787 974 136
Norma ISO/IEC 27002 to opublikowany w 2007 roku, międzynarodowy standard dotyczący zarządzania bezpieczeństwem informacji w organizacjach. Stanowi rozwinięcie normy ISO/IEC 27001. Zawiera wytyczne dotyczące mechanizmów kontroli bezpieczeństwa opisanych w ISO/IEC 27001. Szczegółowo wyjaśnia ich cele, zasady działania i sposoby wdrożenia, a także utrzymania (monitorowania, doskonalenia). Bierze przy tym pod uwagę obszary, w których w organizacjach może wystąpić ryzyko bezpieczeństwa informacji.
Wszystkie normy ISO podlegają okresowym przeglądom i są nieustannie modyfikowane tak, by pozostawały adekwatne do dynamicznie zmieniającej się rzeczywistości. Bez wątpienia najbardziej rozwojową jest branża technologii cyfrowych. Tam też obecnie należy spodziewać się największej liczby zagrożeń. Dlatego norma ISO/IEC 27002, której ostatnia aktualizacja miała miejsce blisko dekadę temu (w 2013 roku), wymagała już aktualizacji. Jej zapowiadane od dłuższego czasu nowe wydanie najprawdopodobniej ukaże się w lutym 2022 roku.
Norma ISO/IEC 27002:2022 anuluje i zastępuje wydanie z 2013 roku. Uwzględnia sprostowania techniczne, które wprowadzono w latach 2014 (ISO/IEC 27002:2013/COR 1:2014) i 2015 (ISO/IEC 27002:2013/COR 2:2015). Zmiany w ISO/IEC 27002 mają służyć przede wszystkim uproszczeniu wdrożenia standardu.
W nowej wersji ISO/IEC 27002 zrezygnowano z tytułu „Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania informacji” (Information technology – Security techniques – Code of practice for information security controls) na rzecz „Bezpieczeństwo informacji, bezpieczeństwo cybernetyczne i ochrona prywatności – Środki bezpieczeństwa informacji” (Information security, cybersecurity and privacy protection – Information security controls). Zmiana ta uwzględnia różnicę pomiędzy bezpieczeństwem informacji a bezpieczeństwem cybernetycznym, a także wskazuje na potrzebę ochrony prywatności. Określenie „Praktyczne zasady” usunięto, by tytuł normy lepiej odzwierciedlał fakt, że jest ona referencyjnym zestawem środków bezpieczeństwa, a nie zbiorem zasad, które bezwzględnie należy wdrożyć.
Struktura zaktualizowanej normy ISO/IEC 27002 pozostaje zbieżna ze strukturą innych standardów ISO/IEC. Została ona jednak uproszczona w stosunku do wersji ISO/IEC 27002:2013, aby mogła lepiej spełniać swoją rolę wygodnego w zastosowaniu narzędzia. Wprowadzono uproszczoną nomenklaturę, a opisane środki bezpieczeństwa sklasyfikowano i opisano tak, by nie duplikować informacji zawartych w treści dokumentu. Z tego powodu liczba rekomendowanych środków bezpieczeństwa zmniejszyła się z 114 (opisanych w ISO/IEC 27002:2013) do 93. Nie oznacza to, że 21 usunięto. Część z nich została przeformułowana i skonsolidowana z innymi. Dodano 11 nowych, a zrezygnowano tylko z 1. Nowo opisane środki bezpieczeństwa dotyczą przede wszystkim bezpieczeństwa danych w chmurze i ochrony prywatności.
Dotychczasowych 14 rozdziałów normy ISO/IEC 27002 zastąpiono 4, które dotyczą następujących obszarów:
Wskazanie, które z środków bezpieczeństwa są pomocne w określonych obszarach ryzyka, ułatwia wykorzystanie ISO/IEC 27002:2022 w praktyce. Temu samemu celowi służy przypisanie do poszczególnych środków bezpieczeństwa atrybutów (pojęcie atrybutu także jest w treści normy ISO/IEC 27002 nowością), takich jak:
Rekomendowane mechanizmy działania podzielono na kategorie również w zakresie każdego atrybutu. Taka klasyfikacja pozwala na szybki wybór środków bezpieczeństwa adekwatnych do standardów danej branży. Reasumując, aktualizacja normy ISO/IEC 27002 nie wniesie wielu zmian merytorycznych, ale znacząco zmieni się struktura dokumentu. Ma to dopomóc organizacjom w sprawnym wdrożeniu środków bezpieczeństwa zgodnych z najlepszymi, uznawanymi na całym świecie praktykami.
DJB DORADZTWO
Marcin Chorąży
