Zmiany w normie dotyczącej bezpieczeństwa informacji

Ciągła kontrola: Nowe wytyczne dotyczące kontroli zarządzania bezpieczeństwem informacji

Nowo zaktualizowana międzynarodowa norma dotycząca bezpieczeństwa cybernetycznego pomaga specjalistom ds. bezpieczeństwa informacji w rozważaniu i wdrażaniu środków kontroli bezpieczeństwa informacji w celu uwzględnienia najnowszych zagrożeń dla bezpieczeństwa informacji.

W świecie, w którym bezpieczeństwo danych ma zasadnicze znaczenie dla każdej organizacji, a także biorąc pod uwagę tempo zmian w technologii i zagrożeniach dla bezpieczeństwa cybernetycznego, utrzymanie systemów i procesów na bieżąco ze zmieniającym się krajobrazem bezpieczeństwa informacji musi być priorytetem. 

BS EN ISO/IEC 27002:2022 Bezpieczeństwo Informacji, Cyberbezpieczeństwo i Ochrona Prywatności - Kontrole Bezpieczeństwa Informacji to znowelizowana norma międzynarodowa zawierająca wytyczne dotyczące wyboru i wdrażania kontroli bezpieczeństwa do stosowania w Systemie Zarządzania Bezpieczeństwem Informacji w oparciu o wymagania zawarte w BS EN ISO/IEC 27001.

Nowelizacja tej normy wprowadza nowoczesne podejście do zarządzania środkami kontroli bezpieczeństwa za pomocą atrybutów. Obejmuje ona wprowadzenie tematów i atrybutów, jak również aktualizację kandydujących środków kontroli w celu odzwierciedlenia aktualnych problemów i praktyk związanych z bezpieczeństwem informacji. Norma BS EN ISO/IEC 27002:2022 ma na celu zapewnienie przedsiębiorstwom, niezależnie od ich wielkości i sektora, nowej generacji wytycznych dotyczących kontroli bezpieczeństwa, przy czym wytyczne te mają być unowocześnione, uproszczone i uniwersalne, aby zapewnić organizacjom autonomię w zakresie wyboru i zakresu kontroli bezpieczeństwa według uznania.

W jaki sposób normy BS EN ISO/IEC 27002 i BS EN ISO/IEC 27001 współpracują ze sobą?

Norma BS EN ISO/IEC 27001 zapewnia niezbędne komponenty i strukturę umożliwiającą organizacji osiągnięcie skutecznego zarządzania bezpieczeństwem informacji.  Jednym z tych podstawowych elementów jest wdrożenie odpowiednich środków kontroli bezpieczeństwa informacji. Te środki kontroli muszą być starannie ocenione i rozważone w oparciu o profil ryzyka i potrzeby organizacji, przy czym nowa norma BS EN ISO/IEC 27002 zapewnia najbardziej odpowiedni zestaw kontroli do rozważenia.

Norma BS EN ISO/IEC 27002, dotycząca środków kontroli bezpieczeństwa informacji, służy jako dokument zawierający wytyczne mające pomóc organizacjom w określeniu i wdrożeniu uznanych środków kontroli bezpieczeństwa informacji w ramach systemu zarządzania bezpieczeństwem informacji. Wytyczne zawarte w tej normie zostały opracowane przez komitet złożony z międzynarodowych i brytyjskich ekspertów branżowych w oparciu o międzynarodowy konsensus dotyczący najlepszych praktyk.

Co się zmieniło?

Chociaż norma BS EN ISO/IEC 27002:2022 nie jest już określana jako "kodeks praktyk", jej przeznaczenie nie uległo zmianie. Nadal jest "podręcznikiem referencyjnym", zapewniającym możliwy do odniesienia zestaw środków kontroli bezpieczeństwa informacji poprzez kompleksowe ujęcie sposobów, w jakie można opisać środki kontroli bezpieczeństwa informacji.

