LexDigital

ISO 27002 - nowa odsłona "starej" normy

Większość osób, która jest zainteresowana wdrożeniem i tym samym podnoszeniem bezpieczeństwa informacji w organizacji, z zasady dobrze zna wymagania wskazane przez normę ISO IEC 27001. Jednak nie zawsze przedsiębiorcy w takim samym stopniu znają i mają wiedzę na temat zapisów, dotyczących bezpieczeństwa informacji, zawartych w normie ISO IEC 27002, która stanowi dopełnienie standardu ISO IEC 27001.

ISO 27002 - nowa odsłona

System Zarządzania Bezpieczeństwem Informacji w oparciu o ISO IEC 27001

ISO IEC 27001 to chyba najbardziej znany standard ISO znajdujący zastosowanie do zarządzania bezpieczeństwem informacji (ISMS). Określa wymagania, jakie musi spełniać System Zarządzania Bezpieczeństwem Informacji.

Norma ISO/IEC 27001 zapewnia każdej organizacji wytyczne dotyczące tworzenia, wdrażania, utrzymywania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji i stwarza możliwości certyfikacji wdrożonego systemu. Jeśli w twojej organizacji działa system zarządzania bezpieczeństwem informacji, to z dużą pewnością został on oparty o wymagania i mechanizmy kontrolne ISO IEC 27001.

Opublikowana w październiku 2022 r. nowa odsłona normy ISO/IEC 27001:2022 wg jej autorów ma przede wszystkim promować holistyczne podejście do bezpieczeństwa informacji poprzez weryfikację ludzi, zasad i technologii. System zarządzania bezpieczeństwem informacji, wdrożony zgodnie z tą normą ma być narzędziem do zarządzania ryzykiem, cyberbezpieczeństwem i zdolnością operacyjną.

iso, standard, symbol


Zgodność z normą ISO/IEC 27001 oznacza, że:

  • organizacja wdrożyła system kontroli bezpieczeństwa informacji i zarządza ryzykiem w zakresie bezpieczeństwa informacji;
  • stosuje wymagane techniki bezpieczeństwa zapewniające m.in. odpowiednie zabezpieczenia w ochronie prywatności takie jak maskowanie danych, bezpieczeństwo cybernetyczne, zapobieganie wyciekom danych, monitorowanie bezpieczeństwa fizycznego, mechanizmy zapewnienia ciągłości działania w bezpieczeństwie informacji;
  • respektuje wszystkie najlepsze praktyki i zasady zawarte w omawianej Normie Międzynarodowej.

Czym jest norma ISO IEC 27002

Norma ISO 27002 z założenia ma być punktem odniesienia w zakresie wdrażania wymagań dotyczących kontroli bezpieczeństwa informacji w systemie zarządzania bezpieczeństwem informacji (ISMS). Kontrole bezpieczeństwa informacji przedstawione w zakresie ISO IEC 27002 korespondują bezpośrednio z wymaganiami information security normy ISO IEC 27001 zawartymi w załączniku A, które powinny zostać wdrożone. Wytyczne związane z ISO 27002 mogą być także narzędziem związanym z doskonaleniem systemu zarządzania bezpieczeństwem informacji w oparciu o zestaw najlepszych praktyk w obszarze bezpieczeństwa informacji niezależnie od tego, czy organizacja opiera stosowany system o wymagania normy ISO IEC 27001.

hacking, cyber, hacker

Filozofia normy ISO IEC 27002 bazuje na przekonaniu, że bezpieczeństwo informacji osiąga się poprzez wdrożenie odpowiedniego zestawu kontroli inaczej określanych jako zabezpieczenia, sprowadzających się do stosowania określonych w nomie standardów, zasad, reguł, procesów, procedur, struktur organizacyjnych oraz funkcji oprogramowania i sprzętu. Aby osiągnąć swoje cele i zagwarantować odpowiednie możliwości operacyjne w zakresie stosowania i wykorzystania kontroli bezpieczeństwa informacji, organizacja powinna zdefiniować, wdrożyć, monitorować, przejrzeć i ulepszyć kontrole wskazane w normie ISO/IEC 27001, w czym pomocne będą dobre praktyki określone w normie ISO IEC 27002. Organizacja winna określić swoje wymagania bezpieczeństwa informacji.

