Bevezetés
Az ISO 27001 információbiztonsági irányítási rendszer (ISMS vagy IBIR) szabvány 2022-ben megjelent kiadása új kontroll pontokat tartalmaz a 2013-as verzióhoz képest. Az új követelmények bemutatására és a megfeleléshez szükséges teendőkről cikksorozatot indítunk, mely 5 szempont (Leírás, Technológia, Folyamat, Humán erőforrás és Dokumentáció) alapján mutatja be az A. mellékletben megjelent új kontroll pontokat.
Ezek a szempontok azt a célt szolgálják, hogy segítsék a témával foglalkozó szakembereket vagy a téma iránt érdeklődőket eligazodni, hogy az adott követelmény pontosan miről szól, mi a tartalmi lényege; milyen technológia szükséges a kontrollpont kivitelezéséhez, kialakításához; milyen meglévő vagy új folyamatokat kell átalakítania vagy bevezetnie a szervezetnek; milyen területen kell képezni az alkalmazottakat a kontrollpont megfelelő alkalmazásához, betartásához; valamint a kontrollponthoz szükséges-e különálló dokumentum készítése vagy a kontrollpontnak történő megfelelés egyéb dokumentumba történő implementálással megvalósítható-e.
A szabványváltozás lényegi összefoglalója
2022.10.25-én a Nemzetközi Szabványügyi Szervezet (International Organization for Standardization, ISO) közzétette az ISO/IEC 27001:2022 elfogadott verzióját. Melynek magyar nyelvű fordítása 2023-ban jelent meg. Ezért a magyar szabvány jelzete: MSZ ISO/IEC 27001:2023. A korábbi szabványverzióhoz képest, kilenc év után megjelentek újabb kontrollok és némiképp változott a szabvány A. mellékletének struktúrája is.
ISO/IEC 27001:2013: Information technology, Security techniques. Information security management systems. Requirements / Informatika. Biztonságtechnika. Információbiztonság-irányítási rendszerek. Követelmények
ISO/IEC 27001:2022: Information security, cybersecurity and privacy protection. Information security management systems. Requirements / Információbiztonság, kiberbiztonság és a magánélet védelme. Információbiztonság-irányítási rendszerek. Követelmények
- A fő szabványpontok szövegében történt néhány módosítás, pontosítás (különösen: 4.2, 6.2, 6.3, 8.1, 9.3)
- Megjelent 11 új kontroll, a korábbiak mindegyike megmaradt, de néhányuk összevonásra került, így az A. melléklet kontrolljai a korábbi 114-ről 93-ra csökkentek, amely immáron csak 4 szakaszra bontott a 14 helyett
- A kontrollok kategorizálására immáron 5 attribútum áll rendelkezésre (27002:2022 szabvány alapján)
Fenyegetésfelismerő képesség (A.5.7)
Leírás: Napjainkban egy szervezet jellegéből fakadóan számos fenyegetettséggel nézhet szembe működése során, mellyel szembeni hatékony védekezés és védelem kialakítása mára már elengedhetetlen elemmé vált. Ez az ISO 27001 szabvány 2022-es verziójában is megjelenik új kontrollpontként. A szabvány ezen pontja előírja, hogy a szervezetek információkat gyűjtsenek a különböző fenyegetésekről, majd az összegyűjtött információkat kielemezzék, hogy megfelelő megelőző és kockázatcsökkentő intézkedéseket hozhassanak. Ezek az információk vonatkozhatnak konkrét támadásokra, a támadók által használt technikákra, taktikákra és eljárásokra, valamint a különböző támadási trendekre is. Ezeket az információkat több helyről is össze lehet gyűjteni, melynek forrásai lehetnek belső (vagyonleltár, fenyegetéslista stb.), valamint külső (nyílt forrású hírszerzés, szállítói jelentések, felügyeleti hatóság felhívásai stb.) források.
Technológia: A kisebb létszámú vállalatok esetében alapvetően nincs szükség új technológia bevezetésére a fenyegetésfelismerő képesség javításához, sokkal inkább arra kell összpontosítaniuk ezeknek a cégeknek, hogy hogyan képesek a leghatékonyabb módon kinyerni a fenyegetésekkel kapcsolatos információkat a meglévő információs rendszereik működéséből. A nagyobb létszámú vállalatok esetében azonban már szükség lehet ilyen jellegű technológia beszerzésére és bevezetésére, melynek képesnek kell lennie arra, hogy automatikusan figyelmeztesse a szervezetet az újonnan megjelenő fenyegetésekre, sebezhetőségekre és incidensekre. Minden méretű szervezet esetében nagyon fontosak a fenyegetésekkel kapcsolatos információk összegyűjtése és elemzése, mivel ezen információk ismeretében lehet megfelelően és hatékonyan megerősíteni és megvédeni az információs rendszereket a potenciális incidensektől.
Folyamat: A kontrollpont sikeres megvalósításához a szervezeteknek ki kell dolgozniuk azokat a folyamatokat, amelyeket alkalmazni fognak a fenyegetésekkel kapcsolatos információk összegyűjtése és elemzése során, valamint fel kell használni ezen információkat a megelőző ellenőrzések bevezetésére, a kockázatelemzés -és értékelés javítására és a biztonsági tesztelések új módszereinek bevezetésére vagy a meglévő módszerek hatékonyságának növelésére.
