Šta nam donosi novi ISO 27001:2022 standard, poseban osvrt na Threat Intelligence kontrolu

“Organizacije koje će nas odvesti u digitalnu budućnost su one koje nisu samo dovoljno ranjive da priznaju da ne mogu same da se zaštite, već su i dovoljno samouvjerene i pametne da shvate da je za poslovanje bolje da to ni ne pokušavaju.”

Andreas Wolf, lider ekspertske grupe odgovorne za novi ISO 27001:2022 standard.

Uvod – Promjena naziva standarda

Nakon devet (9) godina ISO 27001 standard je potpuno restruktuiran i revidiran. Doskorašnji ISO 27001:2013 poznat po nazivu “Sistem upravljanja bezbjednošću informacija” (eng. Information Security Management System) ne samo da je promjenio strukturu, redukovao i u isto vrijeme uveo nove kontrole, nego je novi ISO 27001:2022 standard promjenio i naziv standarda u Sistem upravljanja bezbjednošću informacija, kibernetičkom bezbjednosti i zaštitom privatnosti (eng. Information Security, Cyber Security and Privacy Protection Management System), to dalje ukazuje da riječ o potpuno novom pogledu na bezbjednost.

Promjene u strukturnom pristupu

Joint Technical Coordination Group jer formirana (JTCG) je 2013. godine koja je uspostavila HLS (“High Level Structure”) pristup još poznat kao Anex SL, odnosno pristup strukturi ISO standardima tako da svi ISO upravljački sistemi imaju istu strukturu. 2018. godine je HLS pristup bio revidiran i izmjenjen, tačnije u maju 2021. godine je objavljena nova verzija HLS pristupa odnosno, pod novim nazivom Harmonizovani pristup (eng. “Harmonised Approach”) na koji trebaju da migriraju svih 48 ISO upravljačkih sistema, gdje je međuprvima migrirao sistem upravljanja bezbjednošću informacija sa ovom novom verzijom (ISO 27001:2022).

“Smanjen” ukupni broj kontrola i dodane nove kontrole

Aneks A novog standarda 27001:2022 u odnosu na prethodnu verziju (2013) pretrpio je značajne izmjene uskladivši se sa 27002:2022 objavljenim ranije ove godine. 

Šta je razlika između 27001 i 27002 standarda?
ISO 27001 je prepoznat standard za upravljanje informacionom bezbjednošću. Ovaj standard opisuje kako treba da se uspostavi sistem upravljanja informaicionom bezbjednošću, od utvrđivanja opsega sistema, dizajniranja pravila i edukacije zaposlenih.

Dok ISO 27002 pruža sveobuhvatno znanje o tome kako da poboljšate već uspostavljeni sistem upravljanja informacionom bezbjednošću. On pruža kontrole Aneksa A koje je potrebno primjeniti da bi se organizacija dobila ISO 27001 sertifikat.

Usklađivanjem sa 27002 od ove godine “smanjen” broj kontrola, sa 114 na 93 kontrole. Razlog zašto pod navodnike stavljam “smanjen” jeste što su zapravo neke samo spojene ili pridodate drugim već uspostavljenim kontrolama. Pored manjeg broja kontrola, iste su prihvatile novu strukturu, odnosno sada su podijeljene u četiri poglavlja, i to:

  • Organizacione Kontrole (37 kontrola)
  • Kontrole ljudskih resursa (8 kontrola)
  • Fizičke kontrole (14 kontrola)
  • Tehnološke kontrole (34 kontrole)

Ukupno ima 11 novih kontrola, i to su:

  • A.5.7. Threat Intelligence
  • A.7.4. Physical security monitoring
  • A.8.16. Monitoring Activities
  • A.8.9. Configuration management
  • A.8.10. Information deletion
  • A.8.11. Data masking
  • A.8.12. Data leakage prevention
  • A.8.22 Web filtering
  • A.8.28. Secure coding
  • A.5.23. Information security for use of cloud services
  • A.5.30. ICT readiness for business continuity

Kompletan spisak novih kontrola sa opisom možete pogledati u dokumentu “Kontrole novog ISO 27001:2022 standard”, instrukciju za pristup dokumentu ćete pronaći na kraju ovog bloga.

