Az automatizálást támogató üzleti-informatikai szoftverek fejlesztése, a már elavult IT-rendszerek korszerűsítése biztonsági kihívásokkal jár. Az újszerű biztonsági kockázatok csökkentése korszerűbb eszközöket igényel, így időszerű az ISO 27000-es IT-biztonsági szabványcsalád korszerűsítése.
Az ISO 27000-es sorozat a legismertebb IT biztonsági szabványcsalád manapság, amit vállalatok ezrei használnak világszerte. A 27001-es és 27002-es szabvány legutóbbi, 2013-as verzióinak publikálása óta, számos új technológiai trend jelent meg, amelyek időszerűvé teszik a szabványcsalád megújítását is.
A kontrollok közé bekerül a távmunka biztonsága, az adatmaszkolás
A 27001-es szabvány alapvetően két részből áll: az első az Információbiztonsági Irányítási Rendszer(IIR), mint a biztonsági szervezet és vezetői folyamatok összességének a kerete és a hozzá kapcsolódó elvárások együttese.
A második rész fedi le a konkrét IT-biztonsági követelményeket, vagyis a kontrollok kategóriánkénti listáját. A jövő hónaptól frissített ISO 27002 részletesen ismerteti és javaslatot tesz ezen biztonsági kontrollok alkalmazására. Utóbbi 2013-as változata még 114 kontrollt tartalmaz 14 biztonsági témában.
A megújult változatban a 114 kontroll tartalmilag, továbbra is a szabvány részét képezi, de az egymáshoz szorosan kapcsolódó követelményeket összevonták, így a kontrollok száma 93-ra csökken.
A kontrollokat a technológiai területen bekövetkezett trendekhez igazodva további témakörökkel egészítik ki, ilyen például a „ThreatIntelligence”, a felhőbiztonság, a távmunka biztonsága, az adatszivárgás megelőzése, az adatmaszkolás stb.
Ezek a kiegészítések tükrözik az előző években megjelent szabályozói elvárásokat és a pandémia alatt keletkezett biztonsági kihívásokat. Néhány kontroll elem kikerült a szabványból, ilyen például a„Vagyonelemek eltávolítása” (Removal of assets). A jogosultságkezelésben felmerült számos követelményt pedig átdolgoztak, kiegészítettek.
Racionalizálódik a kontroll kategóriák száma
A következő hónapban megjelenő új csoportosítás a kontrollokat az eddigi 14 helyett négy kategóriába sorolja:
• szervezeti kontrollok (OrganisationalControls)
• személyi kontrollok (PeopleControls)
• fizikai kontrollok (PhysicalControls)
• technológiai kontrollok (TechnologicalControls)
„Az új ISO szabvány implementálásához szükségessé válhat a teljes IT-biztonsági irányítási rendszer újragondolása, a szabályzatok és kapcsolódó dokumentumok aktualizálása. Feltételezhetően a 2022-es kiadás módosításai hatással lesznek a szabványcsalád további tagjaira is, ezért az ISO 27001 megújult verziója is valószínűsíthető a közeljövőben. Várhatóan lesz egy rövid átmeneti időszak is, amikor az akkreditáló szervezetek még elfogadják a 2013-as változat által előírt követelményeket a tanúsításhoz” – mondta el Barta Gergő, a Deloitte technológiai tanácsadás üzletágának menedzsere.
