facebook LinkedIN LinkedIN - follow
IT SYSTEMS 7-8/2014 , IT Security

Změny a dopady nové normy ISO/IEC 27001:2013



AECStandard ISO/IEC 27001 byl poprvé publikován v roce 2005 jako nástupce svého předchůdce BS 7799 a specifikuje rámec Information Security Management System (ISMS). Od té doby se v oblasti informačních technologií mnohé změnilo, zejména došlo k rozvoji mobilních technologií, k dalšímu zvýšení sofistikovanosti útoků na ICT infrastrukturu a tím ke zvýšení výskytu a rozsahu souvisejících incidentů například v oblasti úniku a krádeží dat. Proto se technická skupina organizace ISO rozhodla tento standard přezkoumat a zajistit, aby i do budoucna vhodně podporoval systémy managementu bezpečnosti informací. Výsledkem je nový standard ISO/IEC 27001:2013. Systém ISMS je celosvětově certifikován a zaveden v řadě společností napříč obory své činnosti, neboť aspekty informační bezpečnosti jsou již dlouho globální téma. Pojďme si tedy shrnout podstatné změny.


Změny od základu

Od konce září 2013 jsou k dispozici revize obou stěžejních norem pro oblast informační bezpečnosti z rodiny ISO/IEC 2700x a to ISO/IEC 27001:2013 a ISO/IEC 27002:2013. Zůstal přitom zachován základní princip, že dle ISO/IEC 27001 se certifikuje a dle ISO/IEC 27002 se ISMS zavádí. Obě normy se dočkaly změn zhruba v třetině svého obsahu. Je již použita nová struktura ISO norem (Annex SL), která sjednotí přístup a ulehčí situaci hlavně firmám, které mají ISO standardů integrováno více. Annex SL je závazný, všechny technické komise jsou povinny ho respektovat. U části ISO/IEC 27001 došlo k redukci požadavků s tím, že požadavky již nejsou tak striktní a nesvazují ruce organizaci při plnění ducha požadavků normy. Rozdíly mezi starým a novým standardem ISO/IEC 27001 jsou popsány níže. S ohledem na fakt, že v čase tvorby tohoto článku neexistoval oficiální překlad normy, jsou níže uvedené překlady orientační. 

ISO/IEC 27001:2005 ISO/IEC 27001:2013
0 Úvod 0 Úvod
1 Předmět normy 1 Rozsah, předmět normy
2 Citované normativní dokumenty 2 Citované normativní dokumenty
3 Termíny a definice 3 Termíny a definice
4 Systém managementu bezpečnosti informací 4 Kontext organizace
5 Odpovědnost vedení 5 Vedení
6 Interní audity ISMS 6 Plánování
7 Přezkoumání ISMS vedením organizace 7 Podpora
8 Zlepšování ISMS 8 Provoz
  9 Hodnocení výkonnosti
  10 Zlepšování

Srovnání struktur norem

Systém managementu bezpečnosti informací je nově rozpadnutý do částí Kontext organizace (4), Vedení (5), Plánování (6), Podpora (7) a Provoz (8). Odpovědnost vedení je nově obsahem části Vedení (5). Interní audity a přezkoumání vedením je sloučeno do jediné části Hodnocení výkonnosti (9). V nové normě je změněn přístup k hodnocení rizik, například vlastník rizika, který posuzuje aktiva z pohledu důvěrnosti, dostupnosti a integrity, což dříve řešil vlastník aktiva. Obecně je přístup k analýze rizik volnější, z ISO/IEC 27002 bylo dokonce hodnocení a zvládání rizik (risk assessment and risk treatment) vyjmuto s odkazem na ISO/IEC 27005. Rovněž je podporována metodika ISO 31000, ale rovněž nezávazně pro organizaci.

Nová Příloha A doznala doplnění o tři kapitoly a počet oblastí se tak zvýšil z jedenácti na čtrnáct a došlo k celkovému přestrukturování přílohy. Většina cílů a opatření zůstala, počet požadavků se snížil ze 133 na 113. V důsledku toho budou muset organizace přezkoumat svá prohlášení o aplikovatelnosti (dále POA), aby zajistily, že obsahují nová opatření včetně následného zdůvodnění.

