EN-betegnelsen står for den europeiske standardiseringsorganisasjonen og gjelder for hele Europa. De nasjonale standardiseringsinstituttene som NEN publiserer deretter disse i sine egne land. En NEN-EN ISO/IEC-standard betyr derfor at det dreier seg om en internasjonal standard som også er akseptert i Europa og også i Nederland av NEN. Ofte er det et tillegg som NL for å indikere at den også er tilgjengelig på nederlandsk.

Fordi det kan gå tid mellom oversettelsen og/eller harmoniseringen av en internasjonal standard med lokal lovgivning, kan det være en forskjell i innhold (minimal) og publisering. Men i prinsippet er den "nasjonale" standarden NEN-EN-ISO/IEC 27002:2017 den samme som ISO/IEC 27002:2013.

2) ISO 27001 er ikke det samme som ISO 27002.

ISO 27001 er en globalt anerkjent standard innen informasjonssikkerhet. Det såkalte styringssystemet for informasjonssikkerhet (SSIS) beskriver gjennomføringen av prosessen for å kontrollere informasjonssikkerhetsrisikoer. Det er for tiden bare mulig å sertifisere i henhold til ISO 27001-standarden.
De nåværende gjeldende versjonene er:

• ISO/IEC 27001:2013 (internasjonal) og faktisk fortsatt gjeldende standard.

3) ISO 27001-revisjon og -sertifikat, vedlegg A og standardiseringsavtalen.

En ISO 27001-revisjon fokuserer hovedsakelig på prosesssikring, SSIS, men under revisjonen testes også kontrolltiltakene som er beskrevet i vedlegg A i ISO 27001-standarddokumentet. Vedlegg A er en liste over kontrolltiltak, og disse er hentet fra ISO 27002, inkludert nummerering, kapitler og avsnitt, men de er ikke de samme.  

ISO 27002-standarden går lenger enn bare denne listen over kontrolltiltak og gir for hvert kontrolltiltak en mer inngående analyse i form av "beste praksis" (eventuelt teknikker som skal brukes, arbeidsmetoder osv.) for å gi kontrolltiltaket substans.

Du står fritt til å bruke andre kontrolltiltak (dine egne eller fra andre standarder som CIS, NIST-CSF osv.) så lenge du påviselig overholder kontrolltiltakene i vedlegg A.

For hvert kontrolltiltak må du angi om det gjelder eller ikke, og om det er gjennomført eller ikke. Du erklærer dette i den såkalte erklæringen om anvendelighet (SOA). Denne SOA-en inneholder referansen til versjonen som ble brukt under ISO 27001-revisjonen, f.eks. EN-EN-ISO/IEC 27001:2017 +A11:2020.

Hei, en annen indikasjon "+A11:2020"? Dette "+A11" refererer til endringene gjort av NEN og ":2020" til året da endringen ble gjort. NEN bruker sin egen nummerering for samme standard i Nederland, noe som kan være forvirrende. Andre land kan også bruke sin "egen" forskjellige nummerering.
Jeg håper du fortsatt forstår......?

4) Hvordan skiller den nye ISO 27002:2022 seg fra den forrige?

Vi vil ikke gå inn på alle endringene i denne bloggen, siden vi allerede vet mye om dem, men vi vil hovedsakelig forklare problemene som brukerne våre må forholde seg til. 

I den gamle ISO/IEC 27002:2013 besto hvert kontrolltiltak (beste praksis) av ett:

• Beskrivelse av kontrollen
• Gjennomføringsveiledning (beste praksis)

Den nye ISO/IEC 27002:2022 nevner ikke lenger "beste praksis", men bare kontroller, og disse består nå av :

• Kontroll (kontrolltiltak)
• Formål
• Veiledning

For hver kontroll vises også en attributtabell (se eksempel nedenfor) som kan bidra til å velge (filtrere) kontrolltiltak på ulike områder.

Tre typer kontroll å velge mellom når det gjelder når og hvordan man skal handle i tilfelle en informasjonssikkerhetshendelse.

Forebyggende; kontrollen skal forhindre at en informasjonssikkerhetshendelse inntreffer,

Detectief; kontrollen skjer når en informasjonssikkerhetshendelse inntreffer,

Correctief; kontrollen skjer etter at en informasjonssikkerhetshendelse har inntruffet.

Tre informasjonssikkerhetsegenskaper: for å velge kontrolltiltak ut fra informasjonsegenskaper som f.eks: Konfidensialitet, integritet og/eller tilgjengelighet.

Cybersikkerhetskonsepter er et attributt for å velge kontrolltiltak ut fra cybersikkerhetskonsepter som er definert i ISO/IEC TS 27110-rammeverket for cybersikkerhet og i NIST CSF-modellen: Identifisere, beskytte, oppdage, reagere og gjenopprette.

Operasjonell kapasitet er et attributt for å velge forvaltningstiltak fra perspektivet til eieren eller forvalteren av et gitt område. Attributtverdiene består av: Styring, ressursforvaltning, informasjonssikkerhet, HR, fysisk sikkerhet, system- og nettverkssikkerhet, applikasjonssikkerhet, sikker konfigurasjon, identitets- og tilgangsstyring, sårbarhets- og trusselhåndtering, kontinuitet, leverandørstyring, samsvar, håndtering av informasjonssikkerhetshendelser og forsikring.

Sikkerhetsdomener er et attributt for å velge forvaltningstiltak ut fra fire informasjonssikkerhetsområder: Styring og økosystem, beskyttelse, forsvar og motstandsdyktighet.

Alle attributtene beskrevet ovenfor fra ISO 27002 er generiske, og organisasjoner kan velge å se bort fra ett eller flere av attributtene eller opprette sine egne.

5) Hva har den nye ISO 27002 å gjøre med min ISO 27001-sertifisering?

For øyeblikket ingenting; det er ingen ny ISO 27001-standard ennå, og dermed ikke noe nytt vedlegg A. Selvfølgelig vil det være en, og da vil vedlegg A være i tråd med hverandre når det gjelder format og oppregning av beskrivelsen av kontrolltiltakene. NEN-organisasjonen forventer et oppdatert vedlegg A for den eksisterende ISO / IEC 27001: 2013 i mai, muligens med en betegnelse som +A1: 2022? Tross alt vil det da være den første "endringen" til det nye vedlegget fra 2022. Mange vil vente på den nederlandske endrede NEN-EN ISO/IEC 27001:2017 +A1:2022. Dette forventes i slutten av 2022.

Hvis du allerede har et sertifikat, trenger du ikke gjøre noe umiddelbart. Det er en overgangsperiode på 2 år som gjelder så snart den nye ISO27001-standarden er tilgjengelig med det oppdaterte vedlegg A. Hvis du arbeider med et sertifiseringsprosjekt, avhenger det av når du skal gjennomføre revisjonen om du best kan fokusere på den nye ISO 27001 og vedlegg A. Diskuter dette for eksempel med sertifiseringsorganet eller implementeringspartneren din!

6) Vil noe endres i CyberManager når det gjelder innhold og funksjonalitet?

Strukturen i det nye vedlegg A vil sannsynligvis ikke være veldig forskjellig fra det nåværende vedlegg A. Så også en liste over forvaltningstiltakene, men:

• Formatet vil være basert på det nye vedlegg A basert på ISO 27002:2022.
  
  1. Gammelt: 14 kapitler og 114 kontrolltiltak
  2. Nytt: 4 kapitler (menneske, teknikk, fysisk og organisasjon)

• 93 forvaltningstiltak i stedet for 114, altså mindre arbeid? Det er 11 nye, men de er inkludert i de totalt 93. Men på hvilken måte? I den nye 27002 har 114 kontrolltiltak som allerede hørte mye sammen, blitt slått sammen, noen har forblitt de samme, og ett tiltak har blitt delt opp for å komme frem til 82 tiltak. Den fullstendige listen over forskjellene mellom ISO 27002:2013 og ISO 27002:2022 finnes i vedlegg B til ISO 27002:2022.

Det vil være kjent for CyberManager-brukere som brukte CyberManager-tiltakssettet. I stedet for de 4 nye kapitlene og 82 sammenslåtte forvaltningstiltakene var CyberManager allerede basert på 7 punkter og 71 sammenslåtte tiltak.

Så vi forstår denne nye ISO 27002:2022, men gikk bare litt lenger. Forresten, dette CyberManager-tiltakssettet kan fortsatt brukes i det nye oppsettet.

Så snart det nye vedlegg A er på plass, vil følgende bli behandlet:

6.1) Tillegg av ISO/IEC ISO27001:2017 +A1:2022 hvis du har lisens.

6.2) Vi tilbyr en annen tiltaksklassifisering

Erstatte tiltak i riktig kapittel, noen sammenslåinger og legge til/integrere de nye 11 tiltakene.

Alle eksisterende koblinger med kontroller til andre standarder som ISAE 3402, SOC 2 osv. vil fortsette å eksistere. Faktisk endres ingenting med hensyn til de eksisterende og sammenslåtte tiltakene.  

Nye maler for de nye tiltakene: I den nye ISO 27002 er det lagt til nye kontrolltiltak, som derfor også må legges til eller integreres i tiltakssettet:

- Etterretning om trusler (kl. 5.7)

- Informasjonssikkerhet ved bruk av skytjenester (kl. 5.23)

- IKT-beredskap for driftskontinuitet (kl. 5.30)

- Overvåking av fysisk sikkerhet (kl. 7.4) Konfigurasjonsstyring (kl. 8.9) 

- Sletting av opplysninger (kl. 8.10) 

- Maskering av data (kl. 8.11) 

- Forebygging av datalekkasje (kl. 8.12) 

- Overvåkingsaktiviteter (kl. 8.16) 

- Nettfiltrering (kl. 8.23)

- Sikker koding (kl. 8.28)

Du må implementere disse nye kontrolltiltakene uavhengig av om du bruker den "gamle" ISO 27002:2017, CyberManager-tiltakssettet eller et annet sett som den gamle ISO 27002.

En hake?

ISO 27002:2022 inneholder en referansetabell for å følge de "gamle" kontrolltiltakene til de nye. Teksten til noen av kontrolltiltakene er endret, delvis på grunn av sammenslåingen (i så fall er det ikke store innholdsmessige endringer), men teksten kan også være endret. Når det gjelder noen av kontrolltiltakene der beste praksis nå er tatt med som retningslinjer for gjennomføring, er også innholdet i kontrolltiltaket endret, og dermed også vedlegg A.

Vi vil selvfølgelig påpeke dette for deg etter hvert, men du må sjekke om dine nåværende tiltak fortsatt passer.

6.3) Og når det gjelder funksjonalitet?

Tiltaksutvelgelsesprosessen for å generere tiltaksforslag (baseline) i CyberManager er allerede i stor grad kompatibel med bruken av disse attributtene. 

Systemet tilbyr allerede muligheter for å arbeide med utvalg (attributter) som kontrolltyper, men en detekterbar type er ennå ikke tatt i bruk.

Informasjonssikkerhetsfunksjoner er allerede implementert.

Cybersikkerhetskonsepter og sikkerhetsdomener brukes allerede som sikkerhetsnivåattributter for og cybersikkerhetskonsepter for CIS-kontrollen og NIST CSF.

Attributtet "Operasjonell kapasitet" i CyberManager dekkes delvis av prosess-/organisasjons- og/eller ressurstyper.

Den nye ISO 27002:2022 medfører ingen store endringer, men der det er nødvendig, vil vi supplere den slik at tilpasningen til ISO 27002:2020 blir så optimal som mulig for kunder som ønsker å bruke den.

For å gjøre det lettere å bruke denne bloggen, er en rekke punkter oversatt fra ISO/IEC 27002:2022.

men vi anbefaler deg å vente på den offisielle nederlandske oversettelsen av de nye standardene.

Kilder:

Informasjon gjort tilgjengelig av NEN under webinaret i februar,

ISO/IEC 27002:2022-standarden, NEN-nettstedet, ISO.org-nettstedet og vårt sertifiseringsorgan. 

Har du spørsmål?

Vi kan tenke oss at du kanskje har noen spørsmål eller ønsker å koordinere saker med oss på forhånd angående denne ISO 27002:2022, så er vi selvfølgelig glade for å hjelpe.