Με τη δημοσίευση της αναθεωρημένης έκδοσης του ISO/IEC 27002:2022 το Φεβρουάριο του 2022, ο ISO ξεκίνησε τον αναμενόμενο κύκλο ενημέρωσης των Προτύπων για την ασφάλεια των πληροφοριών, τα οποία καλύπτονται από την οικογένεια Προτύπων ISO 27000. Σε αυτό άρθρο, θα εξετάσουμε τις συνέπειες για την παγκόσμια κοινότητα των επαγγελματιών ασφάλειας, οι οποίοι προσπαθούν να διατηρήσουν τους υπολογιστικούς πόρους και λοιπές υποδομές όσο το δυνατόν ασφαλέστερες.
Παναγιώτης Καλαντζής
Cyber Security & Data Privacy Expert
Η κατάσταση είναι λίγο πιο περίπλοκη από την απλή ενημέρωση μιας σειρά παγκόσμιων προτύπων ασφάλειας πληροφοριών. Από την προηγούμενη έκδοση του 2013, ο κόσμος της ασφάλειας των πληροφοριών έχει αλλάξει δραστικά λόγω της αυξημένης ανάγκης απάντησης σε κινδύνους κυβερνοασφάλειας και της ανάγκης για την ασφάλεια των υποδομών cloud, χωρίς καν να αναφερθούμε και να περιλάβουμε στην εξίσωση τον νέο κόσμο της προστασίας δεδομένων και της ιδιωτικότητας, όπως προκύπτει όχι μόνο από το GDPR στην Ευρώπη, αλλά και από παρόμοιες νομοθεσίες και πλαίσια προστασίας δεδομένων σε πολλές περιοχές του πλανήτη.
Σε αυτή τη νέα εποχή, δε νοείται ιδιωτικότητα ούτε προστασία δεδομένων χωρίς κυβερνοασφάλεια. Ένα καλά δομημένο Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών – σε οποιαδήποτε μορφή – θεωρείται πια ένα απόλυτο προαπαιτούμενο για την εξασφάλιση του απαραίτητου βαθμού προστασίας των οργανισμών.
Το ISO/IEC 27001 ως πρότυπο αναφοράς για πλείστες προσεγγίσεις ασφάλειας
Για να μπορέσουμε να κατανοήσουμε καλύτερα τον αντίκτυπο της ενημέρωσης του πρότυπου ISO/IEC 27002, είναι απαραίτητη μια αναδρομή.
Πρώτα απ ‘όλα, πρέπει να ειπωθεί ότι το πρότυπο ISO/IEC 27001:2013 (γνωστό και ως Information Security Management System – ISMS) είναι το τρέχον βασικό πρότυπο, αν και έχει ενημερωθεί με 2 μικρές διορθώσεις το 2014 και το 2015, οι οποίες ενοποιήθηκαν στην έκδοση 2017 και οι οποίες μπορεί να θεωρηθούν και απαραίτητες αλλά μη ουσιαστικές ενημερώσεις.
Λαμβάνοντας υπόψη την έκδοση του 2013, σε σύγκριση με την τρέχουσα κατάσταση της τεχνολογίας σχεδόν 10 χρόνια αργότερα, ήταν προφανές ότι το πρότυπο χρειαζόταν μια ανανέωση. Συνήθως ένα πρότυπο ISO αναθεωρείται κάθε 5 χρόνια και, υπό αυτή την προοπτική, η αναθεώρηση θεωρήθηκε πολύ καθυστερημένη, κάτι που επίσης προκάλεσε πολλές επικρίσεις στο χώρο των επαγγελματιών της ασφάλειας πληροφοριών.Από την άλλη πλευρά, οι θεματικές, οι ενότητες, τα στοιχεία ελέγχου και τα μέτρα ασφάλειας του τρέχοντος προτύπου εξακολουθούν να είναι ισχυρά, έγκυρα και να καλύπτουν τις απαιτήσεις της ασφάλειας, ακολουθώντας μια γενικότερη προσέγγιση η οποία μπορεί να λειτουργήσει συμπληρωματικά με άλλα πιο λεπτομερή τεχνικά πλαίσια (όπως το NIST, το πλαίσιο σημείων ελέγχου CIS , τα COBIT και CSA, κ.λπ.), καθώς και βέλτιστες πρακτικές που ταιριάζουν και μπορούν να καλύψουν τις τρέχουσες απαιτήσεις ασφαλείας και ιδιωτικότητας.
