Minden bizonnyal az ISO 27000-es sorozat nevezhető ma a legismertebb IT-biztonsági szabványcsaládnak, amely lehetőséget biztosít szervezeti akkreditációra, ugyanakkor vállalatok ezrei alkalmazzák szerte a világon IT-biztonsági keretrendszerük alapköveiként.
A 27001-es és 27002-es szabvány utolsó, 2013-as verzióinak publikálása óta, számos új technológiai trend látott napvilágot. A 27001-es szabvány alapvetően két részből áll: az első alkotórész az Információbiztonsági Irányítási Rendszer, mint a biztonsági szervezet és vezetői folyamatok összességének kerete és hozzá kapcsolódó elvárások együttese. A második rész, a konkrét IT-biztonsági követelmények – azaz kontrollok – listája kategóriánként.
Az ISO 27002, melynek frissített változatát jövő hónapban publikálják, részleteiben ismerteti és javaslatot tesz ezen biztonsági kontrollok alkalmazására. Az ISO 27002 2013-as változata összesen 114 kontrollt tartalmaz 14 biztonsági témában.
A 2022-es megújult változatban a 114 kontroll számottevően, tartalmilag továbbra is a szabvány részét képezi, azonban az egymáshoz szorosan kapcsolódó követelményeket összevonták, így a kontrollok száma 93-ra csökken.
Ezek a kiegészítések tükrözik az előző években megjelent szabályozói elvárásokat és a pandémia alatt tapasztalt biztonsági kihívásokat. Mindemellett néhány kontroll kikerült a szabványból, mint például a vagyonelemek eltávolítása (Removal of Assets), illetve számos követelmény átdolgozásra, kiegészítésre kerül például a jogosultságkezelési területen.
A 2022. februárban megjelenő új csoportosítás a kontrollokat 4 kategóriába sorolja az eddigi 14 helyett:
Minden kontroll külön az adott kontroll sajátosságait leíró attribútumokkal is rendelkezni fog. Ilyen attribútumok a kontroll típusa, a CIA (bizalmasság – sértetlenség – rendelkezésre állás) biztonsági követelmények hármasára történő hatása, és a kontroll biztonsági domainje (például irányítás és ökoszisztéma, védelem, ellenálló képesség stb.). Ez alapul szolgálhat a különböző IT-biztonsági keretrendszerek közötti átjárhatóságnak, valamint segít az informatikai területen kevésbé jártas munkatársaknak is az egyes követelmények üzleti hatásainak megértésében.
„Az új ISO szabvány implementálásához szükségessé válhat a teljes IT-biztonsági irányítási rendszer újragondolása és a szabályzatok, illetve kapcsolódó dokumentumok aktualizálása. Feltételezhetően a 2022-es kiadás módosításai hatással lesznek a szabványcsalád további tagjaira is, ezért például az ISO 27001 megújult verziója is valószínűsíthető a közeljövőben. Azonban várhatóan lesz egy rövid átmeneti időszak, amikor az akkreditáló szervezetek még elfogadják a 2013-as változat által előírt követelményeket a tanúsításhoz” – foglalta össze Barta Gergő, a Deloitte technológiai tanácsadás üzletágának menedzsere.