Nem nagyon láttam még magyar nyelvű cikket az ISO/IEC 27001 nemzetközi szabvány A mellékletét meghatározó ISO/IEC 27002 legújabb felülvizsgálatáról, pedig a változások már a nyakunkon vannak, és bár nem feltétlenül hoz azonnali változásokat, de megfelelő előrelátással kihathat akár már a jövő évi belső auditok lefolytatására is.
Én egyébként jelenleg egy informatikai fejlesztő vállalat IT projektmenedzsereként felelek az ISO 27001 szabvány érvényesüléséért – és persze nem mellékesen a külső auditjaink sikeréért is – ezért különösen izgalmasak számomra az ISO/IEC 27002:2022(?) tervezett változásai.
Bár a tervezett szöveghez én nem férek hozzá, de egy-két leírás már elérhető a várható változásokról. Ezen elemzések szerint a kontrollok ezentúl négy fő csoport alá lesznek szervezve, és több régebbi kontroll egyben összevonásra is kerül.
A négy csoport a Organizational Controls (37), People Controls (8), Physical Controls (14), and Technological Controls (34) lesz. A zárójelben szereplő számok összeadásából következik, hogy az összevonások miatt a kontrollok száma 114-ről 93-ra fog csökkenni, annak ellenére is, hogy több új kontroll jelenik majd meg, mint ahány kikerül a szabványból.
Egyes vélemények szerint ez, és az ISO/IEC 27001-et érintő módosulások a NIST-el való megfeleltetést segítik majd a későbbiekben. Emellett, ha jól értem a koncepciót, egy hashtag rendszer is kialakításra kerül:
control type (#preventive, #detective, #corrective), classification (#confidentiality, #integrity, #availibility), NIST concept (#identify, #protect, #detect, #respond, #recover) and operational capabilities (#governance, #asset_management, #information_protection, #human_resource_security, #physical_security, #system_and_network_security, #application_security, #secure_configuration, #identity_and_access_management, #threat_and_vulnerability_management, #continuity, #supplier_relationships_security, #legal)
Az új verzióban az alábbi három kontrollnak is búcsút mondhatunk: a „A8.2.3. A vagyonelemek kezelése, A11.2.5. Vagyonelemek eltávolítása, A16.1.3. Információbiztonsági gyengeségek jelentése”. Őszintén szólva kicsit meglepődtem, nem szeretnék találgatni sem, hogy miért pont ezek kerülnek ki.
Egyedül az A11.2.5. esetében tudnék vélt megfejtést adni azzal, hogy a védendő információt hordozó vagyonelemek kivitelével kapcsolatos korábbi szabályozások általában meghaladásra kerültek a COVID19 időszakban elterjedt Home Office jelenséggel, és manapság már más kontrollok segítségével érvényesül a szabvány szellemisége. De ez messze nem hivatalos megfejtés.
Ami még érdekesebb, az az új kontrollok területe, név szerint:
5.16 Identity management
5.23 Information security for use of cloud services
5.30 ICT readiness for business continuity
5.7 Threat intelligence
7.4 Physical security monitoring
8.1 User endpoint devices
8.10 Information deletion
8.11 Data masking
8.12 Data leakage prevention
8.22 Web filtering
8.28 Secure coding
8.9 Configuration management
Szerintem nagyon izgalmas kontrollok jönnek, köztük jó néhány olyan, ami igazán aktuális és a jelenlegi munkámra, vagyis kifejezetten az IT fejlesztések megfelelőségére irányul (vastaggal kiemelve amit ilyen szempontból kifejezetten aktuálisnak is tartok).
Más kérdés, hogy például a tervezett „8.28 Secure coding” a jelenlegi 14.2.1. részeként is felfogható (konkrétan szerepel is az implementációs javaslatok között), vagyis valójában nem egy új követelménynek, hanem inkább egy „önállósodó kontrollnak” tekinthető, ami ezzel együtt nyilván hangsúlyosabb szerepet kap majd, nem ismerve persze pontosan a jelenlegi szövegkoncepciót.
Az elemzések szerint a változások összességében egészen biztosan kihatnak majd a külső auditokra való felkészülésre, hiszen módosítani kell a szabályzatokat – különösen, ha azok a szabványpontok struktúráját követik, módosítani kell a belső auditok terveit, az alkalmazhatósági nyilatkozatokat és nyilvánvalóan hatással lesz a kockázatértékelés egészére. Én ehhez még annyit tennék hozzá, hogy az új kontrollok nyilvánvalóan új bizonyítékok megjelenésével is együtt fognak járni.
Megjegyzés: a fentiek a 2021.12.19-én elérhető információkon alapulnak, nem ismerve a tervezett ISO/EN 27002:2022 szabvány pontos szövegét, amely még nem is tekinthető véglegesnek. Ezért a fent leírtak – az esetleges változások miatt – bármikor aktualitásukat veszthetik.
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről: