2.2.3
Revize ISO/IEC 27001:2022, přehled změn a přechodné období k novému vydání
Ing. Monika Becková
Jedna z nejoblíbenějších a nejpoužívanějších norem pro systémy managementu, a sice ISO/IEC 27001, se po devíti letech dočkala nového vydání. Co zůstalo stejné a co se naopak změnilo? Nově vydaná norma má stejnou strukturu a stejný základ jako předchozí vydání. Jedná se především o kontext, odpovědnosti, plánování, podporu, provozování, měření, analýzy a zlepšování systému managementu bezpečnosti informací. Přehled opatření pro bezpečnost zůstává v její normativní příloze A. Pořád platí, že systém managementu bezpečnosti informací (ISMS) je součást celkového systému řízení organizace, založená na přístupu (organizace) k rizikům, která je zaměřena na:
Pořád také platí, že cílem ISMS je:
- -> ochránit organizaci před ztrátami a zneužitím informací,
- -> ochránit vedení a zaměstnance před neplněním právních/normativních požadavků souvisejících se zpracováním informací,
- ->
v případě narušení minimalizovat ztráty a co nejrychleji zajistit fungování procesů.
Systém managementu bezpečnosti informací je i nadále postaven na třech základních pilířích:
- integrita informací jako zajištění správnosti a úplnosti (= informace musí být aktuální a úplná),
- dostupnost informací jako zajištění včasnosti a dosažitelnosti (= informace sdílíme, upravujeme, posíláme, potřebujeme),
- důvěrnost informací určených jen oprávněné osoby (= informace musíme chránit, je třeba omezit přístup podle zásady "potřeba znát, potřeba použít").
Jaké jsou tedy ve skutečnosti klíčové změny v revizi normy? Pro představu uvádíme základní přehled změn (z nichž ty významnější s praktickým dopadem na ISMS popíšeme podrobněji v dalším textu). V kapitolách 4 až 10 normy ovšem žádné převratné změny v požadavcích nenastaly.
NahoruZákladní přehled změn:
1. Změna názvu normy:
Původní název: ISO/IEC 27001:2013 Informační technologie - Bezpečnostní techniky – Systémy řízení bezpečnosti informací - Požadavky
Nový název: ISO/IEC 27001:2022 Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí - Systémy řízení bezpečnosti informací - Požadavky
2. Místy aktualizovaná terminologie (např. místo termínu "standard" je používán termín "dokument")
3. Aktualizace vydání souvisejících dokumentů uvedených v seznamu literatury, jako jsou ISO/IEC 27002 a ISO 31000
4. Doplnění odkazu na ISO "Online browsing platform" (databáze termínů, definic, norem)
5. Zcela nová kap. 6.3, která definuje, že změny v ISMS provede organizace plánovaně
6. Změna struktury některých částí normy ("přeuspořádání" článků 9.2, 9.3 a 10)
7. Změny v příloze A (11 opatření přibylo, některá byla sloučena nebo přepracována, opatření jsou nyní uspořádána do 4 skupin). Mezi příklady nových opatření patří bezpečnost informací při využívání cloudových služeb, připravenost ICT na zajištění kontinuity provozu, monitorování fyzické bezpečnosti, správa konfigurace, bezpečné mazání informací, monitorovací činnosti nebo filtrování webových stránek.
Podrobnější přehled důležitějších změn v jednotlivých částech normy ISO/IEC 27001:2022, kap. 4 až 10, je uveden dále, a to v členění dle příslušných článků normy. Konkrétní změny jsou zvýrazněny tučně.
Kap. 4.2 Porozumění potřebám a očekáváním zainteresovaných stran:
Ve smyslu kontextu musí organizace určit:
-
zainteresované strany mající vztah k ISMS organizace
-
požadavky těchto stran (právní/technické normy, smlouvy)
-
NOVĚ UPŘESNĚNO, DOPLNĚNO: organizace musí určit, který z těchto požadavků bude řešen prostřednictvím ISMS (tato zdánlivě drobná změna má návaznosti na další aspekty, zejména na řízení rizik a příležitostí ve smyslu kap. 6.1 spojených s požadavky zainteresovaných stran a zahrnutých do ISMS organizace; požadavky se musí implementovat do řízení provozu, dále také přezkoumávat v rámci přezkoumání ISMS vedením).
Kap. 4.4 Systém managementu bezpečnosti informací:
Organizace musí ISMS:
Kap. 6.3 Plánování změn
NOVĚ PŘIDANÁ CELÁ KAPITOLA, která stanovuje požadavek na provádění případných změn v ISMS plánovaně: Když organizace určí potřebu změn v řízení bezpečnosti informací, změny budou prováděny plánovaně.
Kap. 8.1 Provozní plánování a řízení
Organizace musí plánovat, implementovat a řídit procesy potřebné ke splnění požadavků a k realizaci akcí stanovených v kapitole 6, a to:
-
NOVĚ UPŘESNĚNO, DOPLNĚNO: stanovením kritérií pro procesy
-
prováděním kontroly procesů v souladu s kritérii
Organizace musí dále zajistit, aby byly externě poskytované procesy, produkty nebo služby, které jsou relevantní pro systém řízení bezpečnosti informací, řízeny ("dříve externí procesy"; nynější formulace je v souladu s jinými systémy managementu, jako je např. kvalita nebo environmentální management).