Klauzule od 4 do 10 pretrpjele manje izmjene

Što se tiče ostalih dijelova standarda, Klauzule 4 do 10 su pretrpjele nekoliko manjih izmena, odnosno ažuriranja koja uključuju manje promene u terminologiji i restrukturiranje rečenica i klauzula. Međutim, naslov i redosled ovih klauzula ostali su isti za razliku od kontrola.


Nova kontrola Threat Intelligence?

Izvor fotografije: https://www.mensxp.com

Kako se prevodi Threat Intelligence, odnosno koje je njeno značenje?
Intelligence je engleska riječ za obavještajnu djelatnost, recimo američka CIA (Central Intelligence Agency) ili “firma” kojoj radi James Bond – birtanski MI6 (Military Intelligence, Section 6) su obavještajne agencije odnosno državne tajne službe koje se bave prikupljanjem i analizom podataka, konkretno ove agencije se bave podacima o prijetnjima izvana.

Pa tako da možemo prevesti (značenje) “Threat Intelligence” u ovom slučaju kao prikupljanje i analiza informacija o prijetnjama izvan kompanije/organizacije.

Nova kontrola zahtjeva od kompanija/organizacija da uspostave interne ili da se koriste eksternim resursima (outsource servisima) za prikupljanje, analizu i kreiranje informacija o (kibernetičkim) prijetnjama na kompaniju/organizaciju. To ne znači da se trebaju prikupljati samo prijetnje koje su direktno vezane za kompaniju/organizaciju nego i druge, indirektne, prijetnje.

Konkretno ova kontrola ima šest (6) podkontrola:

1. Postojanje procesa za identifikaciju i određivanje prioriteta (rješavanja) bezbednosnih ranjivosti

Prva podkontrola zahtjeva od kompanije/organizacije da ima uspostavljen proces za identifikaciju bezbjednosnih ranjivosti, zatim da kompanija ima proceduru ili plan određivanja prioriteta ranjivosti kako bi uspješno izvršili rješavanje bezbjednosnih prijetnje odnosno zakrpili sve ranjivosti i propuste kako ne bi došlo do proboja uslijed iskorištavanja istih.

Prijedlozi za ovu podkontrolu:

  • manje kompanije (ali i veće) trebaju da pribjegavaju eksternim izvorima za prikupljanje informacija i identifikaciju bezbjednosnih prijetnji, to može biti threat intelligence izvještaji drugih kompanija, izvještaji o stanju u oblasti kibernetičke bezbjednosti, alarmi i upozorenja od strane vendora, te artikli i objave informativnih portal i drugih firmi koje se bave kibernetičkom bezbjednošću
  • Provjeriti klasifikaciju ranjivosti pomoću:
  • Koristiti neki ticketing sistem za praćenje rješavanja i zakrpa bezbjednosnih prijetnji, za ticketing sistem kompanije/organizacije mogu koristiti Jira (Attlassian) ili Trello. Dok sam tiket treba da imaju najmanje sledeća četiri statusa: Za uraditi, U toku radovi, (Pen)test urađenog, Završeno.
2. Kompanija/organizacija treba da ima usvojenu politiku “Uloge i odgovornosti informacione bezbjednosti” (eng. Information Security Roles and Responsibilities)

Ovaj dokument već postoji u staroj verziji ISO 27001:2013 pa tako da neću dodatno objašnjavati ovu kontrolu, osim što ću navesti da isti dokument treba da sadrži zadatke i odgovornosti kada je u pitanju ova kontrola.

