ISO 27001 szabvány javított kiadásban

iso 27001

A rendszerszabványok felülvizsgálata ötévenként kötelező. Így az ISO 27001 (Információbiztonsági irányítási rendszer) sem kerülhette el a ráncfelvarrást, annál is inkább, mivel ez a standard legutoljára 2013-ban (a magyar verziója pedig 2014 elején) kapott vérfrissítést. Tavaly ősszel pedig megérkezett a szabvány legújabb verziója. Hogy ez mennyiben tér el a korábbitól, és hogy kinek érdemes ezzel a témával behatóbban foglalkozni, és hogy hol tartanak ma már a hackerek, arról Kapitány Sándor információbiztonsági tanácsadó, a CertUnion Tudásközpont oktatója beszélt.

A szabvány legutóbbi módosítása óta nagyot változott a világ és ez hatványozottan igaz a minket körülvevő technikai környezetre is. Az utóbbi tíz év változásait pedig le kell követnie a szabványoknak, ezért volt szükség (a kötelező ötévenkénti felülvizsgálaton túl) az ISO 27001 “javított kiadásának” elkészítésére is – kezdi az okokkal Kapitány Sándor.

ISO 27001 – 2022/23-as kiadás

Mint mondja, ezt a módosítást főként a szabvány információbiztonsági vonatkozásai tették indokolttá. – A szabványtörzs (az irányítási rendszert taglaló rész) lényegében ugyanaz maradt, mint a korábbi, de a követelményeket felsoroló rész (ami az információbiztonsági kockázatokkal foglalkozik) jelentősen kibővült.

Az  információbiztonsági tanácsadó úgy látja:

a szabvány mind struktúrájában, mind a pontok számában megújult, azaz magasabb lett a követelményszint.

Azzal együtt, hogy az eddigi elemek megmaradtak, új szempontokat is beemelt a szabványalkotó. Némileg módosult a követelmények felsorolása. Lévén az eddigi 114 pont helyett (összevonással és újak beemelésével) most 90 egynéhány szempontnak kell megfelelni. Összességében tehát elmondható: azon túlmenően, hogy az új szabvány lépést kíván tartani korunkkal, az alkotók az előző standard hiányosságait, többféleképpen értelmezhető részeit is egyértelműsíteni kívánták.

Új követelmények

Ennek ellenére semmi olyan extra nem került bele, amely teljesíthetetlenné tenné az ISO 27001-et. – Tizenegy új követelményt emeltek be a friss szabványba, ezek pedig nem is annyira újak – magyarázza Kapitány Sándor –, hiszen ha valaki magas szinten foglalkozott eddig az információbiztonsággal, akkor már egészen biztosan találkozott velük. 

Példaként említi az utóbbi évtizedben elterjedt felhő alapú rendszerek és a személyes adatok védelmének biztonságát. Utóbbi a pár éve az év szavának választott GDPR logikája mentén fut, de annál szigorúbban felügyeli az adatkezelést.
A szabvány a fizikai biztonság terén a határok mellett a zónák ellenőrzését, megfigyelését is megköveteli. Csakúgy, mint az adatszivárgás megakadályozásának magasabb szintre emelését valamint az első sorban szoftverfejlesztőket érintő biztonságos kódolást.

Maximum 3 év az átállásra

Az érvényes ISO 27001 tanúsítvánnyal rendelkező vállalkozásoknak minden bizonnyal nem okoz majd nagy megrázkódtatást a következő auditra való felkészülés – állítja a megkérdezett szakértő, majd hozzáteszi: – ám, azt érdemes tudni, hogy amely vállalkozásnak a szabvány megjelenésének pillanatában már volt érvényes ISO 27001-e, annak legjobb esetben esetben is csak 3 éve van az átállásra! Mindenesetre most a teljes tanúsítói és felkészítői piac azon dolgozik, hogy naprakész legyen az új szabványból.

Az irányítási rendszerek párhuzamai

Egy kicsit messzebbről tekintve a témára, a magyar cégek téma iránti nyitottsága kerül szóba. Kapitány Sándor úgy látja, nagyon hasonló jelenség tanúi lehetünk, mint jó pár éve a minőségirányításnál. Anno sok esetben ugyanis nem feltétlenül önszántukból, sokkal inkább az anyavállalat vagy vevői igények hatására döntöttek a cégek az ISO 9001 kiépítése mellett. 
A témában megszólaltatott információbiztonsági tanácsadónak főként az autóipari viszonyokra van rálátása, de mint mondja: a többi szegmens sem tér el jelentősen ettől. Zömében azokban is külső hatások presszionálják a cégeket a magasabb fokú információbiztonság kiépítésére. Ezen igények egy része vagy akár teljes egésze kielégíthető az ISO 27001-gyel.

Matrac, riasztó, információbiztonság

Bár napjainkban már kétségtelenül többet foglalkozunk a bitekben adagolt értékeinkkel, azért információvagyonunkat még mindig ugyanolyan laikus módon próbáljuk megvédeni, mint az a nagymama, aki a tolvajok ellen a matrac alá dugja készpénzt.

Akut probléma, hogy a kisebb, tradicionális felépítésű és régimódi vezetési stílusban irányított szervezetek napjainkban is nehezen látják be az információbiztonság létjogosultságát. 

Egy kicsit olyan ez – hoz egy szemléletes példát Kapitány Sándor –, mint a riasztókészülék szerelés a panelban. Az egy lépcsőházra eső riasztók számának ugrásszerű növekedése ugyanis legtöbbször akkor következik be, amikor a bűnözők már kirámoltak egy lakást.
Esetünkben is azok fogékonyabbak az információbiztonságra, akik már “megégették magukat”. Azaz ők lesznek azok, akik valamilyen technikai megoldásban vagy az ISO 27001 kiépítésében kezdenek el gondolkodni.

“Ha az ügyintézőnkkel szeretne beszélni, nyomja meg a # gombot!”

A kérdés azért is fontos, mert bár most nem olvasni minden fórumon (néhány évvel ezelőtt ezzel volt tele a sajtó) a zsarolóvírusokról, ettől függetlenül a dark weben jelenleg is virágzó üzletág ez.

Olyannyira – magyarázza információbiztonságra szakosodott beszélgetőpartnerem –, hogy tudunk olyan esetről: a zsarolóvírus működtetői ügyfélszolgálatot(!) tartanak fenn, ahol a károsultak kérdezhetnek tőlük. És ami teljesen abszurd: még az is elintézhető telefonon, hogy határidő előtti fizetés esetén, “early bird” kedvezménnyel, hamarabb jussanak adataikhoz. 

Versenyfutás a hackerekkel

Felmerül a kérdés, hogy megvédhetjük-e egyáltalán telefonunkat, számítógépünket az ehhez hasonló támadásoktól? Bár más válaszban reménykedünk, Kapitány Sándor őszintén felel. – 100%-os biztonság nem létezik, hiszen ezek a vírusok a rendszerek korábban ismeretlen sérülékenységét és az emberi esendőséget használják ki. A biztonsági rést az addig fel nem tárt gyenge pontok és az időfaktor jelenti. Ugyanis mire megérkezik a hibákhoz a javítókulcs, addigra már rég a postaládánkban van a hackerek pénzkövetelő levele. 
Az ISO 27001 nem nyújt teljes körű garanciát ez ellen, de lényegesen lerövidíti azt az időt, amíg fény derül a védőhálón keletkezett lyukra, ezáltal az elhárításra is több időnk marad.

error: Content is protected!