Ugrás a tartalomhoz
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
Menü
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
Menü
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
Kis Norbert

Az infokrácia uralma, a demokrácia vége

Az igazság helyét a „tetszés” veszi át.

Kis Norbert 2024.12.17.
Petruska Ferenc

Egy érem két oldala?

Miért káros mindig a doxing? Hogyan lehet a whistleblowing hasznos is?

Petruska Ferenc 2024.07.16.
Vadász Pál

Jogszerű-e az OSINT?

Ami mindenki számára elérhető, az bizonyos határok között fel is dolgozható.

Vadász Pál 2023.08.24.
Sorbán Kinga

Infoháború: miért nehéz hiteles információkhoz jutni háborús konfliktusban?

Mit tehet az, aki hiteles forrásból szeretne tájékozódni?

Sorbán Kinga 2023.02.09.
Nyitrai Endre

Adatok hálózatának jelentősége a kriminalisztikában

Úton a digitális profilalkotás felé.

Nyitrai Endre 2022.11.07.
CYBERBLOG
Muha Lajos
Muha Lajos
ny. ezredes, címzetes egyetemi tanár
  • 2022.11.29.
  • 2022.11.29.

Egy szabvány változásai

Az ISO/IEC 27001 és az azt kiegészítő 27002 nemzetközi szabvány többek között azért terjedt el, mert használatával a szervezet bizonyítja az érdekelt feleknek és az ügyfeleknek, hogy elkötelezett az információk biztonságos és biztonságos kezelése iránt. A szabvány előző, 2013-as kiadása óta a kiberbűnözés egyre súlyosabbá és kifinomultabbá válik, nő a kibertámadások száma és érezhetően folytatódni fog ez a növekedés. A globális kiberbiztonsági kihívások kezelése érdekében februárban megjelent az új ISO/IEC 27002, majd október 25-én az új 27001 szabvány. Melyek a legfontosabb változások ezekben a szabványokban?

Amíg korábban az ISO/IEC 27xxx szabványsorozat az informatikai biztonság (Information technology – Security techniques) területén adott támogatást a felhasználóknak, addig 2022-től már új megközelítésben és ehhez igazított új címmel jelennek meg a sorozat szabványai. Az új cím: Információbiztonság, kiberbiztonság és a magánéletvédelme (Information security, cybersecurity and privacy protection).

Az ISO/IEC 27001:2022 szabvány kimondja, hogy a gyorsan változó környezetben a kiberbiztonsági kihívások kezelése érdekében a szervezeteknek fokozniuk kell ellenállóképességüket, és erőfeszítéseket kell tenniük a kiberfenyegetések mérséklésére és a vezetőknek stratégiai megközelítést kell alkalmazniuk a kiberkockázatokkal kapcsolatban. A szabvány holisztikus megközelítése azt jelenti, hogy az egész szervezetet, a személyeket, a technológiát és a folyamatokat is lefedi, nem csak az informatikát. Olyan alapelvek, mint a bizalmasság, sértetlenség és rendelkezésre állás kockázatarányos védelme változatlanul megmaradtak, de ezt az új szabvány kiterjeszti a papíralapú és felhőalapú adatkezelésre is. Ehhez kiegészítő, szektor-specifikus szabványok is vannak, úgymint az ISO/IEC 27016 a felhőszolgáltatásokhoz, az ISO/IEC 27701 a magánéletvédelméhez, az ISO/IEC 27011 a telekommunikációs szervezeteknek és az ISO/IEC 27799 az egészségügyhöz. A fő célkitűzések közé tartozik a kibertámadásokkal szembeni ellenállóképesség, a kiberreziliencia növelése. A szabvány szerint a kiberrezilienciát alkalmazó szervezetek gyorsan vezető szerepet töltenek be iparágukban.

A szabvány kimondja, hogy a szervezetnek meg kell határoznia és alkalmaznia kell egy információbiztonsági kockázatkezelési folyamatot, melynek során kiválasztja a megfelelő információbiztonsági kockázatkezelési lehetőségeket, figyelembe véve a kockázatértékelés eredményeit, és meghatározza az összes intézkedést, amely a választott információbiztonsági kockázatkezelési lehetőség(ek) megvalósításához szükséges. Az intézkedések elsődleges forrása hagyományosan a szabvány A mellékletében felsorolt ​​információbiztonsági intézkedések, amelyek az ISO/IEC 27002:2022 szabványból származnak. Számomra meglepő, hogy a kockázatkezelés esetében nem az ISO/IEC 27005, hanem az ISO 31000 szabványban meghatározott információbiztonsági kockázatértékelési és kezelési irányelvekre hivatkozik a szabvány.

