Όλοι πλέον γνωρίζουμε πόσο σημαντικό είναι το ζήτημα της προστασίας της Πληροφορίας και τις επιπτώσεις από αυτή την προσπάθεια (είτε επιτυχημένη , είτε όχι)!
Σύγχρονα στατιστικά δείχνουν ότι ~50% των κυβερνοεπιθέσεων έχουν –πλέον- στόχο μικρομεσαίες επιχειρήσεις, οπότε είναι ξεκάθαρο ότι η ασφάλεια και η προστασία της Πληροφορίας είναι ζήτημα όλων!
Σε αυτά τα πλαίσια οι Οργανισμοί θέτουν σε προτεραιότητα όλα τα εργαλεία που μπορούν να χρησιμοποιήσουν.
Του Μιχάλη Αλεξίου
IT & IS Product Manager
TÜV HELLAS (TÜV NORD)
www.tuvhellas.gr
Ένα τέτοιο «όπλο» είναι η εφαρμογή ενός Διαχειριστικού Συστήματος Ασφάλειας Πληροφοριών (ISMS), όπως καθορίζεται στο πρότυπο ISO/IEC 27001, ώστε οι Οργανισμοί να βοηθηθούν με την οργάνωση και υλοποίηση μέτρων προστασίας, αλλά και να αξιοποιήσουν την προστιθέμενη αξία μιας πιστοποίησης.
Το υπάρχον πρότυπο ISO/IEC 27001:2013 βρίσκεται σε στάδιο τελικής αναθεώρησης προκειμένου να προσαρμοστεί στις ταχύτατες αλλαγές της τεχνολογίας. Η επόμενη έκδοση αναμένεται να ανακοινωθεί τον Οκτώβριο 2022, παρόλα αυτά οι κανόνες εφαρμογής του έχουν ήδη ανακοινωθεί (ISO/IEC 27002:2022), οπότε έχουμε σαφή εικόνα για τα περιεχόμενα του.
Τι αλλάζει λοιπόν ??
Η δομή του προτύπου με τις βασικές παραγράφους δεν έχει κάποια αλλαγή (διαφοροποιήσεις στις απαιτήσεις σε κάθε μία από αυτές δεν αναμένονται, αλλά θα γίνουν γνωστές με την τελική έκδοση του ISO/IEC 27001:2022).
Σχετικά με τα security control του Annex A του 27001 υπάρχει διαφοροποίηση τόσο στην λογική όσο και τα περιεχόμενα, οπότε επηρεάζεται ολόκληρο το διαχειριστικό Σύστημα.
Ας μιλήσουμε με νούμερα :
- Δεν υπάρχουν αλλαγές στις βασικές παραγράφους 4-10
- Τα security controls θα αλλάξουν από 114 σε 93
- Τα security controls θα είναι χωρισμένα σε 4 γενικούς τομείς αντί 14:
-
- People (8 controls)
- Organizational (37 controls)
- Technological (34 controls)
- Physical (14 controls)
- Υπάρχουν 11 καινούργια security controls που στην προηγούμενη έκδοση δεν υπήρχαν:
-
- Threat intelligence
- Information security for use of cloud services
- ICT readiness for business continuity
- Physical security monitoring
- Configuration management
- Information deletion
- Data masking
- Data leakage prevention
- Monitoring activities
- Web filtering
- Secure coding
- Έχουν δημιουργηθεί 5 τύποι χαρακτηριστικών (attributes) που αφορούν στα security controls για την καλύτερη κατηγοριοποίηση τους:
-
- Control types (preventive, detective, corrective)
- Information security properties (confidentiality, integrity, availability)
- Cybersecurity concepts (identify, protect, detect, respond, recover)
- Operational capabilities (governance, asset management, etc.)
- Security domains (governance and ecosystem, protection, defence, resilience)
Τι σημαίνει αυτό για τους ήδη πιστοποιημένους Οργανισμούς?
Υπάρχει συνήθως μια μεταβατική περίοδος δύο ετών στους πιστοποιημένους Οργανισμούς για να αναθεωρήσουν το Σύστημα Διαχείρισής τους ώστε να συμμορφώνονται με μια νέα έκδοση προτύπου, επομένως αναμένεται να υπάρχει αρκετός χρόνος για να γίνουν οι απαραίτητες αλλαγές από την ημερομηνία της επίσημης ανακοίνωσης της νέας έκδοσης του προτύπου.
Ωστόσο, οι Οργανισμοί καλούνται να ενημερωθούν και να αξιοποιήσουν τον χρόνο που μεσολαβεί ώστε να προετοιμασθούν κατάλληλα κι εμπρόθεσμα στην ανανεωμένη έκδοση και παρόλο που η διαδρομή αυτή περιλαμβάνει –ενδεχομένως- επιπλέον φόρτο εργασίας, σίγουρα ο εκσυγχρονισμός και η ανανέωση ενός Διαχειριστικού Συστήματος άρρηκτα συνδεδεμένου με την τεχνολογία, μόνο όφελος μπορεί να προσφέρει !