Ismeretes, hogy az információbiztonság irányítási rendszerszabványa megváltozott és tetszik, nem tetszik a követelményeknek megfelelés mára elkerülhetetlenné vált.
Korábbi írásainkban a változás több lényeges ismérvét és az IBIR rendszerek átállításának lépéseiről tájékoztatást adtunk.
Röviden:
- Az új szabvány kiadásától (2022. október 25.) maximum 12 hónapig újítható meg (vagy adható ki) a korábbi szabvány szerinti tanúsítvány
- Minden tanúsítvány, amely a korábbi szabványra hivatkozik, az új szabvány kiadásától számított 36 hónap múlva érvényességét veszíti.
- Az „A” melléklet a kockázatszemléletű gondolkodás alapján nem kötelező, hanem csak lehetséges listája a szabályozásnak!
- Korábban: 114 konkrét pont volt.
- Most: 93 lehetséges pont van. Azaz ajánlást ad, de gondolkodni kell (javasolt).
- ÁTÁLLÁS javasolt sorrendje:
- „A” melléklettől kell kezdeni!
- 11 új követelmény
- „A” mellékletből nem alkalmazott követelmények (pl. sw. fejlesztés továbbra sincs, ha nincs)
- Kiterjeszthető szabályzások átgondolása, pl. GDPR-ral kapcsolat létesítése.
- GAP összekapcsolása az alkalmazhatósági nyilatkozattal
- Sok új dokumentum nem kell, sőt inkább gyakorlati feladatok vannak.
- Oktatásokba bele kell építeni, belső auditorokét is frissíteni kell.
https://tqconsulting.hu/ibir_iso_27001_2022-2023_1-resz/
https://tqconsulting.hu/iso-iec-270012022-uj-ibir-szabvany-2-resz/
https://tqconsulting.hu/iso-iec-270012022-uj-ibir-szabvany-3-resz/
https://tqconsulting.hu/iso-iec-270012022-uj-ibir-szabvany-4-resz/
A gondolatmenet folytatásaként jelen cikksorozatban a GAP elemzéshez alkalmazható eszközt mutatunk be és a 11 új követelmény néhány elemének megértéséhez, illetve a megfelelés biztosításához nyújtunk segítséget.
Az alábbi táblázatos GAP elemzés alkalmazható a megfelelés vizsgálatához.
| ISO/IEC 27002:2013 | ISO/IEC 27002:2022 | ||||
| „A” | CÉL | „A” | változás | CÉL | MEGFELELÉS |
| A5.1.1 | Információbiztonsági szabályzások | A5.1 | összevonás | ||
| A5.1.2 | Az információbiztonsági szabályozások felülvizsgálata | ||||
| A6.1.1 | Információbiztonsági szerepek és felelősségek | A5.2 | számváltozás | ||
| A6.1.2. | Feladatkörök szétválasztása | A5.3 | számváltozás | ||
| A6.1.3. | Kapcsolat a hatóságokkal | A5.5 | számváltozás | ||
| A6.1.4. | Kapcsolat különleges érdekcsoportokkal | A5.6 | számváltozás | ||
| A6.1.5. | Információbiztonság a projektirányításban | A5.8 (régi A14.1.1 is) | összevonás | ||
| A6.2.1. | Mobil eszköz szabályzat | A8.1 (régi A11.2.8 is) | összevonás | ||
| A6.2.2. | Távmunka | A6.7 | átnevezés | Remote working; Távmunka | |
| A7.1.1. | Előzetes átvizsgálás | A6.1 | számváltozás | ||
| A7.1.2. | Az alkalmazással kapcsolatos kikötések és feltételek | A6.2 | számváltozás | ||
| A7.2.1. | Vezetői felelősségek | A5.4 | számváltozás | ||
| A7.2.2. | Információbiztonsági tudatosítás, képzés és tréning | A6.3 | számváltozás | ||
| A7.2.3. | Fegyelmi eljárás | A6.4 | számváltozás | ||
| A7.3.1. | A munkaviszonyhoz kapcsolódó felelősségek megszűntetése vagy megváltoztatása | A6.5 | átnevezés | Responsibilities after termination or change of employment; Felelősségek a munkaviszony megszűnése vagy megváltozása után | |
| A8.1.1. | Vagyonleltár | A5.9 | összevonás | ||
| A8.1.2. | A vagyonelemek tulajdonlása | ||||
| A8.1.3. | A vagyonelemek elfogadható használata | A5.10 (régi A8.2.3 is) | összevonás | ||
| A8.1.4. | Vagyonelemek visszaszolgáltatása | A5.11 | számváltozás | ||