Nowo zrewidowana norma ma na celu zapewnienie, że żadna niezbędna kontrola nie została pominięta oraz że wytyczne zostały skonsolidowane w czterech kluczowych obszarach, co ułatwia ich przyjęcie przez przedsiębiorstwa. Te cztery filary kontroli to: Organizacyjny, Ludzi, Fizyczny, Technologiczny.

W rezultacie, w ramach zrewidowanej normy, użytkownicy zauważą, że istniejące kontrole zostały zrestrukturyzowane, a liczba wymienionych kontroli bezpieczeństwa zmniejszyła się ze 114 do 93, przy czym niektóre kontrole zostały usunięte, ponieważ nie odzwierciedlają już najlepszych praktyk.

W najnowszej wersji normy BS EN ISO/IEC 27002 wprowadzono 11 nowych kontroli, 24 kontrole zostały połączone, a 58 kontroli zostało zaktualizowanych. Odzwierciedlają one rozwój technologii i praktyk przemysłowych, w tym wywiad w sprawie zagrożeń, bezpieczeństwo informacji przy korzystaniu z usług w chmurze i zapobieganie wyciekom danych. Dzięki temu przedsiębiorstwa będą w stanie utrzymać stałą kontrolę nad bezpieczeństwem informacji, pomimo zmieniającego się charakteru cyberataków.

Steve Watkins, przewodniczący IST 33, mówi: "Mile widziana aktualizacja ISO/IEC 27002 uaktualnia opcje kontroli i opisy oraz wprowadza pojęcia tematów i atrybutów, aby pomóc organizacjom w ich wyborze i wdrażaniu w celu zarządzania ryzykiem cyberbezpieczeństwa."

Aby użytkownicy poprzedniej wersji normy BS EN ISO/IEC 27002:2013 wiedzieli, jak stosować zaktualizowane wytyczne z 2021 r., nowy załącznik A do normy 27002 demonstruje wykorzystanie atrybutów jako sposobu tworzenia różnych widoków kontroli. Ponadto nowy załącznik B zawiera odniesienia do identyfikatorów kontroli z wydania 2013, aby zapewnić kompatybilność wsteczną.

Dlaczego firmy powinny wprowadzać te zmiany?

W związku z pandemią COVID-19, większość firm została zmuszona do przyspieszenia swojej cyfrowej transformacji i oparcia się w większym stopniu na infrastrukturze chmury, ponieważ wielu ich pracowników kontynuuje proces adaptacji i przechodzi na hybrydowy model pracy.

Podczas gdy organizacje odnajdywały się wśród tych szybkich zmian, cyberprzestępcy znajdowali sposoby na wykorzystanie luk w tych nowych systemach za pomocą coraz bardziej wyrafinowanych technologii.

Biorąc pod uwagę, jak wiele miejsc pracy i codziennych operacji biznesowych uległo cyfryzacji w czasie tej pandemii, w jaki sposób norma BS EN ISO/IEC 27002:2022 wspiera organizacje w osiągnięciu skutecznego zarządzania bezpieczeństwem informacji w dzisiejszym środowisku wysokiego ryzyka?

Co ważne, norma ta pomaga organizacjom w identyfikacji, wdrażaniu i zarządzaniu aktualnymi środkami kontroli bezpieczeństwa informacji w obecnym środowisku. Kontrole te będą obejmowały polityki, zasady, procesy, procedury, struktury organizacyjne oraz oprogramowanie i rozwiązania sprzętowe.

Pomaga to firmom zidentyfikować odpowiednie i proporcjonalne środki kontroli, które są trwałe i działają na rzecz zwiększenia ogólnej adekwatności ich systemów zarządzania bezpieczeństwem informacji.

Aby w pełni wykorzystać korzyści płynące z tej poprawionej normy, każda organizacja powinna przejrzeć i rozważyć nowy zestaw kontroli kandydackich określony w normie BS EN ISO/IEC 27002:2022, stosownie do zmieniających się potrzeb swojej firmy.