A biztonság nem véletlenCIS Hungária Kft.
KapcsolatSzolgáltatások
+36 1 951 9744
tamas.jokay@cis-cert.com
Security ✓   Privacy ✓   Continuity ✓

Milyen változásokat hoz a felülvizsgált információbiztonsági szabvány?

Majdnem tíz év elteltével a nemzetközileg elismert vezető információbiztonsági szabványt - ISO/IEC 27001 - felülvizsgálták, és 2022 októberében újra kiadták "ISO/IEC 27001:2022" néven. Az információbiztonságra szakosodott, akkreditált tanúsító szervezet, a CIS - Certification & Information Security Services GmbH ügyvezető igazgatója, Klaus Veselko tisztázza, mik az újdonságok, és milyen határidőket kell betartani.

Az ISO/IEC 27001 az információbiztonság legfontosabb nemzetközi szabványa. Támogatja a szervezeteket az információbiztonsági intézkedések kidolgozásában, végrehajtásában és folyamatos javításában. A szabvány az információk és adatok védelmét szolgáló megelőző, észlelő és helyesbítő intézkedésekre terjed ki. A szabványban szerepelnek tehát helyesbítő intézkedések is, amelyek vészhelyzet esetén a lehető legjobban enyhítik a konkrét biztonsági incidenseket. Az ISO (Nemzetközi Szabványügyi Szervezet) 2022 októberében tette közzé az ISO/IEC 27001 új változatát.

"A legutóbbi, 2013-as felülvizsgálat után már régóta esedékes volt a szabvány felülvizsgálata. Különösen a vállalatok digitalizációjának rohamos növekedése miatt a fenyegetettség is kiéleződött, iparágtól függetlenül. A kibertámadások egyre professzionálisabbá váltak és válnak"

mondja Klaus Veselko, a CIS ügyvezető igazgatója. A Crowdstrike által készített globális fenyegetettségi jelentés például azt mutatta ki, hogy 2021-ben mintegy 82%-kal nőtt a zsarolóprogramokkal kapcsolatos adatszivárgások száma (2686 támadás), és a támadóknak mindössze 1 óra 32 perc időre van szükségük ahhoz, hogy hozzáférjenek a rendszerekhez. "A megfelelő biztonsági intézkedések gyors végrehajtása ezért elengedhetetlen. Egy vállalat sikere és hírneve gyakran ezen áll vagy bukik" - folytatja Veselko. Az ISO/IEC 27001 szerinti tanúsítás megfelel a legújabb, nemzetközileg elismert technika állásának, és több szinten biztosítja az információbiztonságot.

 

Innovációk az ISO/IEC 27001 felülvizsgálatában

Míg az ISO/IEC 27001:2013 "Informatika – Biztonságtechnika – Információbiztonság-irányítási rendszerek - Követelmények" néven jelent meg, addig az új változat az "Információbiztonság, kiberbiztonság és adatvédelem – Információbiztonság-irányítási rendszerek - Követelmények" címet viseli. A pusztán információbiztonsági fókusz helyett a kiberbiztonság és az adatvédelem témái ma már a szabványok világában is egyre fontosabbak, így a vállalatoknál is fontosabb szerepet töltenek be. "A különböző témakörök közötti határok egyre inkább elmosódnak, így szükségessé válik a "Security of Everything" mentalitás értelmében vett hálózatos szemlélet" – állítja határozottan a szakértő.

Az új verzió négy gyakorlati témakörre (szervezeti, személyi, fizikai és műszaki) tagolódik. Az információbiztonsággal kapcsolatos megfelelő intézkedések (ellenőrzések) is e négy témakör szerint vannak csoportosítva - a korábbi, 2013-as változat 114 intézkedése most 93-ra csökkent, és teljesen átstrukturálták. A korábbi 114 intézkedésből egyetlen intézkedést töröltek (Az eszközök eltávolítása), míg a többi intézkedést - részben az áttekinthetőség érdekében - hasonló témakörökbe foglalták össze. E 93 intézkedés mindegyike jelenleg öt attribútumhoz kapcsolódik (intézkedés típusa, védelmi cél, biztonsági koncepció stb.), amelyeknek a gyakorlatban támogatniuk kell a biztonsági csapatokat.

"Ez az intézkedések jobb osztályozását és ezáltal a végrehajtás gyakorlatiasabb és érthetőbb irányultságát hivatott biztosítani. A vállalatok így pontosabban csoportosíthatják biztonsági intézkedéseiket, és különböző perspektívákhoz juthatnak az intézkedésekkel kapcsolatban",

folytatja Veselko. "Az ISO/IEC 27001:2022 szabvány A. mellékletében meghatározott információbiztonsági intézkedések az ISO/IEC 27002 szabványban is megtalálhatók. Ott nem csak általánosságban vannak felsorolva, hanem részletesen, végrehajtási útmutatóként vannak leírva”

 

Időzítés és határidők

Az ISO/IEC 27001:2013 szerinti irányítási rendszerrel rendelkező cégeknek 2025. október végéig át kell térniük az új verzióra, mivel a meghatározott hároméves átmeneti időszak ekkor lejár, és a régi szabvány szerinti tanúsítványok ettől kezdve érvényüket vesztik. A CIS 2023 elejétől az ISO/IEC 27001:2022-es változat szerinti új és első tanúsításokat végez, illetve kínál. A felügyeleti vagy újratanúsítási auditok során folyamatosan át lehet majd térni az új szabványra.

 

A proaktív felkészülés, mint a jövő útja

Azoknak a vállalatoknak, amelyek már strukturáltan foglalkoznak az információbiztonsággal, nem kell tartaniuk az információbiztonsági irányítási rendszerük alapvető változásaitól. "Azonban elengedhetetlen, hogy tisztában legyenek a közelgő változásokkal és azok hatásával az egyes üzleti gyakorlatokra.

"A folyamatokat, irányelveket és eszközöket általában folyamatosan át kell gondolni a három védelmi cél - a bizalmasság, a rendelkezésre állás és az integritás - tekintetében, hogy továbbra is figyelembe lehessen venni a folyamatosan változó fenyegetettségi környezetet és a technika állását."

 

A CIS szerepe a tanúsítási folyamatban

Az állami akkreditációjának köszönhetően a CIS jogosult az ISO/IEC 27001:2022 szerinti tanúsítások elvégzésére és nemzetközileg érvényes tanúsítványok kiadására. A CIS tanúsító szervezetként az információbiztonság, az adatvédelem, a felhőalapú számítástechnika, az IT-szolgáltatások, az adatközpontok és az üzletmenet-folytonossági menedzsment területén tevékenykedik. A CIS szakértői számos nemzetközi szabványosítási bizottságban is képviseltetik magukat, ami mindig a legfrissebb ismereteket biztosítja az auditok számára.