Źródła wymagań bezpieczeństwa informacji

idea, empty, paper

Norma ISO IEC 27002 wskazuje trzy główne źródła wymagań bezpieczeństwa informacji:

a) ocena ryzyka dla organizacji — uwzględniającą strategię i cele organizacji. Ocena ryzyka powinna skutkować wskazaniem reakcji na ryzyko w postaci zabezpieczeń (kontroli) sprowadzających to ryzyko do poziomu akceptowalnego dla organizacji.

b) wymogi prawne, ustawowe, regulacyjne i umowne — oddziałujące na organizację i zainteresowane strony (w tym akcjonariuszy, partnerów, usługodawców) obligujące do stosowania odpowiednich rozwiązań w zakresie bezpieczeństwa informacji.

c) zbiór zasad, celów i wymagań biznesowych — zdefiniowanych przez organizacje na każdym etapie życia informacji w celu wsparcia swojej działalnośc.

analytics, information, innovation

Cele stosowania normy ISO 27002

Zaktualizowana Norma ISO IEC 27002 2022 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności — stanowi referencyjny zestaw ogólnych kontroli bezpieczeństwa informacji (zabezpieczeń informacji) wraz z wytycznymi dotyczącymi ich wdrażania. Norma ISO IEC 27002 zawierająca najlepsze praktyki bezpieczeństwa informacji powinna być stosowana: a) w kontekście systemu zarządzania bezpieczeństwem informacji (ISMS) na podstawie ISO 27001; b) do wdrażania zabezpieczeń informacji, niezależnie od wdrożenia jako cel sam w sobie wymagań normy ISO 27001; c) do opracowywania specyficznych dla danej organizacji wytycznych dotyczących zarządzania bezpieczeństwem informacji i przeglądu tego systemu.

Aktualizacja normy ISO IEC 27002

security, security concept, eyes

Zmiana tytułu normy

Zaktualizowana norma ISO IEC 27002: 2022 funkcjonująca wcześniej pod nazwą „Technika informatyczna – Techniki bezpieczeństwa – Kodeks postępowania dla kontroli bezpieczeństwa informacji” w obecnym kształcie została zatytułowana jako „Bezpieczeństwo informacji, bezpieczeństwo cybernetyczne i ochrona prywatności – Kontrole bezpieczeństwa informacji”. Nowy tytuł sugeruje od razu, iż większy nacisk niż dotychczas został położony na zagadnienia cyberbezpieczeństwa oraz ochrony prywatności.

Inne zmiany

Poza zmiana tytułu, nowa odsłona normy ISO IEC 27002: 2022 doczekała się także zmiany samej struktury, m.in. pomniejszono i przeorganizowano kategorie kontroli , poszczególne zabezpieczenia zostały przedstawione za pomocą powiązanych atrybutów, niektóre zabezpieczenia - kontrole bezpieczeństwa informacji - zostały połączone, inne zostały usunięte, wprowadzone zostały także nowe zabezpieczenia.

Struktura normy

chain, security, metal


Zaktualizowana norma opisuje 94 zabezpieczenia zgrupowane w 4 klauzulach:
  • klauzula nr 5 - organizacyjne (37 zabezpieczeń)
  • klauzula nr 6 - osobowe (8 zabezpieczeń)
  • klauzula nr 7 - fizyczne (14 zabezpieczeń)
  • klauzula nr 8 - technologiczne (34 zabezpieczenia)
W zaktualizowanym standardzie zrezygnowano z następujących samodzielnych zabezpieczeń:
  • Postępowanie z aktywami,
  • Wynoszenie aktywów,
  • Zgłaszanie słabości związanych z bezpieczeństwem informacji.
ISO IEC 27002 uzupełniono o następujące zabezpieczenia:
  • Analiza zagrożeń,
  • Bezpieczeństwo informacji przy korzystaniu z usług w chmurze,
  • Gotowość teleinformatyczna do zapewnienia ciągłości działania,
  • Monitorowanie bezpieczeństwa fizycznego,
  • Zarządzanie konfiguracją,
  • Usuwanie informacji,
  • Maskowanie danych,
  • Zapobieganie wyciekom danych,
  • Monitorowanie baz danych,
  • Filtrowanie sieci,
  • Bezpieczne kodowanie.

Atrybuty

W ISO IEC 27002:2022 każde zabezpieczenie jest charakteryzowane pięcioma atrybutami, które umożliwiają szybkie ich klasyfikowanie i przeszukiwanie:

  1. Typy zabezpieczeń (zapobiegawcze, reaktywne lub korygujące),
  2. Właściwości bezpieczeństwa informacji (poufność, integralność, dostępność),
  3. Koncepcje cyberbezpieczeństwa (identyfikacja, ochrona, wykrywanie, reagowanie lub przywracanie),
  4. Możliwości operacyjne (zarządzanie zasobami, ochrona informacji, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne, bezpieczeństwo systemów i sieci, bezpieczeństwo aplikacji, bezpieczna konfiguracja, zarządzanie tożsamością i dostępem, zarządzanie zagrożeniami i podatnościami, ciągłość, bezpieczeństwo w relacjach z dostawcami, zgodność z prawem, zarządzanie wydarzeniami bezpieczeństwa informacji i zapewnienie bezpieczeństwa informacji.
  5. Domeny bezpieczeństwa (zarządzanie i ekosystem, ochrona, obrona, odporność)

Pomimo klasyfikowania oraz filtrowania zabezpieczeń atrybuty pozwalają również na szybkie dopasowanie wyboru kontroli do wspólnego języka branżowego i standardów.

Wymiar praktyczny normy ISO IEC 27002 2022

Zapewnienie bezpieczeństwa zasobów informacyjnych nie jest gwarantowane bezwarunkowo. Systemy informatyczne w tym ich zarządzanie i eksploatacja nie zawsze są nominalnie wykalibrowane w taki sposób, by spełniać najwyższe wymagania bezpieczeństwa. Odpowiedni poziom bezpieczeństwa, można osiągnąć m.in innymi poprzez stosowanie rozwiązań i dobrych praktyk wskazanych w normie ISO IEC 27002: 2022. Norma zapewnia, oprócz środków bezpieczeństwa o czysto o technologicznym charakterze także rozwiązania z dziedziny zarządzania i procesów organizacyjnych, które powinny przyczynić się do pełnej odpowiedzi na zidentyfikowane ryzyka czy zagrożenia.

Norma poprzez wskazane zabezpieczenia stara się uruchomiać procesy wsparcia w zakresie SZBI także po stronie personelu organizacji oraz mobilizować do działania zainteresowane strony i ekspertów merytorycznych co ma zapewnić kierownictwu organizacji i innym zainteresowanym stronom, że ich informacje i inne powiązane aktywa są co do zasady bezpieczne i odpowiednio chronione przed zidentyfikowanymi zagrożeniami i negatywnymi skutkami, umożliwiając w ten sposób organizacji osiągnięcie określonych celów biznesowych.

Chociaż sama norma ISO 27002 zawiera wytyczne dotyczące szerokiego zakresu kontroli bezpieczeństwa informacji, wdrażając lub doskonaląc system zarządzania bezpieczeństwem informacji, nie można zapominać o innych normatywach z "rodziny" ISO/IEC 27000, które uzupełniają zawarte w niej zapisy. Istnieją m.in normy sektorowe, które wskazują dodatkowe zabezpieczenia odnoszące się do poszczególnych obszarów w tym np. ISO/IEC 27017 dla usług w chmurze, ISO/IEC 27701 dla prywatności, ISO/IEC 27019 dla energii, ISO/IEC 27011 dla organizacji telekomunikacyjnych i ISO 27799 dla zdrowia.

Polecane

Systemowe Zarządzanie bezpieczeństwem systemów sztucznej inteligencji

Systemowe Zarządzanie bezpieczeństwem systemów sztucznej inteligencji

Sztuczna inteligencja (AI) coraz częściej stanowi ważny czynnik wspierania procesów biznesowych organizacji. Jest wykorzystywana na masową skalę i nie jest już zarezerwowana jakiemuś szczególnemu sektorowi działalności. Opracowywane prognozy plasują AI jako jeden z głównych czynników, który ma napędzać gospodarki przyszłości.

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk