Nagły rozwój technologii, obowiązek zapewniania bezpieczeństwa informacji przestały już być przepowiednią nadchodzących zmian, a rzeczywistością, na którą trzeba odpowiednio zareagować i zaktualizować metody funkcjonujące w strukturach organizacyjnych.
Wymagania rynku, organizacji oraz klientów w zakresie zapewniania bezpieczeństwa informacji będą tylko rosły, nieubłagalnie wypychając z rynku firmy, którym zabrakło refleksu oraz elastyczności w działaniu.
Na dzisiejszym rynku istnieje wiele schematów oraz rozwiązań dotyczących bezpieczeństwa informacji. Pomimo dużej dostępności nowych technologii, firmy decydują się na wdrożenie standardów z serii ISO/IEC 27000, ponieważ organy regulacyjne, klienci i inni interesariusze wywierają na nich rosnącą presję, aby udowodniły solidność swoich mechanizmów kontroli bezpieczeństwa.
Zgodność z międzynarodowym standardem pokazuje, że organizacje wkładają wysiłek i zaangażowanie w bezpieczeństwo oraz poprawiają swoją postawę bezpieczeństwa poprzez dobrze zdefiniowany proces ciągłego doskonalenia. Chociaż certyfikacja ISO/IEC 27001 pozostaje nieobowiązkowa dla większości organizacji, coraz częściej zaczynają one dostrzegać wartość i korzyści, jakie niesie ze sobą certyfikacja SZBI.
ISO/IEC 27002 to międzynarodowy standard używany, jako odniesienie przy wyborze i wdrażaniu środków kontroli bezpieczeństwa informacji. Zawiera wskazówki dotyczące najlepszych praktyk, które pomagają organizacjom w wyborze, wdrażaniu i zarządzaniu technikami kontroli bezpieczeństwa informacji, jak zabezpieczenia: organizacyjne, dotyczące pracowników, fizyczne i technologiczne.
ISO/IEC 27002 nie można w pełni oddzielić od standardu ISO/IEC 27001. Załącznik A z ISO/IEC 27001 zawiera zarys dla każdego rodzaju zabezpieczenia, ISO/IEC 27002 zagłębia się w szczegóły, w jaki sposób te punkty mogą być wdrożone. Dlatego, wraz z ISO/IEC 27001, ISO/IEC 27002 służy jako podstawa do opracowania skutecznego systemu zarządzania bezpieczeństwem informacji, który będzie służył Twojej firmie. Będzie rósł wraz z firmą, funkcjonując w sposób praktyczny, wykazując skuteczność działań podjętych przez kierownictwo. Norma ISO/IEC 27002 została poddana przeglądowi i aktualizacji, poniższy artykuł wyjaśnia kluczowe zmiany, które są zapowiadane w najnowszej wersji, która ma zostać opublikowana pod koniec roku.
Główną różnicą między aktualnym projektem normy, a wersją 2013 jest struktura zestawu zabezpieczeń informacji. Podczas gdy większość metod kontroli ISO/IEC 27002 pozostaje niezmieniona, zabezpieczenia zostały przegrupowane z 14 kategorii do 4 szerokich kategorii, które obejmują Organizacje, Ludzi, Fizyczne aspekty i Techniki. Liczba zabezpieczeń w nowej wersji została zmniejszona z 114 do 93, poprzez:
W najnowszej wersji normy ISO/IEC 27002 wprowadzono 11 nowych kontroli. Najnowsze zabezpieczenia odzwierciedlają ewolucję praktyk przemysłowych. Transformacja cyfrowa, wraz z rosnącym ryzykiem cyberzagrożeń, przyspieszyła zmiany w ISO/IEC 27002. Jej nowa wersja będzie obejmować kontrole dotyczące analizy zagrożeń, usług w chmurze i bezpiecznego kodowania, aby odzwierciedlić szybko rozwijającą się technologię.
