През 2022г. стандартите ISO/IEC 27001 и ISO/IEC 27002 претърпяха промяна, за да отговорят на предизвикателствата на днешното време. Първо беше направена промяна на ISO/IEC 27002, който съдържа насоки за прилагане на механизмите за контрол представени в ISO/IEC 27001. Както се очакваше, в края на 2022г. се появи новото издание на ISO/IEC 27001, чието Приложение А се препокрива с информацията представена преди това в ISO/IEC 27002. Тъй като целта на статията е да обърне внимание на промените в механизмите за контрол, нека да разгледаме по-подробно какви са новостите в ISO/IEC 27002.
Структура на ISO/IEC 27002:2022
В новата версия на ISO/IEC 27002 има само четири групи контроли, за разлика от 14-те от предишната:
- Организационни (клауза 5): съдържа контроли, свързани с различни организационни въпроси и включва 37 контроли;
- Хора (клауза 6): съдържа контроли, свързани с управление на човешките ресурси и включва 8 контроли;
- Физически (клауза 7): съдържа контроли, свързани с физическата среда и включва 14 контроли;
- Технологични (клауза 8): съдържа контроли, свързани с технологиите и включва 34 контроли.
Новост в това издание на стандарта е появата на атрибути на контролите. В тази връзка в структурата на стандарта е включено Приложение А – Използване на атрибути, което предоставя допълнителни разяснения относно атрибутите и дава предложения за използването на контролите според техните атрибути.
Освен това, в стандарта е включено Приложение B – Съответствие с ISO/IEC 27002:2013, което предоставя съпоставяне между контролите от новата версия и контролите от предишното издание от 2013 г.
Брой контроли
В новата версия на ISO/IEC 27002 (респективно и в ISO/IEC 27001) броят на контролите е намален от 114 на 93, като причината за това намаляване не е в отпадането на някои контроли, а в подобреното разбиране на прилагането на практиките за сигурност и съответно тяхното представяне. По-долу в статията ще бъде направен подробен анализ на контролите като брой, нови и променени.
Представяне на контролите
В новата версия на ISO/IEC 27002 всяка контрола е представена със следните елементи:
- кратко заглавие на контролата;
- таблица с атрибути;
- контрол – описание на това, какво представлява съответната контрола;
- цел на контрола;
- насоки – съвети за това как да се прилага съответната контрола;
- друга информация – допълнителна информация за разбиране на контрола и препратки към други документи за справка.
За разлика от старата версия се забелязват два нови елемента – цел и таблица с атрибути, с цел да се улеснят хората, които избират и анализират контролите(все пак става въпрос за 93 контроли). Например от таблицата с атрибути могат да се идентифицират всички контроли с превантивен характер. Информацията представена в цел на контрола помага при разбиране на необходимостта от прилагане на съответния вид контрол и при оценяване на неговата адекватност по отношение третиране на риска.
Атрибути
Атрибутите дават възможност на организацията да извършват сортиране и филтриране на контролите по различни критерии. В Приложение А на стандарт ISO/IEC 27002 е обяснено подробно и с примери как може да се постигне това.
Всеки контрол е представен с пет атрибута със съответните им стойности предшествани от символа „#“:
- Control types* – Preventive(контроли които предпазват от възникването на инцидент със сигурността), Detective(контроли, които действат при възникване на инцидент), Corrective(контроли действащи след възникване на инцидент);
- Information security properties е атрибут за преглед на контролите от гледна точка на това коя характеристика на информацията запазват – Confidentiality, Integrity и Availability;
- Cybersecurity concepts е атрибут за преглед на контролите от гледна точка на асоциирането им с концепциите за куберсигурност представени в ISO/IEC TS 27110 – Identify, Protect, Detect, Respond и Recover;
- Operational capabilities – Governance, Asset_management, Information_protection, Human_resource_security, Physical_security, System_and_network_security, Application_security, Secure_configuration, Identity_and_access_management, Threat_and_vulnerability_management, Continuity, Supplier_relationships_security, Legal_and_compilance, Information_security_event_management, Information_security_assurance;
- Security domains – Governance and Ecosystem, Protection, Defence, Resilience.
