ISO/IEC 27001:2022

Editors' Pick
Geronimo

Megjelent meg az ISO/IEC 27001 új, frissített változata. A világ legismertebb információbiztonság menedzsment szabványa segít a szervezeteknek megvédeni információs eszközeiket, ami létfontosságú a mai, egyre inkább digitalizálódó világban. 

A kiberbűnözés egyre súlyosabbá és kifinomultabbá válik, ahogy a hackerek fejlettebb kiberbűnözési technikákat fejlesztenek ki. A Világgazdasági Fórum Global Cybersecurity Outlook jelentése szerint 2021-ben 125%-kal nőtt a kibertámadások száma világszerte, és a bizonyítékok arra utalnak, hogy 2022-ig folytatódik a növekedés. Ebben a gyorsan változó környezetben a vezetőknek stratégiai megközelítést kell alkalmazniuk a kiberkockázatokkal kapcsolatban. 

E kiberbiztonsági kihívások kezelése érdekében a szervezeteknek fokozniuk kell ellenálló képességüket, és lépéseket kell tenniük a kiberfenyegetések mérséklésére. 

Az ISO/IEC 27001 bevezetés támogatja a szervezeteket: 

  • Biztonságos adatkezelés minden formában, a papíralapú, felhőalapú és digitális adatkezelés során,
  • Növeli a kibertámadásokkal szembeni ellenálló képességet,
  • Olyan központilag kezelt keretrendszert biztosít, amely minden információt egy helyen kezel,
  • Biztosítja az egész szervezetre kiterjedő védelmet, egyarán a technológiai kockázatokat és más fenyegetéseket,
  • Reagál a fejlődő biztonsági fenyegetésekre,
  • Csökkenti a védelmi technológia költségeit és kiadásait, 
  • Védi az adatok integritását, titkosságát és elérhetőségét. 

Az ISO 27001:2022 főbb változásai

Az A. melléklet hivatkozik az ISO/IEC 27002:2022 szabványban szereplő kontrollokra, amely tartalmazza az adott kontroll címét és kontrollt magát, így a 27002 szabvány a 27001 szabványnak a követelményszabványává válik.

Az ISO 27002:2022-ben 93 kontrollt tartalmaz 4 területen, amelyek között 12 teljesen új kontroll, ami a megváltozott technológiai körülmények miatt lett szükséges, így a fenyegetések kezelése, információbiztonság a felhőszolgáltatások használatához, személyazonosság-kezelés, info-kommunikációs felkészültség az üzletmenet folytonosságához, fizikai biztonság felügyelete, felhasználói végponti eszközök, konfigurációkezelés, információtörlés kezelése, adatmaszkolás, adatszivárgás megelőzése, webszűrés, biztonságos kódolás.
Az egyes kontrollok kategorizálását elősegítendő, öt jellemzővel (#hashtag taxonómia) látták el őket, melyek:

–    A kontroll típusa (#megelőző, #felderítő, #javító)
–    Információbiztonsági tulajdonságok (#bizalmasság, #integritás, #rendelkezésre állás)
–    Kiberbiztonsági koncepciók (#azonosítás, #védelem, #észlelés, #reagálás, #helyreállítás) ezáltal a NIST Cybersecurity Framework öt „funkcionalitásával” kerül összhangba (lásd: NIST 800-170)
–    Működési képességek (#irányítás, #IT eszközkezelés, #információvédelem, stb.)
–    Biztonsági domain-ek (#irányítás és ökoszisztéma, #védelem, #ellenálló képesség)

16 kontrollt töröltek:

–    Az információbiztonságra vonatkozó politikák felülvizsgálata
–    Mobileszköz-szabályzat
–    Eszközök tulajdonjoga
–    Eszközök kezelése
–    Jelszókezelési rendszer
–    Kézbesítési és rakodási területek
–    Eszközök eltávolítása
–    Felügyelet nélküli felhasználói berendezések
–    A naplóinformációk védelme
–    A szoftverek telepítésének korlátozása
–    Elektronikus üzenetküldés
–    Az alkalmazásszolgáltatások védelme nyilvános hálózatokon
–    Az alkalmazásszolgáltatások tranzakcióinak védelme
–    Rendszerátvételi tesztek Információbiztonsági hiányosságok jelentése
–    Technikai megfelelőség felülvizsgálata.

FORRÁS