Az ISO/IEC 27001 és az azt kiegészítő 27002 nemzetközi szabvány többek között azért terjedt el, mert használatával a szervezet bizonyítja az érdekelt feleknek és az ügyfeleknek, hogy elkötelezett az információk biztonságos és biztonságos kezelése iránt. A szabvány előző, 2013-as kiadása óta a kiberbűnözés egyre súlyosabbá és kifinomultabbá válik, nő a kibertámadások száma és érezhetően folytatódni fog ez a növekedés. A globális kiberbiztonsági kihívások kezelése érdekében februárban megjelent az új ISO/IEC 27002, majd október 25-én az új 27001 szabvány. Melyek a legfontosabb változások ezekben a szabványokban?
Amíg korábban az ISO/IEC 27xxx szabványsorozat az informatikai biztonság (Information technology – Security techniques) területén adott támogatást a felhasználóknak, addig 2022-től már új megközelítésben és ehhez igazított új címmel jelennek meg a sorozat szabványai. Az új cím: Információbiztonság, kiberbiztonság és a magánéletvédelme (Information security, cybersecurity and privacy protection).
Az ISO/IEC 27001:2022 szabvány kimondja, hogy a gyorsan változó környezetben a kiberbiztonsági kihívások kezelése érdekében a szervezeteknek fokozniuk kell ellenállóképességüket, és erőfeszítéseket kell tenniük a kiberfenyegetések mérséklésére és a vezetőknek stratégiai megközelítést kell alkalmazniuk a kiberkockázatokkal kapcsolatban. A szabvány holisztikus megközelítése azt jelenti, hogy az egész szervezetet, a személyeket, a technológiát és a folyamatokat is lefedi, nem csak az informatikát. Olyan alapelvek, mint a bizalmasság, sértetlenség és rendelkezésre állás kockázatarányos védelme változatlanul megmaradtak, de ezt az új szabvány kiterjeszti a papíralapú és felhőalapú adatkezelésre is. Ehhez kiegészítő, szektor-specifikus szabványok is vannak, úgymint az ISO/IEC 27016 a felhőszolgáltatásokhoz, az ISO/IEC 27701 a magánéletvédelméhez, az ISO/IEC 27011 a telekommunikációs szervezeteknek és az ISO/IEC 27799 az egészségügyhöz. A fő célkitűzések közé tartozik a kibertámadásokkal szembeni ellenállóképesség, a kiberreziliencia növelése. A szabvány szerint a kiberrezilienciát alkalmazó szervezetek gyorsan vezető szerepet töltenek be iparágukban.
A szabvány kimondja, hogy a szervezetnek meg kell határoznia és alkalmaznia kell egy információbiztonsági kockázatkezelési folyamatot, melynek során kiválasztja a megfelelő információbiztonsági kockázatkezelési lehetőségeket, figyelembe véve a kockázatértékelés eredményeit, és meghatározza az összes intézkedést, amely a választott információbiztonsági kockázatkezelési lehetőség(ek) megvalósításához szükséges. Az intézkedések elsődleges forrása hagyományosan a szabvány A mellékletében felsorolt információbiztonsági intézkedések, amelyek az ISO/IEC 27002:2022 szabványból származnak. Számomra meglepő, hogy a kockázatkezelés esetében nem az ISO/IEC 27005, hanem az ISO 31000 szabványban meghatározott információbiztonsági kockázatértékelési és kezelési irányelvekre hivatkozik a szabvány.
