ISO 27002 - nowa odsłona "starej" normy
Większość osób, która jest zainteresowana wdrożeniem i tym samym podnoszeniem bezpieczeństwa informacji w organizacji, z zasady dobrze zna wymagania wskazane przez normę ISO IEC 27001. Jednak nie zawsze przedsiębiorcy w takim samym stopniu znają i mają wiedzę na temat zapisów, dotyczących bezpieczeństwa informacji, zawartych w normie ISO IEC 27002, która stanowi dopełnienie standardu ISO IEC 27001.

System Zarządzania Bezpieczeństwem Informacji w oparciu o ISO IEC 27001
ISO IEC 27001 to chyba najbardziej znany standard ISO znajdujący zastosowanie do zarządzania bezpieczeństwem informacji (ISMS). Określa wymagania, jakie musi spełniać System Zarządzania Bezpieczeństwem Informacji.
Norma ISO/IEC 27001 zapewnia każdej organizacji wytyczne dotyczące tworzenia, wdrażania, utrzymywania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji i stwarza możliwości certyfikacji wdrożonego systemu. Jeśli w twojej organizacji działa system zarządzania bezpieczeństwem informacji, to z dużą pewnością został on oparty o wymagania i mechanizmy kontrolne ISO IEC 27001.
Opublikowana w październiku 2022 r. nowa odsłona normy ISO/IEC 27001:2022 wg jej autorów ma przede wszystkim promować holistyczne podejście do bezpieczeństwa informacji poprzez weryfikację ludzi, zasad i technologii. System zarządzania bezpieczeństwem informacji, wdrożony zgodnie z tą normą ma być narzędziem do zarządzania ryzykiem, cyberbezpieczeństwem i zdolnością operacyjną.

Zgodność z normą ISO/IEC 27001 oznacza, że:
- organizacja wdrożyła system kontroli bezpieczeństwa informacji i zarządza ryzykiem w zakresie bezpieczeństwa informacji;
- stosuje wymagane techniki bezpieczeństwa zapewniające m.in. odpowiednie zabezpieczenia w ochronie prywatności takie jak maskowanie danych, bezpieczeństwo cybernetyczne, zapobieganie wyciekom danych, monitorowanie bezpieczeństwa fizycznego, mechanizmy zapewnienia ciągłości działania w bezpieczeństwie informacji;
- respektuje wszystkie najlepsze praktyki i zasady zawarte w omawianej Normie Międzynarodowej.
Czym jest norma ISO IEC 27002
Norma ISO 27002 z założenia ma być punktem odniesienia w zakresie wdrażania wymagań dotyczących kontroli bezpieczeństwa informacji w systemie zarządzania bezpieczeństwem informacji (ISMS). Kontrole bezpieczeństwa informacji przedstawione w zakresie ISO IEC 27002 korespondują bezpośrednio z wymaganiami information security normy ISO IEC 27001 zawartymi w załączniku A, które powinny zostać wdrożone. Wytyczne związane z ISO 27002 mogą być także narzędziem związanym z doskonaleniem systemu zarządzania bezpieczeństwem informacji w oparciu o zestaw najlepszych praktyk w obszarze bezpieczeństwa informacji niezależnie od tego, czy organizacja opiera stosowany system o wymagania normy ISO IEC 27001.

Filozofia normy ISO IEC 27002 bazuje na przekonaniu, że bezpieczeństwo informacji osiąga się poprzez wdrożenie odpowiedniego zestawu kontroli inaczej określanych jako zabezpieczenia, sprowadzających się do stosowania określonych w nomie standardów, zasad, reguł, procesów, procedur, struktur organizacyjnych oraz funkcji oprogramowania i sprzętu. Aby osiągnąć swoje cele i zagwarantować odpowiednie możliwości operacyjne w zakresie stosowania i wykorzystania kontroli bezpieczeństwa informacji, organizacja powinna zdefiniować, wdrożyć, monitorować, przejrzeć i ulepszyć kontrole wskazane w normie ISO/IEC 27001, w czym pomocne będą dobre praktyki określone w normie ISO IEC 27002. Organizacja winna określić swoje wymagania bezpieczeństwa informacji.
Źródła wymagań bezpieczeństwa informacji

Norma ISO IEC 27002 wskazuje trzy główne źródła wymagań bezpieczeństwa informacji:
a) ocena ryzyka dla organizacji — uwzględniającą strategię i cele organizacji. Ocena ryzyka powinna skutkować wskazaniem reakcji na ryzyko w postaci zabezpieczeń (kontroli) sprowadzających to ryzyko do poziomu akceptowalnego dla organizacji.
b) wymogi prawne, ustawowe, regulacyjne i umowne — oddziałujące na organizację i zainteresowane strony (w tym akcjonariuszy, partnerów, usługodawców) obligujące do stosowania odpowiednich rozwiązań w zakresie bezpieczeństwa informacji.
c) zbiór zasad, celów i wymagań biznesowych — zdefiniowanych przez organizacje na każdym etapie życia informacji w celu wsparcia swojej działalnośc.

Cele stosowania normy ISO 27002
Zaktualizowana Norma ISO IEC 27002 2022 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności — stanowi referencyjny zestaw ogólnych kontroli bezpieczeństwa informacji (zabezpieczeń informacji) wraz z wytycznymi dotyczącymi ich wdrażania. Norma ISO IEC 27002 zawierająca najlepsze praktyki bezpieczeństwa informacji powinna być stosowana: a) w kontekście systemu zarządzania bezpieczeństwem informacji (ISMS) na podstawie ISO 27001; b) do wdrażania zabezpieczeń informacji, niezależnie od wdrożenia jako cel sam w sobie wymagań normy ISO 27001; c) do opracowywania specyficznych dla danej organizacji wytycznych dotyczących zarządzania bezpieczeństwem informacji i przeglądu tego systemu.
Aktualizacja normy ISO IEC 27002

Zmiana tytułu normy
Zaktualizowana norma ISO IEC 27002: 2022 funkcjonująca wcześniej pod nazwą „Technika informatyczna – Techniki bezpieczeństwa – Kodeks postępowania dla kontroli bezpieczeństwa informacji” w obecnym kształcie została zatytułowana jako „Bezpieczeństwo informacji, bezpieczeństwo cybernetyczne i ochrona prywatności – Kontrole bezpieczeństwa informacji”. Nowy tytuł sugeruje od razu, iż większy nacisk niż dotychczas został położony na zagadnienia cyberbezpieczeństwa oraz ochrony prywatności.
Inne zmiany
Poza zmiana tytułu, nowa odsłona normy ISO IEC 27002: 2022 doczekała się także zmiany samej struktury, m.in. pomniejszono i przeorganizowano kategorie kontroli , poszczególne zabezpieczenia zostały przedstawione za pomocą powiązanych atrybutów, niektóre zabezpieczenia - kontrole bezpieczeństwa informacji - zostały połączone, inne zostały usunięte, wprowadzone zostały także nowe zabezpieczenia.
Struktura normy

