Információbiztonság irányítási rendszer (IBIR)
„A” mellékelt változásai (alkalmazhatósági nyilatkozathoz)
„A” mellékeltben történt az igazi változás (vs. ISO/IEC 27002, mint forrás)
A 14 cél (objective) ki lett véve és 4 területet (témát) alkottak.
- szervezeti szabályozások: 37 kontroll
- személyi szabályozások (elsősorban munkavállalók és munkavégzéshez köthető személyek): 8 kontroll
- fizikai (hozzáférés) szab.: 14 kontroll
- technológiai (IT) szab.: 34 kontroll
Az első két csoport és a második kettő összege kb. egyensúlyban van.
A 114 intézkedésből 93 lett, ebből 11 új! (szivárgás, maszkolás…GDPR fogalmak átültetése)
Új kontrollok:
5.7 Threat intelligence
5.23 Information security for use of cloud services
5.30 ICT readiness for business continuity
7.4 Physical security monitoring
8.9 Configuration management
8.10 Information deletion
8.11 Data masking
8.12 Data leakage prevention
8.16 Monitoring activities
8.23 Web filtering
8.28 Secure coding
Nem szűnt meg a korábbiakból semmi, csak összevonásra kerültek (sok).
1 követelmény szétbontásra került.
Változások (új kontrollok), példák:
5.6 Threat intelligence (Új):
A cél az ISO/IEC 27002-ből ered: a szervezet számára releváns fenyegetéseket ismerjük és legyen felkészült a szervezet a beavatkozásra (pl. hackerek a bankokat támadják, ezt tudjuk àlegyünk készek a megelőzésre)
… gyártók ismert gyengeségei, adatbázisok gyengeségei, mint frissülés-követendő feladat.
5.23 Information security for use of cloud services (Új):
„Processes for acquisition, use, management and exit from cloud services should be established in accordance with the organization’s information security requirements.”
…. csak file-ok letöltése vagy azok kapcsolatának elemzése és megtartása is a feladat? …pl. MS Azure üzleti intelligencia kiváltása más rendszerrel.
8.10. Információtörlés (új) GDPR-hez kapcsolódó a személyes adatok kezelésének időintervalluma miatt, aminek jogi vagy egyéb jogalapja van.
8.11 Adat maszkolás (új) GDPR-hoz kapcsolódás. Vannak olyan folyamatok, ahol foglalkozni kell a ki, mit láthat kérdésekkel? Személyes adatokat kiemeli, de nem csak ezzel kapcsolatos a feladat. (Általános üzletmenetben nem sok ilyen adatterület van a személyeseken kívül.)
8.16 (új) tevékenység monitorozás: real time logelemzés vagy működő monitoringrendszer
(pl.: security realtime analitikai cégek szolgáltatása, Windows drive költségesebb előfizetése)
(A felhasználó viselkedésének monitorozása: profilelemzés a GDPR-ban!)