| A8.2.1. | Az információk osztályozása | A5.12 | számváltozás | ||
| A8.2.2. | Az információ jelölése | A5.13 | számváltozás | ||
| A8.2.3. | A vagyonelemek kezelése | A5.10 (régi A8.1.3 is) | összevonás | ||
| A8.3.1. | A szállítható információhordozók kezelése | A7.10 (régi A11.2.5 is) | összevonás | ||
| A8.3.2. | Információhordozók megsemmisítése | ||||
| A8.3.3. | Adathordozók szállítása | ||||
| A9.1.1. | A hozzáférés szabályozás szabályzata | A5.15 | összevonás | ||
| A9.1.2. | Hozzáférés a hálózatokhoz és a hálózati szolgáltatásokhoz | ||||
| A9.2.1. | Felhasználók regisztrációja és a regisztráció visszavonása | A5.16 | átnevezett | Identity management, Személyes azonosítók kezelése | |
| A9.2.2. | Felhasználói hozzáférések kiosztása | A5.18 (régi A9.2.5, A9.2.6 is) | összevonás | ||
| A9.2.3. | Hozzáférési előjogok kezelése | A8.2 | átnevezés | Privileged access rights, Kiemelt hozzáférési jogosultságok | |
| A9.2.4. | A felhasználók bizalmas hitelesítési információinak kezelése | A5.17 (régi A9.3.1, A9.4.3 is) | összevonás | ||
| A9.2.5. | Felhasználói hozzáférési jogosultságok felülvizsgálata | A5.18 (régi A9.2.2 is) | összevonás | ||
| A9.2.6. | Hozzáférési jogosultságok megszüntetése vagy módosítása | ||||
| A9.3.1. | A bizalmas azonosságkezelési információk használata | A5.17 (régi A9.2.4, A9.4.3 is) | összevonás | ||
| A9.4.1. | Információhoz való hozzáférés korlátozása | A8.3 | számváltozás | ||
| A9.4.2. | Biztonságos bejelentkezési eljárások | A8.5 | átnevezés | Secure authentication, Biztonságos hitelesítés | |
| A9.4.3. | Jelszókezelő rendszer | A5.17 (régi A9.2.4, A9.3.1 is) | összevonás | ||
| A9.4.4. | Különleges jogosultsággal bíró felhasználói programok | A8.18 | számváltozás | ||
| A9.4.5. | A programok forráskódjához való hozzáférés szabályozása | A8.4 | átnevezés | Access to source code, Hozzáférés a forráskódokhoz | |
| A10.1.1. | Titkosítási eljárások használatára vonatkozó szabályzat | A8.24 | összevonás | ||
| A10.1.2. | Titkosító kulcsok kezelése | ||||
| A11.1.1. | Fizikai biztonsági határzóna | A7.1 | átnevezés | Physical security perimeters, Fizikai biztonsági határok | |
| A11.1.2. | Fizikai belépés felügyelete | A7.2 (régi A11.1.6 is) | összevonás | ||
| A11.1.3. | Irodák, helyiségek és eszközök védelme | A7.3 | számváltozás | ||
| A11.1.4. | Külső és környezeti fenyegetésekkel szembeni védelem | A7.5 | számváltozás | ||
| A11.1.5. | Munkavégzés biztonsági területe | A7.6 | számváltozás | ||
| A11.1.6. | Szállítási és rakodási területek | A7.2 (régi A11.1.2 is) | összevonás | ||
| A11.2.1. | A berendezések elhelyezése és védelme | A7.8 | számváltozás | ||
| A11.2.2. | Közműszolgáltatások | A7.11 | számváltozás | ||
| A11.2.3. | Kábelbiztonság | A7.12 | számváltozás | ||
| A11.2.4. | Berendezések karbantartása | A7.13 | számváltozás | ||
| A11.2.5. | Vagyonelemek eltávolítása | A7.10 (régi A8.3.1, A8.3.2, A8.3.3 is) | összevonás | ||
| A11.2.6. | Berendezések és vagyonelemek biztonsága a telephelyen kívül | A7.9 | átnevezés | Security of assets off-premises, A vagyonelemek biztonsága a telephelyen kívül | |
| A11.2.7. | A berendezések biztonságos selejtezése vagy újra-felhasználása | A7.14 | számváltozás | ||
| A11.2.8. | Felügyelet nélkül hagyott felhasználói berendezések | A8.1 (régi A6.2.1 is) | összevonás | ||
| A11.2.9. | Tiszta asztal és tiszta képernyő politika | A7.7 | átnevezés | Clear desk and clear screen, „Tiszta asztal és tiszta képernyő” | |