Το πρότυπο συνίσταται από ένα σύνολο βέλτιστων πρακτικών και εξακολουθεί να είναι η συνεκτική βάση για ένα αποδοτικό πλαίσιο ασφάλειας. Ο στόχος του προτύπου είναι να υποστηρίξει ένα αποτελεσματικό και αποδοτικό πλαίσιο ασφάλειας και όχι απλώς να αποτελέσει μια λίστα ελέγχου συμμόρφωσης, όπως πολλοί πιστεύουν. Θα πρέπει να ληφθεί υπόψη ότι το ISO/IEC 27001 είναι επίσης ένα παγκόσμιο πρότυπο αναφοράς για ένα πλήθος παράγωγων πλαισίων, είτε λιγότερο απαιτητικά, είτε στοχευμένα και εστιασμένα σε επιχειρησιακούς τομείς ή οργανισμούς.
Η οικογένεια προτύπων ISO 27000
Για μεγάλο χρονικό διάστημα, το ISO/IEC 27001 ήταν το βασικό ελεγχόμενο και πιστοποιήσιμο πρότυπο για την ασφάλεια των πληροφοριών. Το ISO/IEC 27701 προστέθηκε πριν από μερικά χρόνια, για την επέκταση της προσέγγισης της ασφάλειας πληροφοριών με όρους προστασίας δεδομένων και ιδιωτικότητας. Στην πραγματικότητα, το ISO/IEC 27701 δένει μαζί τις απαιτήσεις του ISO 29100 (Απόρρητο), του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), και την προσέγγιση Information Security Management System – ISMS.
Αυτά τα πρότυπα πιστοποίησης συμπληρώνονται με μια συλλογή βασικών κατευθυντήριων γραμμών, κώδικα πρακτικών, και μετρήσεων για δραστηριότητες που πρέπει να εφαρμοστούν ώστε να λειτουργήσει το σύστημα διαχείρισης, συμπεριλαμβανομένης της διαχείρισης του κινδύνου, της διαχείρισης συμβάντων, της επιχειρησιακής συνέχειας, του ελέγχου και της αξιολόγησης διαδικασιών και συστημάτων, καθώς και της ανάπτυξης εφαρμογών. Τα παραπάνω είτε προέρχονται από άλλα κύρια πρότυπα ISO, όπως ISO 31000, ISO 22301, ISO 29100, ISO 20000, ενώ πολλά αποτελούν αναφορές στο ISO/IEC 27002.
Είναι ξεκάθαρο ότι η τελευταία ενημέρωση του ISO/IEC 27002 θα έχει σημαντικό αντίκτυπο σε αυτές τις βασικές κατευθυντήριες γραμμές, κυριότερη δε όλων, στο ISO/IEC 27001.
Ποια η σχέση μεταξύ ISO/IEC 27002 και ISO/IEC 27001
Μπορεί πολλοί να θεωρήσουν την παραπάνω ερώτηση ως ρητορική ή ακόμα και την απάντηση προφανή, ωστόσο η αλήθεια είναι διαφορετική. Πολλοί πιστεύουν ότι το ISO/IEC 27001 είναι το κύριο πρότυπο και ότι το ISO/IEC 27002 παρέχει επιπλέον, σε βάθος κατευθυντήριες γραμμές στο παράρτημα ISO/IEC 27001, αλλά αυτό δεν είναι ακριβές.
