Aktuálně platná mezinárodní norma ISO/IEC 27002 byla vydána v roce 2013. Brzy bude nahrazena novou verzí. Ta v nové struktuře zavádí členění opatření bezpečnosti informací podle kategorií a řady dalších atributů. Nová verze normy definuje nová opatření, mění původní opatření a některá opatření slučuje. Tento článek stručně popisuje hlavní změny.
Struktura normy
Norma ISO/IEC 27002:2013 specifikuje ve 14 kapitolách, 35 kategoriích celkem 114 opatření bezpečnosti informací. Každá z kategorií obsahuje cíl, jehož má být dosaženo a jedno nebo více opatření.
Nově připravované norma ISO/IEC 27002:202x (patrně 2021) bude obsahovat 4 hlavní kapitoly a dvě informativní přílohy. Kapitoly 5 až 8 dělí 93 opatření bezpečnosti informací do 4 kategorií (viz níže). Informativní příloha A je věnována atributům opatření bezpečnosti informací a informativní příloha B mapuje novou a předchozí strukturu normy (oběma směry).
Kategorie a další atributy bezpečnostních opatření
Norma aplikuje hlavní kategorie opatření, podle kterých jsou v nové verzi normy bezpečnostní opatření seskupena. Opatření jsou kategorizována jako organizační opatření (kapitola 5), opatření spojená s lidmi (kapitola 6), fyzická opatření (kapitola 7) a technologická opatření (kapitola 8).
Norma zavádí pět dalších atributů opatření, která umožňují opatření dále seskupovat a třídit.
- Typy opatření: preventivní, detekční a nápravná
- Vlastnosti bezpečnosti informací: důvěrnost, integrita a dostupnost
- Koncepty kybernetické bezpečnosti: identifikace, ochrana, detekce, odezva a obnova
- Operační schopnosti: governance, řízení aktiv, ochrana informací, bezpečnost lidských zdrojů, fyzická bezpečnost, bezpečnost systémů a sítí. bezpečnost aplikací, ochrana konfigurací, řízení identit a přístupu, řízení hrozeb a zranitelností, kontinuita, bezpečnost ve vztazích s dodavateli, právní předpisy a compliance, řízení událostí bezpečnosti informací, ujištění o bezpečnosti informací
- Bezpečnostní domény: governance a ekosystém, ochrana, obrana a odolnost
Platí, že jedno opatření může mít přiřazeno více atributů ze stejné skupiny. Například ochrana proti malwaru je opatřením preventivním, detekčním i nápravným. Organizace si může zvolit další atributy, které jí umožní lepší správu bezpečnostních opatření. Příkladem je stupeň vyspělosti opatření, status implementace, priorita opatření atp.
Nová opatření i slučování původních opatření
Celkový počet opatření se snížil z 114 opatření uvedená v normě ISO/IEC 27002:2013 na 93 opatření v nové ISO/IEC 27002:202x. To je dáno tím, že některá opatření jsou sloučena. Například stávající opatření 8.1.1 – Seznam aktiv a 8.1.2. – Vlastnictví aktiv jsou spojena do jednoho opatření 5.09 – Seznam informací a dalších souvisejících aktiv. V normě se vyskytuje také 12 zcela nových opatření:
- 5.07 – Shromažďování a analýza informací o hrozbách
- 5.23 – Bezpečnost informací pro používání cloudových služeb
- 5.30 – Připravenost ICT na kontinuitu podnikání
- 7.04 – Monitorování fyzického zabezpečení
- 8.09 – Řízení konfigurace
- 8.10 – Vymazání informací
- 8.11 – Maskování dat
- 8.12 – Prevence úniku dat
- 8.16 – Monitorovací činností
- 8.23 – Filtrování webů
- 8.28 – Bezpečné kódování
Závěr
Aktualizace normy ISO/IEC 27002 přináší pozitivní změnu. Nová opatření odráží aktuální výzvy bezpečnosti informací. Nově zavedené kategorie a atributy umožní nový pohled na opatření a přispějí k jejich lepší správě s dopadem na vyšší úroveň ochrany. Pozitivně vnímáme i seskupení souvisejících opatření a tedy celkově menší počet opatření.
Lze očekávat, že vydání nové normy ISO/IEC 27002 bude také spojeno s aktualizací normy ISO/IEC 27001, respektive dodatku A, který je s ISO/IEC 27002 provázán. Lze očekávat také aktualizaci článku 7 normy ISO/IEC 27701, který doplňuje opatření bezpečnosti informací normy ISO/IEC 27002 o opatření spojená s ochranou soukromí.
Organizace, které mají zaveden systém řízení bezpečnosti informací dle ISO/IEC 27001 pak budou muset, pokud budou chtít držet krok s novými verzemi, upravit svá Prohlášení o aplikovatelnosti a případně i své tématicky specifické politiky a další ISMS dokumentaci.