Атрибутите са подбрани така, че да бъдат достатъчно общи и да могат да се използват от различните видове организации. Според стандарта, организациите могат да пренебрегнат някои от посочените атрибути, а също така могат и да създадат свои собствени такива.
* Наименованията са представени на английки език, тъй като към датата на публикацията, стандартите не са преведени на български език.
Нови контроли
Както вече стана ясно в новите издания на стандартите са включени 11 нови контроли:
- 5.7 Threat intelligence;
- 5.23 Information security for use of cloud services;
- 5.30 ITC readiness for business continuity;
- 7.4 Physical security monitoring;
- 8.9 Configuration management;
- 8.10 Information deletion;
- 8.11 Data masking;
- 8.12 Data leakage prevention;
- 8.16 Monitoring activities;
- 8.23 Web filtering;
- 8.28 Secure coding.
Премахнати контроли
Въпреки, че броят на контролите е намалял от 114 на 93 няма премахнати контроли. По-малият брой се дължи на обединяване на контроли.
Обединени контроли
57 контроли са обединени в 24 контроли:
ISO/IEC 27002:2013 | ISO/IEC 27002:2022 |
5.1.1 Политики за сигурност на информацията
5.1.2 Преглед на политиките за сигурност на информацията |
5.1 Policies for information security |
6.1.5 Сигурност на информацията при управление на проекти
14.1.1 Анализ и спецификация на изискванията за сигурност на информацията |
5.8 Information security in project management |
6.2.1 Политика за мобилните устройства
11.2.8 Ненадзиравани потребителски устройства |
8.1 User end point devices |
8.1.1 Опис на активите
8.1.2 Притежание на активи |
5.9 Inventory of information and other associated assets |
8.1.3 Допустимо използване на активи
8.2.3 Работа с активи |
5.10 Acceptable use of information and other associated assets |
8.3.1 Управление на сменяеми носители
8.3.2 Унищожаване на носители 8.3.3 Пренасяне на физически носители 11.2.5 Изнасяне на собственост |
7.10 Storage media |
9.1.1 Политика за контрол на достъпа
9.1.2 Достъп до мрежи и мрежови услуги |
5.15 Access control |
9.2.2 Осигуряване на достъп на потребители
9.2.5 Преглед на правата за достъп на потребителите 9.2.6 Отнемане или коригиране на права за достъп |
5.18 Access rights |
9.2.4 Управление на тайната информация за автентификация на потребителите
9.3.1 Използване на тайна информация за автентификация 9.4.3 Система за управление на пароли |
5.17 Authentication information |
10.1.1 Политика за използване на криптографски механизми за контрол
10.1.2 Управление на ключове |
8.24 Use of cryptography |
11.1.2 Механизми за контрол на физическото влизане
11.1.6 Зони за доставки и зареждане |
7.2 Physical entry |
12.1.2 Управление на измененията
14.2.2 Процедури за контрол на измененията в системите 14.2.3 Технически преглед на приложенията след изменения в оперативната платформа 14.2.4 Ограничения върху измененията на софтуерните пакети |
8.32 Change management |
12.1.4 Разделяне на средите за разработване, изпитване и работа
14.2.6 Сигурна среда за разработване |
8.31 Separation of development, test and production environments |
12.4.1 Регистриране на събития
12.4.2 Защита на регистрираната информация 12.4.3 Дневници на действията на системния администратор и оператора |
8.15 Logging |
12.5.1 Инсталиране на софтуер върху работещи системи
12.6.2 Ограничения при инсталиране на софтуер |
8.19 Installation of software on operational system |
12.6.1 Управление на техническите уязвимости
18.2.3 Преглед на техническото съответствие |
8.8 Management of technical vulnerabilities |
13.2.1 Политики и процедури за обмен на информация
13.2.2 Споразумения за обмен на информация 13.2.3 Електронен обмен на съобщения |
5.14 Information transfer |
14.1.2 Осигуряване на приложни услуги през обществени мрежи
14.1.3 Защита на транзакции на приложни услуги |
8.26 Application security requirements |
14.2.8 Изпитване на сигурността на системата
14.2.9 Приемни изпитвания на системата |
8.29 Security testing in development and acceptance |
15.2.1 Наблюдение и преглед на услуги, предоставяни от доставчици
15.2.2 Управление на измененията на услугите, предоставяни от доставчици |
5.22 Monitoring, review and change management of supplier services |
16.1.2 Докладване на събития, свързани със сигурността на информацията
16.1.3 Докладване на слабости в сигурността на информацията |
6.8 Information security event reporting |
17.1.1 Планиране на непрекъснатост на сигурността на информацията
17.1.2 Осъществяване на непрекъснатост на сигурността на информацията 17.1.3 Проверка, преглед и оценяване на непрекъснатостта на сигурността на информацията |
5.29 Information security during disruption |
18.1.1 Идентифициране на приложимите законови и договорни изисквания
18.1.5 Регламентиране на криптографските механизми за контрол |
5.31 Legal, statutory, regulatory and contractual requirements |
18.2.2 Съответствие с политиката и стандартите за сигурност
18.2.3 Преглед на техническото съответствие |
5.36 Conformance with policies, rules and standards for information security |
Разделени контроли
18.2.3 Technical compliance review е разделена на:
- 5.36 Conformance with policies, rules and standards for information security;
- 8.8 Management of technical vulnerabilities.