Μάλιστα η πρώτη αναφορά στο ISO/IEC 27001 Παράρτημα Α (κανονιστικό) είναι: «Οι στόχοι ελέγχου και τα στοιχεία ελέγχου που παρατίθενται στον Πίνακα Α.1 προέρχονται άμεσα από και ευθυγραμμισμένα με αυτά που αναφέρονται στο ISO/IEC 27002:2013, ρήτρες 5 έως 18 και πρέπει να χρησιμοποιούνται στο πλαίσιο της ρήτρας 6.1.3.». Αυτό σημαίνει ότι το ISO/IEC 27002 αποτελεί τον Κώδικα Πρακτικής, τον κύριο οδηγό για τις απαιτήσεις που αναφέρονται στο ISO/IEC 27001, ή διαφορετικά, ότι οι απαιτήσεις του ISO/IEC 27001 αποτελούν μια συμπυκνωμένη λίστα των σημείων ελέγχου του ISO/IEC 27002. Κατά συνέπεια, εάν οι απαιτήσεις ISMS πρέπει να ενημερωθούν, η ενημέρωση του ISO/IEC 27002 έχει προτεραιότητα (όπως άλλωστε συνέβη).
Οι πιο εμφανείς αλλαγές στο νέο ISO/IEC27002
Νέα οργάνωση των στοιχείων ελέγχου ασφαλείας – Στην ουσία, η πιο σημαντική αλλαγή είναι μια πλήρης αναδιοργάνωση των βασικών κατηγοριών σημείων ελέγχου.
Μια σύντομη επισκόπηση μας υπενθυμίζει ότι το πρότυπο ISO/IEC 27002:2013 περιέχει 14 ρήτρες σημείων ελέγχου ασφαλείας, 35 υποκατηγορίες με 114 στοιχεία σημείων ελέγχου. Η έκδοση 2022, αντίθετα, περιέχει 4 κύριες ρήτρες με 93 στοιχεία ελέγχου. Ουσιαστικά, η έκδοση του 2013 έχει οργανωμένα τα σημεία ελέγχου με βάση οργανωσιακές λειτουργικές, ενώ η έκδοση 2022 βασίζεται σε μια οργάνωση επικεντρωμένη σε ΑΔΤ (Άνθρωποι, Διαδικασίες και Τεχνολογία). Η ακόμα πιο σωστά, σε ΠΑΦΤ (Πολιτικές, Άνθρωποι, Φυσική Ασφάλεια και Τεχνολογία) – Πίνακας 1.
| ISO IEC 27002:2013 | ISO/IEC 27002:2022 | |
| Άρθρο | Ρήτρες Σημείων Ασφάλειας | Ρήτρες Σημείων Ασφάλειας |
| 5 | Πολιτικές Ασφάλειας Πληροφοριών | Οργανωτικά Μέτρα (37) |
| 6 | Οργάνωση της Ασφάλειας Πληροφοριών | Μέτρα Ανθρώπινων Πόρων (8) |
| 7 | Ασφάλεια Ανθρώπινων Πόρων | Μέτρα Φυσικής Ασφάλειας (14) |
| 8 | Διαχείριση Πόρων | Τεχνολογικά Μέτρα (34) |
| 9 | Έλεγχος Πρόσβασης | |
| 10 | Κρυπτογραφία | |
| 11 | Φυσική και Περιβαλλοντική Ασφάλεια | |
| 12 | Ασφάλεια Λειτουργιών | |
| 13 | Ασφάλεια Επικοινωνιών | |
| 14 | Απόκτηση, Ανάπτυξη και Συντήρηση Συστημάτων | |
| 15 | Σχέσεις με προμηθευτές | |
| 16 | Διαχείριση Περιστατικών Ασφάλειας | |
| 17 | Ασφάλεια Επιχειρησιακής Συνέχειας | |
| 18 | Συμμόρφωση | |
Πίνακας 1. Νέα Οργάνωση Σημείων Ελέγχου
Νέα προσέγγιση στην ταξινόμηση σημείων ελέγχου – Υπάρχει λοιπόν ένα μικρότερο επίπεδο οργάνωσης, που από μόνο του δεν αποτελεί απαραίτητα βελτίωση. Παρόλα αυτά, το νέο ISO/IEC 27002:2022 καλύπτει αυτήν την έλλειψη οργάνωσης, χρησιμοποιώντας χαρακτηριστικά (συμπεριλαμβανομένων Λειτουργικών Δυνατοτήτων), που εξηγούνται στο Παράρτημα Α του ISO/IEC 27002. Το ενδιαφέρον αυτής της προσέγγισης είναι ότι μπορεί να γίνει εύκολη αντιστοίχιση των υπάρχοντων σημείων ελέγχου του ISO/IEC 27001 με τη νέα δομή ISO/IEC 27002.
Νέα και ενοποιημένα σημεία ελέγχου- Στη νέα έκδοση του πρότυπου, προστίθενται ορισμένα νέα σημεία ελέγχου (Πίνακας 2), ενώ αντίθετα, κανένα σημείο ελέγχου δεν αφαιρείται από την έκδοση του 2013, αλλά διπλότυπα ή παρόμοια στοιχεία ελέγχου συγχωνεύονται για να καταλήξουν στον αριθμό 93 αντί για τα προηγούμενα 114 στοιχεία ελέγχου.
| ISO IEC 27002:2012 | Λόγος Βελτίωσης | |
| Άρθρο | Ρήτρες Σημείων Ασφάλειας | |
| 5.7 | Threat Intelligence | Κυβερνοασφάλεια |
| 5.23 | Ασφάλεια Πληροφοριών για υπηρεσίες Cloud | Ασφάλεια Cloud |
| 5.30 | Ετοιμότητα ΙΤ για Επιχειρησιακή Συνέχεια | Ασφάλεια Cyber, Cloud και Προστασία της Ιδιωτικότητας |
| 7.4 | Παρακολούθηση Φυσικής Ασφάλειας | Ασφάλεια Cyber, Cloud και Προστασία της Ιδιωτικότητας |
| 8.9 | Διαχείριση Διαμορφώσεων Ρυθμίσεων | Ευθυγράμμιση με ISO 20000 / ITIL |
| 8.10 | Διαγραφή Δεδομένων | Προστασία της Ιδιωτικότητας |
| 8.11 | Masking Δεδομένων | Προστασία της Ιδιωτικότητας |
| 8.12 | Αποτροπή Διαρροής Δεδομένων | Προστασία της Ιδιωτικότητας |
| 8.16 | Λειτουργίες Παρακολούθησης | Κυβερνοασφάλεια |
| 8.23 | Web Filtering | Κυβερνοασφάλεια |
| 8.28 | Ανάπτυξη Ασφαλούς Κώδικα | Ασφάλεια Εφαρμογών |
Πίνακας 2. Νέα Σημεία Ελέγχου
Ποιο το μέλλον του ISO/IEC 27001
Προς το παρόν, κατά τη δημοσίευση του ISO/IEC 27002:2022, το ISO/IEC 27001 δεν έχει αλλάξει ακόμη. Αυτό σημαίνει ότι το το τρέχον πρότυπο πιστοποίησης παραμένει σταθερό με την πρότερη οργάνωση και τα παλιά σημεία ελέγχου, μέχρι την αναδημοσίευση. Ωστόσο, στις αρχές Φεβρουαρίου, λίγο πριν την τελική δημοσίευση του ISO/IEC 27002:2022, ο οργανισμός ISO ξεκίνησε έναν κύκλο αναθεώρησης του ISO/IEC 27001:2013 για την ενημέρωση του πρότυπου με το νέο παράρτημα από το ISO/IEC 27002.
Αυτή η αναθεώρηση προβλέπεται να διαρκέσει 12 εβδομάδες, που είναι ένα σταθερό χρονικό διάστημα για την ISO διαδικασία. Οπότε, εκτιμάται ότι έχει έρθει ο καιρός για την επίσημη ενημέρωση σχετικά με την αναθεωρημένη έκδοση του πρότυπου μέσα στον Μάιο – Ιούνιο 2022. Όμως η νέα ενημέρωση θα αφορά μια τροπολογία, δηλαδή μια μικρή ενημέρωση και όχι μία πλήρη νέα έκδοση.
Ποιο το μέλλον των υπαρχουσών πιστοποιήσεων ISO/IEC 27001
Μέχρι στιγμής, έχει επιβεβαιωθεί ότι, για τις υπάρχουσες πιστοποιήσεις, θα υπάρξει ένας συντομότερος κύκλος ενημέρωσης. Αντί για τα τυπικά 3 χρόνια, που είναι η νόρμα σχετικά με τις επαναπιστοποιήσεις, θα υπάρχει ένα απαιτούμενο χρονικό περιθώριο ενημέρωσης 2 ετών. Αλλά στην πραγματικότητα, οι περισσότερες – αν όχι όλες – οι υλοποιήσεις συμμορφώνονται ήδη την πλειοψηφία των σημείων ελέγχου της νέας έκδοσης.
Εν κατακλείδι, είναι – κατ’ ελάχιστον – απαραίτητη η εφαρμογή μερικών επιπλέον σημείων ελέγχου, η ενημέρωση της Δήλωσης Εφαρμογής (Statement of Applicability – SOA) και η αντιστοίχιση των υπαρχόντων σημείων ελέγχου με την έκδοση 2022, για την αναίμακτη ενημέρωση της πιστοποίησης στον επόμενο κύκλο εξωτερικού ελέγχου ή ελέγχου επιτήρησης.
Επίλογος
Δεν είναι ακόμη σαφές τι θα συμβεί με τα υπόλοιπα πρότυπα στο σύνολο των προτύπων της οικογένειας ISO/IEC 27000, αλλά είναι πιθανό ότι θα γίνει μια παρόμοια αξιολόγηση για να συμφωνήσουν με το αναθεωρημένο ISO/IEC 27002:2022. Ωστόσο, καθώς θα πρέπει να περάσουν από την ίδια επίσημη διαδικασία αξιολόγησης, θα χρειαστεί λίγος (ή και λίγο περισσότερος) χρόνος για να ολοκληρωθεί η απαραίτητη ευθυγράμμιση.
Σίγουρα για το ISO/IEC 27701 (Privacy Information Management System – PIMS), αυτή είναι μια σημαντική ανησυχία. Αλλά με την αυστηρότερη έννοια, οι απαιτήσεις του ISO/IEC 27701 αναφέρονται στις ρήτρες ISO/IEC 27001 και τα σχετικά κανονιστικά παραρτήματα (Παράρτημα Α για Controllers PII και Παράρτημα B για Processors PII) δεν όχι στο ISO/IEC 27002. Ως εκ τούτου, μόλις ενημερωθεί επίσημα το ISO/IEC 27001, ο επανέλεγχος του ISO/IEC 27701 θα είναι αρκετά απλός.
Επιπρόσθετα, υπάρχει ένα ευρύ σύνολο προτύπων της οικογενείας ISO 29100, για το οποίο επίσης αναμένουμε ενημερωμένες οδηγίες για το απόρρητο των δεδομένων και την προστασία της ιδιωτικότητας, όπως επίσης και μια νέα οικογένεια προτύπων που διαφαίνεται στον ορίζοντα και θα πρέπει να βάλουμε στο ραντάρ μας και να παρακολουθούμε: μιλάμε για τα ISO/IEC TS 27100 Cybersecurity – Επισκόπηση και Έννοιες, ISO/IEC TR 27103:2018 Κυβερνοασφάλεια, και ISO/IEC TS 27110:2021 Cybersecurity – Κατευθυντήριες Γραμμές Ανάπτυξης Πλαισίου.
Με άλλα λόγια, εκτός από τις σημαντικές ενημερώσεις των προτύπων σχετικά με την ασφάλεια των πληροφοριών, την προστασία της ιδιωτικότητας και των δεδομένων, τα πρότυπα της ασφάλειας στον κυβερνοχώρο διεκδικούν σημαντικό χώρο στην ατζέντα των επαγγελματιών της ασφάλειας.