3. Kompanija/organizacija treba da ima usvojenu politiku “Politiku operativne bezbjednosti” (eng. Operation Security Policy)

Ovaj dokument već postoji u staroj verziji ISO 27001:2013 pa tako da neću dodatno objašnjavati ovu kontrolu. Osim što ću navesti da isti dokument treba da definiše način kako će se vršiti Threat Intelligence kao i opis mehanizama.

4. Uključeni i podešen IDS sa alarmima

Kompanija/organizacija treba da ima IDS koji je konfigurisan da šaljem alarme i obavještenja kada je neka abnormalna aktivnost detektovana.

Prijedlozi za ovu potkontrolu (neki od najboljih IDS-ova na tržištu):

5. Praćenje operativne bezbjednosti kroz kontrolne table i druga rješenja

Ova podkontrola zahtjeva da imate uspostavljen sistem praćenja, odnosno osobu ili pak eksternu kompaniju koja će za vas vršiti praćenje (monitoring) procesa i aktivnosti putem različitih rješenja, a sve sa ciljem prikupljanja i analize potencijalnih prijetnji.

Prijedlozi za ovu podkontrolu:

  • Kada je u pitanju kompanijski nivo i interna mrežna infrastruktura mehanizmi za ovu kontrolu su SIEM rješenja i (kontrolne table) enterprise antimalware rješenja;
  • Kada je u pitanju aplikacija poželjno je da imate kreiranu nekakvu analitiku za praćenje ponašanja korisnika ili pak da koristite neko gotovo rješenje, npr.:
  • Dok kada je u pitanju cloud infrastruktura, u zavisnosti od cloud provjadera birajte neke od servisa ili pak koristite neko third-party rješenje koje ćete instalirati na nekoj virtuelnoj mašini (instanci) u cloud-u:
6. Članstvo u nekoj security asocijaciji

Ova podkontrola zahtjeva da su zaposleni ili članovi kompanije odnosno organizacije učlanjeni u nekoj od prizantijih, odnosno kredibilnijih, asocijacija za kibernetičku bezbjednost.

Prijedlozi:

  • ISACA
  • AITP
  • ITL
7. Pretplata na neki Security newsletter

Ova podkontrola zahtjeva da ste pretplaćeni na najmanje dva newsletter-a iz oblasti kibernetičke bezbjednosti.

Prijedlozi:


Rok za migraciju na novi standard je 31.10.2025. godine

Sve kompanije/organizacije koje su sertifikovane sa starim ISO 27001:2013 imaju rok od 36 mjeseci, odnosno sve do 31.10.2025. godine da izvrše migraciju na novi ISO 27001:2022.

Šta ako niste još uvijek sertifikovani?

Ukoliko niste još uvijek sertifikovani sa ISO 27001 a planirate ili ste već u procesu rok je isti, odnosno možete se sertifikovati sa starim sve do 31.10.2025. kada morate preći na novi.

Kad je najbolje da pređemo kao kompanija/organizacija na novi ISO 27001:2022?

  • Ukoliko ste već sertifikovani sa ISO 27001:2013 onda nastojite da to uradite do sledećeg audita, naravno ukoliko imate dovoljno vremena, ukoliko je naredni audit za svega nekoliko dana, sedmica ili par mjeseci, onda krenite sa tim odmah nakon istog kako biste bili spremni za audit posle toga kada možete uraditi i resertifikaciju.
  • Ukoliko ste ušli ste u proces implementacije za ISO 27001:2013 moj prijedlog je da nastavite sa tim procesom i da ne prelazite naglo na ISO 27001:2022 dok god se ne sertifikujete sa ISO 27001:2013 a zatim da krenete sa implementacijom novog standarda.
  • Ukoliko niste ušli u proces implementacije ili tek ulazite, moj prijedlog je da krenete odmah sa novim ISO 27001:2022 standardom.

Kibernetička bezbjednost, cloud tehnologije i tech povezani blogovi, kreator Branko Petrović (2019 – 2024