Преименувани контроли
23 контроли са преименувани с цел по-лесно разбиране, като в същността си са без промяна.
ISO/IEC 27002:2013 | ISO/IEC 27002:2022 |
6.2.2 Teleworking(Работа от разстояние) | 6.7 Remote working |
7.3.1 Termination or change of employment responsibilities(Отговорност при прекратяване или промяна на трудовото отношение) | 6.5 Responsibilities after termination or change of employment |
9.2.1 User registration and de-registration(Регистрация и прекратяване на регистрация на потребители) | 5.16 Identify management |
9.2.3 Management of privileged access rights(Управление на привилегировани права за достъп) | 8.2 Privileged access rights |
9.4.2 Secure log-on procedures(Процедури за сигурно влизане в системата) | 8.5 Secure authentication |
9.4.5 Access control to program source code(Контрол на достъпа до изходен код на програмите) | 8.4 Access to source code |
11.1.1 Physical security perimeter(Граници за физическата сигурност) | 7.1 Physical security perimeters |
11.2.6 Security of equipment and assets off-premises(Сигурност на устройства и активи извън помещенията) | 7.9 Security of assets off-premises |
11.2.9 Clear desk and clear screen policy(Политика за чисто бюро и чист екран) | 7.7 Clear desk and clear screen |
12.2.1 Controls against malware(Механизми за контрол срещу злонамерен софтуер) | 8.7 Protection against malware |
12.7.1 Information systems audit controls(Механизми за контрол при одит на информационни системи) | 8.34 Protection of information systems during audit testing |
13.1.1 Segragation in networks(Механизми за контрол на мрежите) | 8.22 Segregation of networks |
14.2.1 Secure development policy(Политика за сигурно разработване) | 8.25 Secure development life cycle |
14.2.5 Secure system engineering principles(Инженерни принципи за сигурни системи) | 8.27 Secure system architecture and engineering principles |
14.3.1 Protection of test data(Защита на данните при изпитване) | 8.33 Test information |
15.1.1 Information security policy for supplier relationships(Политика за сигурността на информацията при взаимоотношения с доставчици) | 5.19 Information security in supplier relationships |
15.1.2 Addressing security within supplier agreements(Разглеждане на сигурността в рамките на споразумения с доставчици) | 5.20 Addressing information security within supplier agreements |
15.1.3 Information and communication technology supply chain(Верига за доставки за информационни и комуникационни технологии) | 5.21 Managing information security in the ICT supply chain |
16.1.1 Responsibilities and procedures(Отговорности и процедури) | 5.24 Information security management planning and preparation |
16.1.4 Assessment of and decision on information security events(Оценяване на събития, свързани със сигурността на информацията и вземане на решения за тях) | 5.25 Assessment and decision on information security events |
17.2.1 Availability of information processing facilities(Готовност на средствата за обработване на информация) | 8.14 Redundancy of information processing facilities |
18.1.4 Privacy and protection of personally identifiable information(Тайна и защита на информацията за самоличността) | 5.34 Privacy and protection of PII |
0 отговори на "Промени в механизмите за контрол"