Humán erőforrás: Biztonságtudatossági képzéseket kell szervezni az alkalmazottak számára abból a célból, hogy megértsék a fenyegetésekről szóló értesítések küldésének fontosságát, és megtanulják azt, hogy kinek és hogyan kell ezeket a fenyegetéseket jelenteni, továbbítani.
Dokumentáció: Az ISO 27001 szabvány nem ír elő külön dokumentáció készítését a szabványpontnak való megfeleléshez, azonban néhány dokumentumban szerepelhetnek a fenyegetések felderítésére vonatkozó szabályok, mellyel a kontrollpontnak történő megfelelés kivitelezhető.
Ilyen lehet például a beszállítói szabályzat: Meg kell határozni, hogy a fenyegetésekkel kapcsolatos információkat milyen módon kommunikálja a vállalat a beszállítóival és partnereivel.
Kiegészítésre kerülhet az Incidenskezelési eljárás: Meg kell határozni, hogy a fenyegetésekkel kapcsolatos információk milyen módon legyenek kommunikálva a vállalaton belül. Ki, milyen felelősséget visel a folyamatban.
Kockázatelemzési eljárás: Meghatározza, hogyan kell összegyűjteni és feldolgozni a fenyegetésekkel kapcsolatos információkat, azok milyen módon hatnak a meglévő kockázatokra, s milyen módon kerülnek csökkentésre.
2. Felhőszolgáltatások használatára vonatkozó információbiztonság (A.5.23)
Leírás: A felhőszolgáltatások a testre szabhatóságuk, skálázhatóságuk és országhatárokon átívelő használhatóságuk révén mára már megkerülhetetlen elemévé váltak a szervezetek mindennapi működésében. A szabvány ezen pontja megkövetelia biztonsági követelmények meghatározását és alkalmazását a felhőszolgáltatások használatára vonatkozóan, hogy a felhőben kezelt és tárolt adatok megfelelően védve legyenek a különböző támadásokkal szemben. Az információbiztonsági követelményeket a felhőszolgáltatás teljes életciklusa alatt érvényesíteni kell, mely magában foglalja a felhőszolgáltatás beszerzését, használatát, kezelését és kivezetését is.
Technológia: A szabványpont teljesítéséhez a legtöbb esetben nincs szükség új technológia bevezetésére, mivel a felhőszolgáltatások többsége rendelkezik biztonsági funkciókkal. Néhány esetben szükség lehet a szolgáltatás frissítésére annak egy biztonságosabb verziójára, hogy védve legyen a legújabb sebezhetőségekkel szemben. Amennyiben a szervezet olyan felhőszolgáltatást használ, melynek nincs, vagy csak csekély biztonsági követelményeket határoz meg, abban az esetben érdemes a szervezetnek egy biztonságosabb felhőszolgáltatásra váltani, mely szigorúbb biztonsági intézkedéseket határoz meg.
Folyamat: Létre kell hozni egy folyamatot a felhőszolgáltatásokkal szemben támasztott biztonsági követelmények összesítésére és a felhőszolgáltatás kiválasztása során figyelembe vett biztonsági kritériumok meghatározására. Ezen kívül ki kell dolgozni egy folyamatot a felhőszolgáltatás elfogadható használatára vonatkozóan, valamint a felhőszolgáltatás kivezetésére a biztonsági követelmények figyelembevételével.
Humán erőforrás: Tájékoztatni szükséges az alkalmazottakat a felhőszolgáltatások használatának biztonsági kockázatairól (adatszivárgás, jogosulatlan hozzáférés stb.), valamint a szervezetnek képeznie kell az alkalmazottakat a felhőszolgáltatások helyes és a biztonsági funkcióinak megfelelő használatára, betartására.
Dokumentáció: Az ISO 27001 szabvány nem ír elő külön dokumentációs kötelezettséget a szabványpont érvényesítésére. Kisebb létszámú vállalatok esetében a felhőszolgáltatásokra vonatkozó szabályok belefoglalhatóak egyéb szabályzatba, például a Beszállítói szabályzatba, amennyiben a szervezet rendelkezik ilyen dokumentummal. Nagyobb létszámú vállalatok esetében külön dokumentum elkészítése lenne célszerű, mely specifikusan tartalmazza a felhőszolgáltatások biztonsági követelményeit és a követelmények alkalmazásának módját, valamint a felhőszolgáltatás váltására vagy kivezetésére vonatkozó stratégiát.
Az ISO 27001 szabványátálláshoz kapcsolódó cikksorozat következő részében újabb két kontrollpont kerülbemutatásra. Amennyiben hasznosnak és érdekesnek találtad a cikket, abban az esetben mindenképpen tarts velünk cikksorozatunk következő állomásán is.
Felmerült kérdéseid vagy a témával kapcsolatos gondolataid bátran oszd meg velünk elérhetőségeinken. Találkozunk a következő részben.