| A12.1.1. | Dokumentált üzemeltetési eljárások | A5.37 | számváltozás | ||
| A12.1.2. | Változás-kezelés | A8.32 (régi A14.2.2, A14.2.3, A14.2.4 is) | összevonás | ||
| A12.1.3. | Kapacitáskezelés | A8.6 | számváltozás | ||
| A12.1.4. | A fejlesztési, tesztelési és működési környezet elválasztása | A8.31 (régi 14.2.6 is) | összevonás | ||
| A12.2.1. | Intézkedések a rosszindulatú szoftverek ellen | A8.7 | átnevezés | Protection against malware, Védelem a rosszindulatú szoftverek ellen | |
| A12.3.1. | Információk biztonsági mentése | A8.13 | számváltozás | ||
| A12.4.1. | Események naplózása | A8.15 | összevonás | ||
| A12.4.2. | A naplóbejegyzések védelme | ||||
| A12.4.3. | Rendszergazdai és üzemeltetői napló bejegyzések | ||||
| A12.4.4. | Óra-szinkronizálás | A8.17 | számváltozás | ||
| A12.5.1. | Szoftverek telepítése az üzemeltetési rendszerekre | A8.19 (régi A12.6.2 is) | összevonás | ||
| A12.6.1. | A műszaki sebezhetőségek kezelése | A8.8 (régi A18.2.3 is) | összevonás | ||
| A12.6.2. | Szoftver-telepítési korlátozások | A8.19 (régi A12.5.1 is) | összevonás | ||
| A12.7.1. | Az információs rendszerek felülvizsgálatával kapcsolatos intézkedések | A8.34 | átnevezés | Protection of information systems during audit testing, Az információs rendszerek védelme az auditvizsgálatok alatt | |
| A13.1.1. | Hálózati intézkedések | A8.20 | átnevezés | Networks security, Hálózatok biztonsága | |
| A13.1.2. | A hálózati szolgáltatások biztonsága | A8.21 | számváltozás | ||
| A13.1.3. | Elkülönítés a hálózatokban | A8.22 | átnevezés | Segregation of networks, Hálózatok elkülönítése | |
| A13.2.1. | Információ továbbítási szabályzatok és eljárások | A5.14 | összevonás | ||
| A13.2.2. | Megállapodások az információk továbbítására | ||||
| A13.2.3. | Elektronikus üzenetküldés | ||||
| A13.2.4. | Titkossági vagy bizalmassági megállapodások | A6.6 | számváltozás | ||
| A14.1.1. | Információ-biztonsági követelmények elemzése és meghatározása | A5.8 (régi A6.1.5 is) | összevonás | ||
| A14.1.2. | Nyilvános hálózatokon nyújtott alkalmazás szolgáltatások biztonságának megteremtése | A8.26 | összevonás | ||
| A14.1.3. | Az alkalmazás szolgáltatások tranzakcióinak védelme | ||||
| A14.2.1. | A biztonságos fejlesztés szabályzata | A8.25 | átnevezés | Secure development life cycle, Biztonságos fejlesztési életciklus | |
| A14.2.2. | A rendszer változtatásokkal kapcsolatos kontroll eljárások | A8.32 (régi A12.1.2 is) | összevonás | ||
| A14.2.3. | Az alkalmazások műszaki felülvizsgálata a működési platform változások után | ||||
| A14.2.4. | A szoftvercsomagok változásaival kapcsolatos korlátozások | ||||
| A14.2.5. | A biztonságos rendszer-tervezés alapelvei | A8.27 | átnevezés | Secure system architecture and engineering principles, Biztonságos rendszerarchitektúra és mérnöki alapelvek | |
| A14.2.6. | Biztonságos fejlesztési környezet | A8.31 (régi 12.1.4 is) | összevonás | ||
| A14.2.7. | Kiszervezett fejlesztések | A8.30 | számváltozás | ||
| A14.2.8. | A rendszer biztonsági tesztje | A8.29 | összevonás | ||
| A14.2.9. | A rendszer elfogadási tesztje | ||||
| A14.3.1. | A teszt adatok védelme | A8.33 | átnevezés | Test information, Tesztelési információk | |
| A15.1.1. | A szállítói kapcsolatokra vonatkozó információbiztonsági szabályzat | A5.19 | átnevezés | Information security in supplier relationships, Információbiztonság a szállítói kapcsolatokban | |
| A15.1.2. | A biztonsággal való foglalkozás a szállítói megállapodásokban | A5.20 | átnevezés | Addressing information security within supplier agreements, Információbiztonság kezelése a szállítói megállapodásokban | |
| A15.1.3. | Információs és kommunikációs technológiai szállítói lánc | A5.21 | átnevezés | Managing information security in the ICT supply chain, Az információbiztonság kezelése az információs és kommunikációs technológiai (IKT) szállítói láncba | |
| A15.2.1. | A szállítások felügyelete és felülvizsgálata | A5.22 | összevonás | ||
| A15.2.2. | A változások menedzslése a szállítói szolgáltatások esetében | ||||
| A16.1.1. | Felelősségek és eljárások | A5.24 | átnevezés | Information security incident management planning and preparation, Az információbiztonsági incidenskezelés tervezése és felkészülés | |
| A16.1.2. | Információbiztonsági események jelentése | A6.8 | összevonás | ||
| A16.1.3. | Információbiztonsági gyengeségek jelentése | ||||
| A16.1.4. | Értékelés és döntés az információbiztonsági események felől | A5.25 | átnevezés | Assessment and decision on information security events, Az információbiztonsági események felmérése és döntéshozatal | |
| A16.1.5. | Válaszadás az információbiztonsági incidensekre | A5.26 | számváltozás | ||
| A16.1.6. | Tanulás az információbiztonsági incidensekből | A5.27 | számváltozás | ||
| A16.1.7. | Bizonyítékok gyűjtése | A5.28 | számváltozás | ||
| A17.1.1. | Az információbiztonság folytonosság tervezése | A5.29 | összevonás | ||
| A17.1.2. | Az információbiztonság folytonosságának bevezetése | ||||
| A17.1.3. | Az információbiztonság folytonosságának igazolása, felülvizsgálata és értékelése | ||||
| A17.2.1. | Információ-feldolgozó létesítmények rendelkezésre állása | A8.14 | átnevezés | Redundancy of information processing facilities, Az információfeldolgozó eszközök redundanciája | |
| A18.1.1. | Az alkalmazandó jogszabályi és szerződéses követelmények azonosítása | A5.31 (régi A18.1.5 is) | összevonás | ||
| A18.1.2. | Szellemi tulajdonjogok | A5.32 | számváltozás | ||
| A18.1.3. | A feljegyzések védelme | A5.33 | számváltozás | ||
| A18.1.4. | Titoktartási és a személyekhez köthető adatok védelme | A5.34 | átnevezés | Privacy and protection of PII , A magánélet és a személyes azonosításra alkalmas adatok (PII; Personally Identifiable Information) védelme | |
| A18.1.5. | A titoktartási intézkedések szabályozása | A5.31 (régi A18.1.1 is) | összevonás | ||
| A18.2.1. | Az információbiztonság független felülvizsgálata | A5.35 | számváltozás | ||
| A18.2.2. | Megfelelőség a biztonsági szabályzatoknak és standardoknak | A5.36 | összevonás | ||
| A18.2.3. | A műszaki megfelelőség felülvizsgálata | A8.8 (régi A12.6.1 is) | összevonás | ||
| ÚJ | – | A5.7 | ÚJ | Fenyegetésfelismerő képesség | |
| ÚJ | – | A5.23 | ÚJ | Felhőszolgáltatások használatára vonatkozó információbiztonság | |
| ÚJ | – | A5.30 | ÚJ | IKT-felkészültség az üzletmenetfolytonossághoz | |
| ÚJ | – | A7.4 | ÚJ | A fizikai biztonság figyelemmel kísérése | |
| ÚJ | – | A8.9 | ÚJ | Konfigurációkezelés | |
| ÚJ | – | A8.10 | ÚJ | Információtörlés | |
| ÚJ | – | A8.11 | ÚJ | Adatmaszkolás | |
| ÚJ | – | A8.12 | ÚJ | Az adatszivárgás megelőzése | |
| ÚJ | – | A8.16 | ÚJ | Figyelemmel kísérési tevékenységek | |
| ÚJ | – | A8.23 | ÚJ | Webszűrés | |
| ÚJ | – | A8.28 | ÚJ | Biztonságos kódolás | |
