Ing. Lenka Gondová, CISA, CGEIT, CRISC
konateľ Pro Excellence s.r.o. Poradenstvo a audity v oblasti IT, Analýzy a optimalizácia procesov Bezpečnostné projekty Implementácie systémov podľa ISO/IEC 9001, ISO/IEC 20000-1 a ISO/IEC 27001 Člen rady ISACA Slovensko Člen TK 37 a TK 22
Prehľad požiadaviek normy ISO/IEC 27001:2013 s dôrazom na zmeny oproti ISO/IEC 27001:2005 Norma vyšla k 1.10.2013 Prechodné obdobie do októbra 2015 Zmeny v číslovaní (staré číslovanie ISO 27001:2005), nové kapitoly a požiadavky
4.1 Porozumenie organizácie a súvislostí v nej: Organizácia musí určiť vnútorné a vonkajšie súvislosti, ktoré sú zmysluplné pre jej ciele a ktoré ovplyvňujú jej schopnosť dosiahnuť zamýšľaný výstup zo systému riadenia informačnej bezpečnosti. 4.2 Porozumenie potrieb a očakávaní zainteresovaných strán: Organizácia musí určiť zainteresované strany, ktorých sa týka systém riadenia informačnej bezpečnosti; požiadavky týchto zainteresovaných strán, ktoré súvisia s informačnou bezpečnosťou. 4.3 Určenie rozsahu systému riadenia informačnej bezpečnosti (kap.4.2.1) Pri určovaní rozsahu musí organizácia brať do úvahy: vonkajšie a vnútorné súvislosti, o ktorých sa zmieňuje čl. 4.1; požiadavky, o ktorých sa zmieňuje čl. 4.2 (zainteresované strany); rozhrania a závislosti medzi aktivitami vykonávanými organizáciou a aktivitami, ktoré vykonávajú iné organizácie.
Vrcholový manažment musí názorne preukázať vedúce postavenie a prijať záväzok týkajúci sa schválenia systému riadenia informačnej bezpečnosti, a to: prijatím politiky informačnej bezpečnosti (bolo v 4.2.1) a stanovením cieľov informačnej bezpečnosti, ktoré sú v súlade so strategickým smerovaním organizácie (4.2.1.); zaistením integrácie požiadaviek systému riadenia informačnej bezpečnosti do procesov v organizácii; zaručením, že zdroje potrebné pre systém riadenia informačnej bezpečnosti sú a budú dostupné (4.2.2 a 5.2.1.); informovaním o dôležitosti efektívneho riadenia informačnej bezpečnosti a o požiadavkách na súlad s požiadavkami systému riadenia informačnej bezpečnosti; zaistením, že systém riadenia informačnej bezpečnosti dosahuje zamýšľaný výsledok (zamýšľané výsledky); riadením a podporou osôb zabezpečujúcich efektivitu systému riadenia informačnej bezpečnosti; zabezpečením kontinuálneho zlepšovania; podporou iných riadiacich rolí, aby sa preukázala ich vedúca úloha, ktorá bola zavedená pre oblasť ich zodpovednosti.
6.1 Aktivity na určenie rizík a možností (kap.4.2.1) Organizácia musí plánovať aktivity, ktoré určujú riziká a príležitosti; ako integrovať a zaviesť aktivity do vlastných procesov systému riadenia informačnej bezpečnosti; vyhodnocovať efektívnosť týchto aktivít. 6.1.2 Posúdenie rizík informačnej bezpečnosti Okrem pôvodných požiadaviek na vyhodnotenie rizík prioritizuje analyzované riziká na ošetrenie rizík. 6.1.3 Ošetrenie rizík informačnej bezpečnosti Okrem pôvodných požiadaviek na ošetrenie rizík doplnená povinnosť získať súhlas vlastníkov rizík Doplnené naviazanie ošetrenia rizík na prílohu A 6.2 Ciele informačnej bezpečnosti a plánovanie ich dosiahnutia (4.2.1g) Pri plánovaní, ako dosiahnuť ciele informačnej bezpečnosti, organizácia musí určiť, čo sa urobí; aké zdroje sa budú požadovať; kto bude zodpovedný; kedy to bude hotové; ako sa výsledok vyhodnotí.
7.4.Komunikácia:Organizácia musí určiť potreby pre vnútrofiremnú a externú komunikáciu v súlade so systémom riadenia informačnej bezpečnosti vrátane, o čom sa bude komunikovať; kedy sa bude komunikovať; s kým sa bude komunikovať; kto bude komunikovať; procesu, ktorým sa komunikácia uskutoční. 7.5. Dokumentované informácie 8.1 Plánovanie a riadenie prevádzky Organizácia musí plánovať, zaviesť a riadiť procesy, ktoré sú potrebné na splnenie požiadaviek informačnej bezpečnosti, a vykonať aktivity určené v čl. 6.1. Organizácia musí zaviesť aj plány na dosiahnutie cieľov informačnej bezpečnosti, ktoré boli určené v čl. 6.2. Organizácia musí udržiavať dokumentované informácie v potrebnom rozsahu, aby sa uistila, že procesy sa vykonávajú tak, ako sa plánovalo. Organizácia musí riadiť plánované zmeny (A 10, A 12) a preskúmavať následky neplánovaných zmien, vykonať činnosti na zníženie nepriaznivých efektov, ak je to potrebné. Organizácia musí dokladovať, že proces riadenia externých dodávateľov je vytvorený a riadený.
9.1 Monitorovanie, meranie, analýza a hodnotenie Organizácia musí vyhodnocovať výkonnosť informačnej bezpečnosti. informačnej bezpečnosti a efektívnosť systému riadenia Organizácia musí určiť, čo treba monitorovať a merať vrátane procesov a opatrení informačnej bezpečnosti; metódy na monitorovanie, meranie, analýzu a vyhodnotenie, ak je to vykonateľné, aby sa zabezpečili platné výsledky; kedy sa musí monitorovanie a meranie vykonať; kto musí monitorovať a merať; kedy sa musia výsledky z monitorovania a merania analyzovať a vyhodnotiť; kto musí analyzovať a vyhodnocovať výsledky. 9.3 Preskúmanie manažmentom Okrem pôvodných požiadaviek: Preskúmavanie manažmentom sa musí zaoberať stavom činností od posledného preskúmania manažmentom; zmenami vo vnútornom a vonkajšom prostredí, ktoré ovplyvňujú systém riadenia informačnej bezpečnosti; spätnou väzbou na vykonávanie informačnej bezpečnosti vrátane trendov v nesúlade a nápravných činnostiach; vo výsledkoch monitorovania a merania; vo výsledkoch auditov; v splnení cieľov informačnej bezpečnosti;
10.1 Nesúlad a nápravné činnosti Ak sa objaví nesúlad, organizácia musí reagovať na nesúlad, a primerane, prijať nápravné opatrenia; vysporiadať sa s následkami; vyhodnotiť potrebu činností na odstránenie prípadu nesúladu, aby znovu nenastal alebo aby sa neobjavil inde pri preskúmaní nesúladu; zisťovaní príčin nesúladu; zisťovaní, či podobný nesúlad existuje alebo sa môže vyskytnúť; vykonať každú potrebnú činnosť; preskúmať efektivitu každej nápravnej činnosti, ktorá sa vykonala; vykonať zmeny v systéme riadenia informačnej bezpečnosti, ak je to potrebné. Nápravné činnosti musia byť primerané k efektu, ktorý nesúlad spôsobil. Organizácia musí udržiavať dokumentované informácie ako dôkaz povahy nesúladu a všetkých následných činností, ktoré sa vykonali; výsledkov všetkých nápravných činností, ktoré sa vykonali.
Zásadné zmeny v číslovaní, spresnené a do praxe zmysluplnejšie formulované Doplnené nové požiadavky A.6.1.5 Informačná bezpečnosť v projektovom riadení Opatrenie: Informačná bezpečnosť by mala byť prepojená aj riadením projektov v závislosti od typu projektu. A.12.6.2 Obmedzenia pri inštalácii softvéru Opatrenie: Na strategické riadenie inštalácie softvéru používateľmi by mali byť vytvorené a zavedené pravidlá. A.14.2.1 Politika bezpečného vývoja Opatrenie: Pravidlá na vývoj softvéru a systémov by mali byť vytvorené a zavedené do procesu vývoja v rámci organizácie. A.14.2.5 Princípy bezpečného vývoja systému Opatrenie: Mali by sa vytvoriť, dokumentovať, udržiavať a zaviesť princípy bezpečného vývoja systémov pre všetky činnosti spojené so zavedením informačných systémov. A.14.2.6 Prostredie na bezpečný vývoj Opatrenie: Organizácie by mali vytvoriť a primerane chrániť vývojové prostredie na vývoj systémov a ich integráciu s úsilím, ktoré pokryje celý životný cyklus vývoja. A.14.2.7 Vývoj externými zdrojmi Opatrenie: Vývoj softvéru prostredníctvom externých zdrojov by mal byť pod dohľadom organizácie a mali by sa monitorovať aktivity vývoja systému externými zdrojmi. A.14.2.8 Bezpečnostné testovanie systémov Opatrenie: Testovanie bezpečnostných funkcií by sa malo vykonávať počas vývoja.
Pokračovanie: nové požiadavky A.15.1.1 Politika informačnej bezpečnosti na vzťahy s dodávateľmi Opatrenie: Požiadavky informačnej bezpečnosti na zníženie rizík spojených s dodávateľskými prístupmi do aktív organizácie by mali byť odsúhlasené s dodávateľmi a formálne zdokumentované. A.15.1.3 Dodávateľské reťazce informačných a komunikačných technológií Opatrenie: Zmluvy s dodávateľmi by mali obsahovať požiadavky týkajúce sa rizík informačnej bezpečnosti spojených s informačnými a komunikačnými službami a produktmi dodávateľského reťazca. A.16.1.4 Posúdenie udalostí informačnej bezpečnosti a rozhodnutia o nich Opatrenie: Udalosti informačnej bezpečnosti by mali byť posúdené a malo by sa rozhodnúť, či budú klasifikované ako incidenty informačnej bezpečnosti. A.16.1.5 Odpoveď na incidenty informačnej bezpečnosti Opatrenie: Na incidenty informačnej bezpečnosti by sa malo odpovedať v súlade s dokumentovanými postupmi. A.17.2.1 Redundancia - Dostupnosť zariadení na spracúvanie informácií Opatrenie: Zariadenia na spracúvanie informácií by mali byť zriadené s dostatočnou redundanciou, aby sa dosiahli požiadavky na dostupnosť.
Otázky, diskusia