Az ISO/IEC 27002:2022 szabvány a korábbi 18 fejezet helyett már csak 8 fejezetből áll, amelyekből korábban is, most is, az első 4 magára erre a szabványra vonatkozik, amelyekkel itt és most nem foglalkozom. A 123 oldalon megadott 4 tartalmi fejezet a következő ­– nem meglepő – címet viseli: 

5. fejezet – Adminisztratív védelem (Organizational controls)

6. fejezet – Személyi védelem (People controls)

7. fejezet – Fizikai védelem (Physical controls)

8. fejezet – Logikai védelem (Technological controls )

Az 5. fejezet 37 pontban írja le a megvalósítandó adminisztratív védelmi intézkedéseket. Ezek közül teljesen új az 5.7 Fenyegetések felderítése, az 5.23 Információbiztonság a felhőszolgáltatások használatához és az 5.30 IKT felkészültség az üzletmenet folytonosságára. Ez utóbbi számomra személy szerint azért szimpatikus, mert egyértelművé teszi régi rögeszmémet, miszerint az üzletmenet-folytonosság biztosítása fontos kérdés, de ez nem az informatikai biztonsághoz tartozik. A személyi védelme kapcsán nincs új pont, és a fizikai védelem területén is csak a fizikai biztonság monitorozása jelenik meg új intézkedésként. A logikai védelemhez 37 intézkedés tartozik, közölük új a 8.9 Konfigurációkezelés, a 8.10 Információ törlése, az 8.11 Adatmaszkolás, az 8.12 Adatszivárgás megelőzése, a 8.16 Monitoring tevékenységek, a 8.23 Webszűrés és végül, de nem utolsó sorban a 8.28 Biztonságos kódolás. Ez utóbbit remélem számon fogják kérni a fejlesztőktől (lásd eKréta és hasonlók).

Az egyes intézkedésekhez (alfejezetekhez) attribútumok is tartoznak a jobb áttekinthetőség kedvéért. Ezek használatát a 27002:2022 szabvány A melléklete mutatja be. A felhasználat vezérlőelemek a következők: 

  • szabályozási típus;
  • információbiztonsági követelmények;
  • kiberbiztonsági feladatok;
  • működési képességek;
  • biztonsági tartományok.

A Szabályozási típus attribútummal a vezérlőelemeket abból a szempontból tekintheti át, hogy a vezérlőelem mikor és hogyan módosítja a kockázatot az információbiztonsági incidens előfordulása tekintetében.

#Preventive – megelőző (az információbiztonsági incidens bekövetkezésének megakadályozására szolgál);

#Detective  – észlelő (az irányítás információbiztonsági incidens bekövetkezésekor működik);

#Corrective – javító (az információbiztonsági incidens bekövetkezte után lép fel).

Az Információbiztonsági követelmények attribútummal a vezérlőelemeket abból a szempontból tekintheti át, hogy a vezérlőelem, az információ mely jellemzőinek megőrzéséhez járul hozzá.

#Confidentiality – bizalmasság;

#Integrity – sértetlenség;

#Availability – rendelkezésre állás.

A Kiberbiztonsági feladatok attribútummal a vezérlőelemeket az ISO/IEC TS 27110 szabványban leírt kiberbiztonsági keretrendszerben meghatározott kiberbiztonsági koncepciókhoz való társítás szempontjából tekintheti át.

#Identify – azonosítás;

#Protect – védelem;

#Detect – észlelés;

#Respond – válasz;

#Recover – visszaállítás.

A Működési képességek attribútummal a vezérlőelemeket az információbiztonsági követelmények gyakorlata szempontjából tekintheti át.

#Governance;

#Asset_management;

#Information_protection;

#Human_resource_security;

#Physical_security;

#System_and_network_security;

#Application_security;

#Secure_configuration;

#Identity_and_access_management;

#Threat_and_vulnerability_ management;

#Continuity;

#Supplier_relationships_security;

#Legal_and_compliance;

#Information_security_event_management;

#Information_security_assurance.

A Biztonsági tartományok attribútummal négy információbiztonsági tartomány szempontjából vizsgálhatja a vezérlőelemeket.

#Governance_and_Ecosystem – az információs rendszer biztonságának irányítása és kockázatkezelése és az ökoszisztéma kiberbiztonsági menedzsmentje;

#Protection – IT-biztonsági architektúra, IT-biztonsági adminisztráció, azonosítókezelés és hozzáférés-vezérlés, IT-biztonsági karbantartás és fizikai és környezeti biztonság;

#Defence – észlelés, biztonsági esemény kezelés;

#Resilience – műveletek folytonossága és válságkezelés.

A szabvány B mellékletében található az ISO/IEC 27002:2022 megfeleltetése az ISO/IEC 27002:2013 szabványnak és az ISO/IEC 27002:2013 megfeleltetése az ISO/IEC 27002:2022 szabványnak.

Nyitókép: Flickr / Pacific Northwest National Laboratory 

Témakörök: információ, információbiztonság, ISO, szabvány
nke-cimer

LUDOVIKA.hu

KAPCSOLAT

1083 Budapest, Ludovika tér 2.
E-mail:
Kéziratokkal, könyv- és folyóirat-kiadással kapcsolatos ügyek: kiadvanyok@uni-nke.hu
Blogokkal és a magazinnal kapcsolatos ügyek: szerkesztoseg@uni-nke.hu

IMPRESSZUM

Ez a weboldal sütiket használ. Ha Ön ezzel egyetért, kérjük fogadja el az adatkezelési szabályzatunkat. Süti beállításokElfogad
Adatvédemi és süti beállítások

Adatvédelmi áttekintés

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT