Tárgyalástechnika

Ismeretes, hogy az információbiztonság irányítási rendszerszabványa megváltozott és tetszik, nem tetszik a követelményeknek megfelelés mára elkerülhetetlenné vált.

Korábbi írásainkban a változás több lényeges ismérvét és az IBIR rendszerek átállításának lépéseiről tájékoztatást adtunk.

Röviden:

  • Az új szabvány kiadásától (2022. október 25.) maximum 12 hónapig újítható meg (vagy adható ki) a korábbi szabvány szerinti tanúsítvány
  • Minden tanúsítvány, amely a korábbi szabványra hivatkozik, az új szabvány kiadásától számított 36 hónap múlva érvényességét veszíti.
  • Az „A” melléklet a kockázatszemléletű gondolkodás alapján nem kötelező, hanem csak lehetséges listája a szabályozásnak!
    • Korábban: 114 konkrét pont volt.
    • Most: 93 lehetséges pont van. Azaz ajánlást ad, de gondolkodni kell (javasolt).
  • ÁTÁLLÁS javasolt sorrendje:
    • „A” melléklettől kell kezdeni!
    • 11 új követelmény
    • „A” mellékletből nem alkalmazott követelmények (pl. sw. fejlesztés továbbra sincs, ha nincs)
    • Kiterjeszthető szabályzások átgondolása, pl. GDPR-ral kapcsolat létesítése.
    • GAP összekapcsolása az alkalmazhatósági nyilatkozattal
    • Sok új dokumentum nem kell, sőt inkább gyakorlati feladatok vannak.
    • Oktatásokba bele kell építeni, belső auditorokét is frissíteni kell.

https://tqconsulting.hu/ibir_iso_27001_2022-2023_1-resz/

https://tqconsulting.hu/iso-iec-270012022-uj-ibir-szabvany-2-resz/

https://tqconsulting.hu/iso-iec-270012022-uj-ibir-szabvany-3-resz/

https://tqconsulting.hu/iso-iec-270012022-uj-ibir-szabvany-4-resz/

A gondolatmenet folytatásaként jelen cikksorozatban a GAP elemzéshez alkalmazható eszközt mutatunk be és a 11 új követelmény néhány elemének megértéséhez, illetve a megfelelés biztosításához nyújtunk segítséget.

 

Az alábbi táblázatos GAP elemzés alkalmazható a megfelelés vizsgálatához.

ISO/IEC 27002:2013     ISO/IEC 27002:2022  
"A" CÉL „A” változás CÉL MEGFELELÉS
A5.1.1 Információbiztonsági szabályzások A5.1 összevonás    
A5.1.2 Az információbiztonsági szabályozások felülvizsgálata  
A6.1.1 Információbiztonsági szerepek és felelősségek A5.2 számváltozás    
A6.1.2. Feladatkörök szétválasztása A5.3 számváltozás    
A6.1.3. Kapcsolat a hatóságokkal A5.5 számváltozás    
A6.1.4. Kapcsolat különleges érdekcsoportokkal A5.6 számváltozás    
A6.1.5. Információbiztonság a projektirányításban A5.8 (régi A14.1.1 is) összevonás    
A6.2.1. Mobil eszköz szabályzat A8.1 (régi A11.2.8 is) összevonás    
A6.2.2. Távmunka A6.7 átnevezés Remote working; Távmunka  
A7.1.1. Előzetes átvizsgálás A6.1 számváltozás    
A7.1.2. Az alkalmazással kapcsolatos kikötések és feltételek A6.2 számváltozás    
A7.2.1. Vezetői felelősségek A5.4 számváltozás    
A7.2.2. Információbiztonsági tudatosítás, képzés és tréning A6.3 számváltozás    
A7.2.3. Fegyelmi eljárás A6.4 számváltozás    
A7.3.1. A munkaviszonyhoz kapcsolódó felelősségek megszűntetése vagy megváltoztatása A6.5 átnevezés Responsibilities after termination or change of employment; Felelősségek a munkaviszony megszűnése vagy megváltozása után  
A8.1.1. Vagyonleltár A5.9 összevonás    
A8.1.2. A vagyonelemek tulajdonlása  
A8.1.3. A vagyonelemek elfogadható használata A5.10 (régi A8.2.3 is) összevonás    
A8.1.4. Vagyonelemek visszaszolgáltatása A5.11 számváltozás    
A8.2.1. Az információk osztályozása A5.12 számváltozás    
A8.2.2. Az információ jelölése A5.13 számváltozás    
A8.2.3. A vagyonelemek kezelése A5.10 (régi A8.1.3 is) összevonás    
A8.3.1. A szállítható információhordozók kezelése A7.10 (régi A11.2.5 is) összevonás    
A8.3.2. Információhordozók megsemmisítése  
A8.3.3. Adathordozók szállítása  
A9.1.1. A hozzáférés szabályozás szabályzata A5.15 összevonás    
A9.1.2. Hozzáférés a hálózatokhoz és a hálózati szolgáltatásokhoz  
A9.2.1. Felhasználók regisztrációja és a regisztráció visszavonása A5.16 átnevezett Identity management, Személyes azonosítók kezelése  
A9.2.2. Felhasználói hozzáférések kiosztása A5.18 (régi A9.2.5, A9.2.6 is) összevonás    
A9.2.3. Hozzáférési előjogok kezelése A8.2 átnevezés Privileged access rights, Kiemelt hozzáférési jogosultságok  
A9.2.4. A felhasználók bizalmas hitelesítési információinak kezelése A5.17 (régi A9.3.1, A9.4.3 is) összevonás    
A9.2.5. Felhasználói hozzáférési jogosultságok felülvizsgálata A5.18 (régi A9.2.2 is) összevonás    
A9.2.6. Hozzáférési jogosultságok megszüntetése vagy módosítása  
A9.3.1. A bizalmas azonosságkezelési információk használata A5.17 (régi A9.2.4, A9.4.3 is) összevonás    
A9.4.1. Információhoz való hozzáférés korlátozása A8.3 számváltozás    
A9.4.2. Biztonságos bejelentkezési eljárások A8.5 átnevezés Secure authentication, Biztonságos hitelesítés  
A9.4.3. Jelszókezelő rendszer A5.17 (régi A9.2.4, A9.3.1 is) összevonás    
A9.4.4. Különleges jogosultsággal bíró felhasználói programok A8.18 számváltozás    
A9.4.5. A programok forráskódjához való hozzáférés szabályozása A8.4 átnevezés Access to source code, Hozzáférés a forráskódokhoz  
A10.1.1. Titkosítási eljárások használatára vonatkozó szabályzat A8.24 összevonás    
A10.1.2. Titkosító kulcsok kezelése  
A11.1.1. Fizikai biztonsági határzóna A7.1 átnevezés Physical security perimeters, Fizikai biztonsági határok  
A11.1.2. Fizikai belépés felügyelete A7.2 (régi A11.1.6 is) összevonás    
A11.1.3. Irodák, helyiségek és eszközök védelme A7.3 számváltozás    
A11.1.4. Külső és környezeti fenyegetésekkel szembeni védelem A7.5 számváltozás    
A11.1.5. Munkavégzés biztonsági területe A7.6 számváltozás    
A11.1.6. Szállítási és rakodási területek A7.2 (régi A11.1.2 is) összevonás    
A11.2.1. A berendezések elhelyezése és védelme A7.8 számváltozás    
A11.2.2. Közműszolgáltatások A7.11 számváltozás    
A11.2.3. Kábelbiztonság A7.12 számváltozás    
A11.2.4. Berendezések karbantartása A7.13 számváltozás    
A11.2.5. Vagyonelemek eltávolítása A7.10 (régi A8.3.1, A8.3.2, A8.3.3 is) összevonás    
A11.2.6. Berendezések és vagyonelemek biztonsága a telephelyen kívül A7.9 átnevezés Security of assets off-premises, A vagyonelemek biztonsága a telephelyen kívül  
A11.2.7. A berendezések biztonságos selejtezése vagy újra-felhasználása A7.14 számváltozás    
A11.2.8. Felügyelet nélkül hagyott felhasználói berendezések A8.1 (régi A6.2.1 is) összevonás    
A11.2.9. Tiszta asztal és tiszta képernyő politika A7.7 átnevezés Clear desk and clear screen, „Tiszta asztal és tiszta képernyő”  
A12.1.1. Dokumentált üzemeltetési eljárások A5.37 számváltozás    
A12.1.2. Változás-kezelés A8.32 (régi A14.2.2, A14.2.3, A14.2.4 is) összevonás    
A12.1.3. Kapacitáskezelés A8.6 számváltozás    
A12.1.4. A fejlesztési, tesztelési és működési környezet elválasztása A8.31 (régi 14.2.6 is) összevonás    
A12.2.1. Intézkedések a rosszindulatú szoftverek ellen A8.7 átnevezés Protection against malware, Védelem a rosszindulatú szoftverek ellen  
A12.3.1. Információk biztonsági mentése A8.13 számváltozás    
A12.4.1. Események naplózása A8.15

 

összevonás    
A12.4.2. A naplóbejegyzések védelme  
A12.4.3. Rendszergazdai és üzemeltetői napló bejegyzések  
A12.4.4. Óra-szinkronizálás A8.17 számváltozás    
A12.5.1. Szoftverek telepítése az üzemeltetési rendszerekre A8.19 (régi A12.6.2 is) összevonás    
A12.6.1. A műszaki sebezhetőségek kezelése A8.8 (régi A18.2.3 is) összevonás    
A12.6.2. Szoftver-telepítési korlátozások A8.19 (régi A12.5.1 is) összevonás    
A12.7.1. Az információs rendszerek felülvizsgálatával kapcsolatos intézkedések A8.34 átnevezés Protection of information systems during audit testing, Az információs rendszerek védelme az auditvizsgálatok alatt  
A13.1.1. Hálózati intézkedések A8.20 átnevezés Networks security, Hálózatok biztonsága  
A13.1.2. A hálózati szolgáltatások biztonsága A8.21 számváltozás    
A13.1.3. Elkülönítés a hálózatokban A8.22 átnevezés Segregation of networks, Hálózatok elkülönítése  
A13.2.1. Információ továbbítási szabályzatok és eljárások A5.14 összevonás    
A13.2.2. Megállapodások az információk továbbítására  
A13.2.3. Elektronikus üzenetküldés  
A13.2.4. Titkossági vagy bizalmassági megállapodások A6.6 számváltozás    
A14.1.1. Információ-biztonsági követelmények elemzése és meghatározása A5.8 (régi A6.1.5 is) összevonás    
A14.1.2. Nyilvános hálózatokon nyújtott alkalmazás szolgáltatások biztonságának megteremtése A8.26 összevonás    
A14.1.3. Az alkalmazás szolgáltatások tranzakcióinak védelme  
A14.2.1. A biztonságos fejlesztés szabályzata A8.25 átnevezés Secure development life cycle, Biztonságos fejlesztési életciklus  
A14.2.2. A rendszer változtatásokkal kapcsolatos kontroll eljárások A8.32 (régi A12.1.2 is) összevonás    
A14.2.3. Az alkalmazások műszaki felülvizsgálata a működési platform változások után  
A14.2.4. A szoftvercsomagok változásaival kapcsolatos korlátozások  
A14.2.5. A biztonságos rendszer-tervezés alapelvei A8.27 átnevezés Secure system architecture and engineering principles, Biztonságos rendszerarchitektúra és mérnöki alapelvek  
A14.2.6. Biztonságos fejlesztési környezet A8.31 (régi 12.1.4 is) összevonás    
A14.2.7. Kiszervezett fejlesztések A8.30 számváltozás    
A14.2.8. A rendszer biztonsági tesztje A8.29 összevonás    
A14.2.9. A rendszer elfogadási tesztje  
A14.3.1. A teszt adatok védelme A8.33 átnevezés Test information, Tesztelési információk  
A15.1.1. A szállítói kapcsolatokra vonatkozó információbiztonsági szabályzat A5.19 átnevezés Information security in supplier relationships, Információbiztonság a szállítói kapcsolatokban  
A15.1.2. A biztonsággal való foglalkozás a szállítói megállapodásokban A5.20 átnevezés Addressing information security within supplier agreements, Információbiztonság kezelése a szállítói megállapodásokban  
A15.1.3. Információs és kommunikációs technológiai szállítói lánc A5.21 átnevezés Managing information security in the ICT supply chain, Az információbiztonság kezelése az információs és kommunikációs technológiai (IKT) szállítói láncba  
A15.2.1. A szállítások felügyelete és felülvizsgálata A5.22 összevonás    
A15.2.2. A változások menedzslése a szállítói szolgáltatások esetében  
A16.1.1. Felelősségek és eljárások A5.24 átnevezés Information security incident management planning and preparation, Az információbiztonsági incidenskezelés tervezése és felkészülés  
A16.1.2. Információbiztonsági események jelentése A6.8 összevonás    
A16.1.3. Információbiztonsági gyengeségek jelentése  
A16.1.4. Értékelés és döntés az információbiztonsági események felől A5.25 átnevezés Assessment and decision on information security events, Az információbiztonsági események felmérése és döntéshozatal  
A16.1.5. Válaszadás az információbiztonsági incidensekre A5.26 számváltozás    
A16.1.6. Tanulás az információbiztonsági incidensekből A5.27 számváltozás    
A16.1.7. Bizonyítékok gyűjtése A5.28 számváltozás    
A17.1.1. Az információbiztonság folytonosság tervezése A5.29 összevonás    
A17.1.2. Az információbiztonság folytonosságának bevezetése  
A17.1.3. Az információbiztonság folytonosságának igazolása, felülvizsgálata és értékelése  
A17.2.1. Információ-feldolgozó létesítmények rendelkezésre állása A8.14 átnevezés Redundancy of information processing facilities, Az információfeldolgozó eszközök redundanciája  
A18.1.1. Az alkalmazandó jogszabályi és szerződéses követelmények azonosítása A5.31 (régi A18.1.5 is) összevonás    
A18.1.2. Szellemi tulajdonjogok A5.32 számváltozás    
A18.1.3. A feljegyzések védelme A5.33 számváltozás    
A18.1.4. Titoktartási és a személyekhez köthető adatok védelme A5.34 átnevezés Privacy and protection of PII     , A magánélet és a személyes azonosításra alkalmas adatok (PII; Personally Identifiable Information) védelme  
A18.1.5. A titoktartási intézkedések szabályozása A5.31 (régi A18.1.1 is) összevonás    
A18.2.1. Az információbiztonság független felülvizsgálata A5.35 számváltozás    
A18.2.2. Megfelelőség a biztonsági szabályzatoknak és standardoknak A5.36