Az ISO/IEC 27002:2022 szabvány a korábbi 18 fejezet helyett már csak 8 fejezetből áll, amelyekből korábban is, most is, az első 4 magára erre a szabványra vonatkozik, amelyekkel itt és most nem foglalkozom. A 123 oldalon megadott 4 tartalmi fejezet a következő – nem meglepő – címet viseli:
5. fejezet – Adminisztratív védelem (Organizational controls)
6. fejezet – Személyi védelem (People controls)
7. fejezet – Fizikai védelem (Physical controls)
8. fejezet – Logikai védelem (Technological controls )
Az 5. fejezet 37 pontban írja le a megvalósítandó adminisztratív védelmi intézkedéseket. Ezek közül teljesen új az 5.7 Fenyegetések felderítése, az 5.23 Információbiztonság a felhőszolgáltatások használatához és az 5.30 IKT felkészültség az üzletmenet folytonosságára. Ez utóbbi számomra személy szerint azért szimpatikus, mert egyértelművé teszi régi rögeszmémet, miszerint az üzletmenet-folytonosság biztosítása fontos kérdés, de ez nem az informatikai biztonsághoz tartozik. A személyi védelme kapcsán nincs új pont, és a fizikai védelem területén is csak a fizikai biztonság monitorozása jelenik meg új intézkedésként. A logikai védelemhez 37 intézkedés tartozik, közölük új a 8.9 Konfigurációkezelés, a 8.10 Információ törlése, az 8.11 Adatmaszkolás, az 8.12 Adatszivárgás megelőzése, a 8.16 Monitoring tevékenységek, a 8.23 Webszűrés és végül, de nem utolsó sorban a 8.28 Biztonságos kódolás. Ez utóbbit remélem számon fogják kérni a fejlesztőktől (lásd eKréta és hasonlók).
Az egyes intézkedésekhez (alfejezetekhez) attribútumok is tartoznak a jobb áttekinthetőség kedvéért. Ezek használatát a 27002:2022 szabvány A melléklete mutatja be. A felhasználat vezérlőelemek a következők:
- szabályozási típus;
- információbiztonsági követelmények;
- kiberbiztonsági feladatok;
- működési képességek;
- biztonsági tartományok.
A Szabályozási típus attribútummal a vezérlőelemeket abból a szempontból tekintheti át, hogy a vezérlőelem mikor és hogyan módosítja a kockázatot az információbiztonsági incidens előfordulása tekintetében.
#Preventive – megelőző (az információbiztonsági incidens bekövetkezésének megakadályozására szolgál);
#Detective – észlelő (az irányítás információbiztonsági incidens bekövetkezésekor működik);
#Corrective – javító (az információbiztonsági incidens bekövetkezte után lép fel).
Az Információbiztonsági követelmények attribútummal a vezérlőelemeket abból a szempontból tekintheti át, hogy a vezérlőelem, az információ mely jellemzőinek megőrzéséhez járul hozzá.
#Confidentiality – bizalmasság;
#Integrity – sértetlenség;
#Availability – rendelkezésre állás.
A Kiberbiztonsági feladatok attribútummal a vezérlőelemeket az ISO/IEC TS 27110 szabványban leírt kiberbiztonsági keretrendszerben meghatározott kiberbiztonsági koncepciókhoz való társítás szempontjából tekintheti át.
#Identify – azonosítás;
#Protect – védelem;
#Detect – észlelés;
#Respond – válasz;
#Recover – visszaállítás.
A Működési képességek attribútummal a vezérlőelemeket az információbiztonsági követelmények gyakorlata szempontjából tekintheti át.
#Governance;
#Asset_management;
#Information_protection;
#Human_resource_security;
#Physical_security;
#System_and_network_security;
#Application_security;
#Secure_configuration;
#Identity_and_access_management;
#Threat_and_vulnerability_ management;
#Continuity;
#Supplier_relationships_security;
#Legal_and_compliance;
#Information_security_event_management;
#Information_security_assurance.
A Biztonsági tartományok attribútummal négy információbiztonsági tartomány szempontjából vizsgálhatja a vezérlőelemeket.
#Governance_and_Ecosystem – az információs rendszer biztonságának irányítása és kockázatkezelése és az ökoszisztéma kiberbiztonsági menedzsmentje;
#Protection – IT-biztonsági architektúra, IT-biztonsági adminisztráció, azonosítókezelés és hozzáférés-vezérlés, IT-biztonsági karbantartás és fizikai és környezeti biztonság;
#Defence – észlelés, biztonsági esemény kezelés;
#Resilience – műveletek folytonossága és válságkezelés.
A szabvány B mellékletében található az ISO/IEC 27002:2022 megfeleltetése az ISO/IEC 27002:2013 szabványnak és az ISO/IEC 27002:2013 megfeleltetése az ISO/IEC 27002:2022 szabványnak.
Nyitókép: Flickr / Pacific Northwest National Laboratory