Nowe techniki bezpieczeństwa
| 5.7 Analiza zagrożeń | 8.11 Maskowanie danych |
| 5.2.3 Bezpieczeństwo informacji przy korzystaniu z usług w chmurze | 8.12 Zapobieganie wyciekom danych |
| 5.30 Gotowość teleinformatyczna do zapewnienia ciągłości działania | 8.16 Monitorowanie baz danych |
| 7.4 Monitorowanie bezpieczeństwa fizycznego | 8.22 Filtrowanie sieci |
| 8.9 Zarządzanie konfiguracją | 8.28 Bezpieczne kodowanie |
| 8.10 Usuwanie informacji |
Część zabezpieczeń uległa konsolidacji w pojedynczy element, ponieważ działają one na tych samych podstawowych zasadach. Na przykład zabezpieczenia od A.12.4.1 do A.12.4.3. W wersji 2013, które dotyczą dzienników, zostały skategoryzowane w Logowaniu, aby zminimalizować ich powielanie. Szersza struktura eliminuje zbytnią mnogość i powtarzalność. Pozwala użytkownikom na efektywne zbadanie problematyki i bezpośrednie działania wdrożeniowe. Nowa struktura jest mniej nakazowa i daje organizacjom autonomię w odkrywaniu możliwości realizacji celów kontroli.
Połączone techniki bezpieczeństwa
| 5.1. Polityki bezpieczeństwa informacji | 5.1.1, 5.1.2 | 8.1 Urządzenia końcowe użytkownika | 6.2.1, 11.2.8 |
| 5.9. Inwentaryzacja informacji i innych powiązanych aktywów | 8.1.1, 8.1.2 | 8.8 Zarządzanie podatnościami technicznymi | 12.6.1, 18.2.3 |
| 5.14 Transfer informacji | 13.2.1, 13.2.2, 13.2.3 | 8.15 Logowanie | 12.4.1, 12.4.2, 12.4.3 |
| 5.15 Kontrola dostępów | 9.1.1, 9.1.2 | 8.24 Zabezpieczenia kryptograficzne | 10.1.1, 10.1.2, 18.1.5 |
| 5.16 Zarządzanie tożsamościami | 9.2.1, 9.4.3 | 8.25 Bezpieczny cykl rozwoju | 14.1.1, 14.2.1 |
| 5.17 Informacje uwierzytelniające | 9.2.4, 9.3.1 | 8.26 Wymagania bezpieczeństwa aplikacji | 14.1.2, 14.1.3 |
| 5.18 Prawa dostępu | 9.2.2, 9.2.5, 9.2.6 | 8.29 Testowanie bezpieczeństwa w fazie rozwoju i akceptacji | 14.2.8, 14.2.9 |
| 5.22 Nadzór przegląd i zmiany w zarządzaniu usługami dostawców | 15.2.1, 15.2.2 | 8.31 Rozdzielenie środowisk deweloperskich, testowych i produkcyjnych | 12.1.4, 14.2.6 |
| 5.29 Bezpieczeństwo informacji w czasie zakłóceń | 17.1.1, 17.1.2, 17.1.3 | 8.32 Zmiany w zarządzaniu | 12.1.2, 14.2.2, 14.2.3, 14.2.4 |
| 7.10 Nośniki | 8.3.1, 8.3.2, 8.3.3 |
W celu uniknięcia powtórzeń oraz zwiększenia autonomii organizacji, poniżej wymienione techniki bezpieczeństwa zostały usunięte:
Usunięte techniki bezpieczeństwa
| 8.2.3 Postępowanie z aktywami | 11.2.5 Wynoszenie aktyw |
| 16.1.3 Zgłaszanie słabości związanych z bezpieczeństwem informacji |
Ponieważ ISO/IEC 27002 zasadniczo rozszerza załącznik A ISO/IEC 27001, aktualizacja ISO/IEC 27002 nieuchronnie wpłynie na ISO/IEC 27001. Oczekuje się, że zmiany te zostaną odzwierciedlone w załączniku A do ISO/IEC 27001 po oficjalnym wydaniu zaktualizowanej normy ISO/IEC 27002, by zapewnić spójność obydwu standardów.
Obecnie nie ma to wpływu na organizacje, które już utrzymują certyfikowany SZBI do czasu opublikowania aktualizacji ISO/IEC 27002 oraz nowego załącznika A ISO/IEC 27001. Zazwyczaj organizacje otrzymują okres karencji, zanim będą zobowiązane do wdrożenia zmian wprowadzonych w nowej wersji normy ISO/IEC 27001.
W przypadku organizacji, które zamierzają certyfikować swój ISMS, zmiany, o których mowa, nie zaburzają całego przedsięwzięcia.
Z kolei organizacje, które zamierzają dopiero wdrożyć i certyfikować swój ISMS powinny zapoznać się wstępną wersją ISO/IEC 27002 i w oparciu o nią przygotować się do certyfikacji.