 

összevonás

 

   
A18.2.3. A műszaki megfelelőség felülvizsgálata A8.8 (régi A12.6.1 is) összevonás    
ÚJ - A5.7 ÚJ Fenyegetésfelismerő képesség  
ÚJ - A5.23 ÚJ Felhőszolgáltatások használatára vonatkozó információbiztonság  
ÚJ - A5.30 ÚJ IKT-felkészültség az üzletmenetfolytonossághoz  
ÚJ - A7.4 ÚJ A fizikai biztonság figyelemmel kísérése  
ÚJ - A8.9 ÚJ Konfigurációkezelés  
ÚJ - A8.10 ÚJ Információtörlés  
ÚJ - A8.11 ÚJ Adatmaszkolás  
ÚJ - A8.12 ÚJ Az adatszivárgás megelőzése  
ÚJ - A8.16 ÚJ Figyelemmel kísérési tevékenységek  
ÚJ - A8.23 ÚJ Webszűrés  
ÚJ - A8.28 ÚJ Biztonságos kódolás  

 

 

Ossza meg ezt a bejegyzést közösségi oldalán!

Kedves Érdeklődő!

 

Mielőtt elhagyná oldalunkat, és szerezzen naprakész tudást a szakértőink által összeállított cikkekből, tanulmányokból, letölthető anyagokból! A feliratkozás ingyenes ugyan, de megszerezhető tudás felbecsülhetetlen!

Nincs más teendője, mint hogy , kitölti az űrlapot (csak 1 perc az egész) és várja a hamarosan megérkező első levelet.