A.5 Politiky informační bezpečnosti informací
A.6 Organizace bezpečnosti informací
A.7 Bezpečnost lidských zdrojů
A.8 Management aktiv
A.9 Opatření k přístupu a řízení přístupových práv
A.10 Technologie kryptování
A.11 Fyzická bezpečnost pracovišť a zařízení
A.12 Bezpečnost provozu
A.13 Bezpečná komunikace a přenos dat
A.14 Bezpečná akvizice, vývoj a podpora informačních systémů
A.15 Bezpečnost pro dodavatele a třetí strany
A.16 Management incidentů
A.17 Kontinuita podnikání s ohledem na informační bezpečnost
A.18 Shoda s interními i externími požadavky

Struktura přílohy A normy ISO/IEC 27001: 2013

Technologie kryptování se oddělila z původního umístění v A.12 staré normy, kde často docházelo k situacím, že organizace bez vlastního vývoje měly celou kapitolu A.12 vyloučenou z POA. Bezpečnost pro dodavatele a třetí strany je nyní řešena samostatně a již nikoliv jako součást A.6.2 staré normy. Také původní kapitola A.10 Řízení komunikací a řízení provozu byla rozdělena na A.12 Bezpečnost provozu a A.13 Bezpečná komunikace a přenos dat.

ISO/IEC 27002:2013

U nové normy ISO/IEC 27002:2013, jejímž obsahem je soubor praktických doporučení pro zavedení, udržování a zlepšování systému řízení bezpečnosti informací nedošlo k dalším změnám. Kromě faktu změny struktury normy, která byla popsána výše, většina stávajících opatření zůstala nepozměněna, aktualizován byl pouze text doporučení. Pojďme se blíže podívat na některé novinky v oblasti bezpečnostních politik:

  • Politika bezpečnosti informací pro vztahy s dodavateli – prověření potenciálních dodavatelů, identifikace rizik třetích stran, identifikace bezpečnostních opatření, která se promítnou ve smlouvě, jak se bude přezkoumávat plnění bezpečnosti ze strany dodavatele, řízení přístupových práv při vzdáleném přístupu dodavatele atd.
  • Politika mobilních zařízení – důraz na evidenci mobilních zařízení, kontrola platforem operačních systémů, proaktivní řešení hrozeb spojených s malwarem, řešení problematiky BYOD (bring your own device) připravuje půdu pro výraznější rozšíření MDM (mobile device management) v organizacích.

Méně záznamů

Při tvorbě záznamů by měla organizace vést evidenci jen v takovém detailu, který je pro dokumentaci dané činnosti nezbytný. Nový standard dává volnější ruku při prokazování způsobu aplikace dílčích bezpečnostních opatření, a není tak nezbytně nutné vyrábět záznamy jen pro audit.

Přechodné období a certifikace

Organizace, které dosud neměly certifikaci ISMS, se mohou nechat certifikovat ihned na nový standard u akreditovaného certifikačního orgánu. Organizace, které již započaly svoji přípravu na certifikaci ISMS ještě podle starého standardu, mohou být certifikovány oproti staré normě do září 2014. Organizace, které již mají zaveden ISMS, musí přejít na novou verzi normy nejpozději do září 2015, navíc před jakoukoli dozorovou návštěvou můžete požádat váš certifikační orgán, aby provedl přechod na nový standard jako součást běžného periodického auditu, kde prokážete plnění požadavků vůči novému standardu.

Kybernetický zákon a vztah k ISO/IEC 27001

Připravovaný kybernetický zákon, který má za cíl chránit kybernetický prostor ČR z pohledu zajištění kritické infrastruktury se dotýká jak státních, tak komerčních subjektů. Do kritické infrastruktury patří například banky s tržním podílem více než deset procent, pojišťovny s pokrytím 25 procent a další subjekty dle NV 432/2010 Sb. Společným znakem je nutnost plnění zákona z pohledu organizačních a technických opatření, což lze prokázat mimo jiné tak, že společnost prokáže certifikaci vůči ISO/IEC 27001. Organizace, jichž se kybernetický zákon dotýká, budou mít roční přechodné období na zajištění plnění požadavků kybernetického zákona.

Závěrem

Nový standard přináší novou strukturu a nové požadavky na procesní i technickou bezpečnost. Při tvorbě POA je prostor na přípravu pro přechod vhodné realizovat pomocí rozdílové GAP analýzy mezi oběma standardy, která by měla kromě formálního zahrnutí nových bodů do POA rovněž obsahovat kontrolu existence všech povinných dokumentů a záznamů. Nicméně s patřičným nadhledem je potřeba si uvědomit, že převážná část nové normy je bez zásadních změn. Přesto je důležité, aby organizace existujícím změnám porozuměla. V neposlední řadě je třeba administrativní cvičení přenést do každodenní praxe organizace, seznámit s novými požadavky nejen ICT oddělení, ale i třeba oddělení nákupu, interní audit a samozřejmě management organizace, který musí poskytnout nezbytné zdroje na zajištění souladu s požadavky nového standardu.

Martin Tobolka, AEC Martin Tobolka
Autor působí několik let jako lead auditor ISMS a ITSM/SMS pro celou řadu certifikačních orgánů v ČR i zahraničí. V současné době zúročuje své zkušenosti jako senior IT security consultant ve společnosti AEC, kde se zabývá architekturou a implementací celého životního cyklu bezpečnosti informací a řízením kontinuity.

 

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.


Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.