Planirane promene u novom ISO/IEC 27001 i ISO/IEC 27002

01. decembar 2021.

Učinjene su značajne promene u sekciji Controls u ISO/IEC 27002, uključujući 12 novih kontrola, 16 izbrisanih kontrola i druge koje su modifikovane ili kombinovane.

ISO/IEC 27001 i ISO/IEC 27002 su u procesu revizije. ISO/IEC 27002 bi trebalo da bude objavljen u januaru 2022, a ISO/IEC 27001 će uslediti ubrzo nakon toga. Zajednički tehnički komitet Međunarodne organizacije za standardizaciju (ISO)/Međunarodne elektrotehničke komisije (IEC), ISO/IEC JTC 1, menja strukturu kontrolnog okvira ISO/IEC 27001/27002 nakon skoro 20 godina.

Koja je razlika između ISO/IEC 27001 i ISO/IEC 27002?

Organizacije mogu da pristupe sertifikaciji prema ISO/IEC 27001, ali ne i prema ISO/IEC 27002. ISO/IEC 27001 dokumentuje zahteve za uspostavljanje, implementaciju, održavanje i stalno poboljšanje sistema upravljanja bezbednošću informacija, dok je ISO/IEC 27002 dizajniran da ga organizacije koriste kao referencu za izbor kontrola i pruža smernice za prakse upravljanja bezbednošću informacija uključujući primenu i upravljanje kontrolama, uzimajući u obzir rizik  okruženja za bezbednost informacija u organizaciji. Organizacije mogu dobiti sertifikat za standarde koji sadrže zahteve, ali ne mogu dobiti sertifikat za standarde koji daju smernice.

Promene u ISO/IEC 27001:2022

Glavne promene u ISO/IEC 27001:2022 uključuju:

• Aneks A reference na kontrole u ​​ISO/IEC 27002:2022, koji uključuje naslov kontrole i kontrolu;
• Napomena u klauzuli 6.1.3 c) je urednički revidirana, uključujući brisanje „ciljeva kontrole“ i zamenu „kontrole bezbednosti informacija“ sa „kontrola“;
• Formulacija klauzule 6.1.3 d) je revidirana da bi se pružila jasnoća i eliminisale nejasnoće.

Promene u ISO/IEC 27002:2022

ISO/IEC 27002:2013 sadrži 114 kontrola u 14 domena; ISO/IEC 27002:2022 će sadržati 93 kontrole u ​​4 domena:

• Poglavlje 5 – Organizacijske (ako ne spadaju ni u jedan drugi domen) – 37 kontrola
• Poglavlje 6 – Ljudi (ako se tiču pojedinačnih ljudi) – 8 kontrola
• Poglavlje 7 – Fizičke (ako se tiču fizičkih objekata) – 14 kontrola
• Poglavlje 8 – Tehnološke (ako se tiču tehnologije) – 34 kontrole

Sada postoji 5 kontrolnih atributa za svaku kontrolu:

• Kako kategorisati – preventivno, detektivsko, korektivno
• Svojstva bezbednosti informacija – poverljivost, integritet, dostupnost
• Koncepti sajber bezbednosti – identifikujte, zaštitite, otkrijte, odgovorite, oporavite
• Operativne sposobnosti – upravljanje, upravljanje imovinom, zaštita informacija, bezbednost ljudskih resursa, fizička bezbednost, bezbednost sistema i mreže, bezbednost aplikacija, bezbedna konfiguracija, upravljanje identitetom i pristupom, pretnja i ranjivost upravljanja, kontinuitet, bezbednost odnosa sa dobavljačima, zakon i usklađenost, upravljanje događajima u bezbednosti informacija, bezbednost informacija kao sigurnost
• Domeni bezbednosti – upravljanje i ekosistem, zaštita, odbrana, otpornost

U novoj verziji ISO/IEC 27002 uvedeno je dvanaest novih kontrola:

• Obaveštavanje o pretnji
• Upravljanje identitetom
• Bezbednost informacija za korišćenje usluga u oblaku
• IKT spremnost za kontinuitet poslovanja
• Praćenje fizičke bezbednosti
• Uređaji korisničke krajnje tačke
• Upravljanje konfiguracijom
• Brisanje informacija
• Maskiranje podataka
• Sprečavanje curenja podataka
• Veb filtriranje
• Bezbedno kodiranje

Šesnaest kontrola je obrisano zbog dupliranja ili boljeg usklađivanja pod drugim kontrolama:

• Pregled smernica za bezbednost informacija
• Politika mobilnog uređaja
• Vlasništvo nad imovinom
• Rukovanje imovinom
• Sistem upravljanja lozinkama
• Isporuka i učitavanje oblasti
• Uklanjanje imovine
• Nenadzirana korisnička oprema
• Zaštita informacija dnevnika
• Ograničenja instaliranja softvera
• Elektronske poruke
• Obezbeđivanje aplikacijskih usluga na javnim mrežama
• Zaštita transakcijskih usluga aplikacija
• Testiranje prihvatanja sistema
• Prijavljivanje slabosti u sistemu bezbednosti informacija
• Tehnički pregled usklađenosti

Postoji nekoliko kontrola koje su modifikovane i integrisane da postanu jedna glavna kontrola. Evo nekoliko primera:

• „Inventar imovine“ je modifikovan kao „Inventar informacija i druge povezane imovine“.
• „Prihvatljivo korišćenje sredstava“ je promenjeno u „Prihvatljivo korišćenje informacija i druge povezane imovine“.
• Politika o kriptografskim kontrolama i upravljanju ključevima itd. promenjena u „Korišćenje kontrola kriptografije“.
• Evidentiranje događaja je preimenovano u „Evidentiranje“.
• Evidencije administratora i operatera su promenjene u „Nadgledanje aktivnosti“.
• Politike i procedure prenosa informacija, sporazum o prenosu informacija, itd. kombinovani kao glavna kontrola pod „Prenos informacija“.

Izvor: ansi.org