Zaktualizowana norma opisuje 94 zabezpieczenia zgrupowane w 4 klauzulach:
- klauzula nr 5 - organizacyjne (37 zabezpieczeń)
- klauzula nr 6 - osobowe (8 zabezpieczeń)
- klauzula nr 7 - fizyczne (14 zabezpieczeń)
- klauzula nr 8 - technologiczne (34 zabezpieczenia)
W zaktualizowanym standardzie zrezygnowano z następujących samodzielnych zabezpieczeń:
- Postępowanie z aktywami,
- Wynoszenie aktywów,
- Zgłaszanie słabości związanych z bezpieczeństwem informacji.
ISO IEC 27002 uzupełniono o następujące zabezpieczenia:
- Analiza zagrożeń,
- Bezpieczeństwo informacji przy korzystaniu z usług w chmurze,
- Gotowość teleinformatyczna do zapewnienia ciągłości działania,
- Monitorowanie bezpieczeństwa fizycznego,
- Zarządzanie konfiguracją,
- Usuwanie informacji,
- Maskowanie danych,
- Zapobieganie wyciekom danych,
- Monitorowanie baz danych,
- Filtrowanie sieci,
- Bezpieczne kodowanie.
Atrybuty
W ISO IEC 27002:2022 każde zabezpieczenie jest charakteryzowane pięcioma atrybutami, które umożliwiają szybkie ich klasyfikowanie i przeszukiwanie:
- Typy zabezpieczeń (zapobiegawcze, reaktywne lub korygujące),
- Właściwości bezpieczeństwa informacji (poufność, integralność, dostępność),
- Koncepcje cyberbezpieczeństwa (identyfikacja, ochrona, wykrywanie, reagowanie lub przywracanie),
- Możliwości operacyjne (zarządzanie zasobami, ochrona informacji, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne, bezpieczeństwo systemów i sieci, bezpieczeństwo aplikacji, bezpieczna konfiguracja, zarządzanie tożsamością i dostępem, zarządzanie zagrożeniami i podatnościami, ciągłość, bezpieczeństwo w relacjach z dostawcami, zgodność z prawem, zarządzanie wydarzeniami bezpieczeństwa informacji i zapewnienie bezpieczeństwa informacji.
- Domeny bezpieczeństwa (zarządzanie i ekosystem, ochrona, obrona, odporność)
Pomimo klasyfikowania oraz filtrowania zabezpieczeń atrybuty pozwalają również na szybkie dopasowanie wyboru kontroli do wspólnego języka branżowego i standardów.
Wymiar praktyczny normy ISO IEC 27002 2022
Zapewnienie bezpieczeństwa zasobów informacyjnych nie jest gwarantowane bezwarunkowo. Systemy informatyczne w tym ich zarządzanie i eksploatacja nie zawsze są nominalnie wykalibrowane w taki sposób, by spełniać najwyższe wymagania bezpieczeństwa. Odpowiedni poziom bezpieczeństwa, można osiągnąć m.in innymi poprzez stosowanie rozwiązań i dobrych praktyk wskazanych w normie ISO IEC 27002: 2022. Norma zapewnia, oprócz środków bezpieczeństwa o czysto o technologicznym charakterze także rozwiązania z dziedziny zarządzania i procesów organizacyjnych, które powinny przyczynić się do pełnej odpowiedzi na zidentyfikowane ryzyka czy zagrożenia.
Norma poprzez wskazane zabezpieczenia stara się uruchomiać procesy wsparcia w zakresie SZBI także po stronie personelu organizacji oraz mobilizować do działania zainteresowane strony i ekspertów merytorycznych co ma zapewnić kierownictwu organizacji i innym zainteresowanym stronom, że ich informacje i inne powiązane aktywa są co do zasady bezpieczne i odpowiednio chronione przed zidentyfikowanymi zagrożeniami i negatywnymi skutkami, umożliwiając w ten sposób organizacji osiągnięcie określonych celów biznesowych.
Chociaż sama norma ISO 27002 zawiera wytyczne dotyczące szerokiego zakresu kontroli bezpieczeństwa informacji, wdrażając lub doskonaląc system zarządzania bezpieczeństwem informacji, nie można zapominać o innych normatywach z "rodziny" ISO/IEC 27000, które uzupełniają zawarte w niej zapisy. Istnieją m.in normy sektorowe, które wskazują dodatkowe zabezpieczenia odnoszące się do poszczególnych obszarów w tym np. ISO/IEC 27017 dla usług w chmurze, ISO/IEC 27701 dla prywatności, ISO/IEC 27019 dla energii, ISO/IEC 27011 dla organizacji telekomunikacyjnych i ISO 27799 dla zdrowia.