Kap. 9.2 Interní audit
DOPLNĚNÍ NADPISŮ (NYNÍ JE TO TEDY VÍCE STRUKTUROVANÁ KAPITOLA, OVŠEM BEZE ZMĚN V POŽADAVCÍCH):
9.1.1 Obecně
Interní audit musí být prováděn pravidelně pro poskytnutí informací o ISMS...
9.2.2 Program interních auditů
Organizace musí:
Kap. 9.3 Přezkoumání vedením
DOPLNĚNÍ NADPISŮ (NYNÍ JE TO TEDY VÍCE STRUKTUROVANÁ KAPITOLA, OVŠEM POUZE S DROBNOU ZMĚNOU V POŽADAVCÍCH):
9.3.1 Obecně
Organizace musí ISMS přezkoumávat v pravidelných intervalech ....
9.3.2 Vstupy pro přezkoumání vedením
-
opatření z předchozích přezkoumání
-
změny v externích a interních aspektech
-
NOVĚ UPŘESNĚNO, DOPLNĚNO: změny v potřebách a očekáváních zainteresovaných stran relevantních pro ISMS
-
výkonnost bezpečnosti informací včetně trendů
-
zpětná vazba zainteresovaných stran
-
posouzení rizik, plán ošetření rizik
-
příležitosti pro neustálé zlepšování
9.3.3 Výstupy z přezkoumání vedením
Rozhodnutí týkající se příležitostí neustálého zlepšování a jakýchkoli potřeb změn v systému řízení bezpečnosti informací.
Kap. 10 Zlepšování
ZMĚNA STRUKTURY (OVŠEM TAKÉ BEZE ZMĚN V POŽADAVCÍCH)
10.1 Neustálé zlepšování
10.2 Neshody a nápravná opatření
A konečně nová podoba přílohy A normy ISO/IEC 27001:2022, která je tou nejpodstatnější změnou:
Největší změny, jak už bylo avizováno, obsahuje normativní příloha A, která specifikuje jednotlivá opatření, kontroly (v originále jsou to "security controls"), které musí být použity v kontextu s kap. 6.1.3 normy ISO/IEC 27001:2022 (a tedy, stejně jako dříve, opatření pro řešení rizik bezpečnosti informací). Jiné je ovšem členění celé přílohy A, a také přibyla některá nová opatření.
Celkem je tedy nyní v příloze A obsaženo 93 kontrol, přičemž 11 kontrol přibylo, některé byly sloučeny nebo přepracovány, žádné neubyly, a díky přepracování došlo k jejich celkovému snížení ze 114.
Příloha A nyní zahrnuje 4 oblasti:
Nová opatření, která byla přidána, jsou ve stručnosti popsána dále. (Pro přehlednost je u každého nového opatření ponecháno jeho poř. číslo z přílohy A, a také původní název z originálu normy; je ovšem možné, že v české verzi normy, která ještě nebyla vydána, budou překlady trochu odlišné.) Návod k implementaci všech opatření z přílohy A (nová opatření nevyjímaje) najdeme v přepracovaném vydání standardu ISO/IEC 27002:2022. Ten ale také není zatím k dispozici v českém jazyce.
5.7 "Threat intelligence" / Zpravodajství o hrozbách:
Informace související s hrozbami bezpečnosti informací by měly být shromažďovány, analyzovány a využity k prevenci, detekci nebo reakci na hrozby. Je potřeba určit, kdo data sbírá, kde, jak, jak je analyzuje, vyhodnocuje, reportuje, jak se plánují a provádějí následná potřebná opatření. Informace o stávajících nebo vznikajících hrozbách se shromažďují a analyzují za účelem:
-
usnadnit výběr opatření, která zabrání tomu, aby hrozby způsobily organizaci škodu;
-
snížit dopad těchto hrozeb.
Informace o hrozbách lze rozdělit do tří úrovní, které by měly být zohledněny všechny:
-
strategické zpravodajství o hrozbách: výměna informací na vysoké úrovni o měnícím se prostředí hrozeb (např. typy útočníků nebo typy útoků);
-
taktické zpravodajství o hrozbách: informace o metodikách, nástrojích a technologiích útočníků;
-
operativní zpravodajství o hrozbách: podrobnosti o konkrétních útocích, včetně technických ukazatelů.
Informace o hrozbách by měly dále být:
-
relevantní (tj. související s ochranou organizace);
-
zasvěcené (tj. poskytující organizaci přesné a podrobné porozumění prostředí hrozeb);
-
kontextuální, aby poskytovaly situační povědomí (tj. přidávaly k informacím kontext na základě času událostí, místa jejich výskytu, předchozích zkušeností a výskytu v podobných organizacích);
-
akční (tj. organizace může na základě informací rychle a efektivně jednat).
Činnosti v oblasti zpravodajství o hrozbách by měly zahrnovat např. stanovení cílů pro tvorbu informací o hrozbách; identifikaci, prověření a výběr interních a externích informačních zdrojů, které jsou nezbytné a vhodné k poskytnutí informací potřebných pro tvorbu zpravodajství o hrozbách.
5.23 "Information security for use of cloud services“/ Bezpečnost informací při využívání cloudových služeb:
Měly by být zavedeny procesy pro…