ISO 27001 standartas, nurodantis gaires informacijos apsaugos vadybos sistemai organizacijoje – vienas esminių įrankių įmonei, kuriai svarbu užtikrinti vidinės informacijos, veiklos know-how, verslo procesų bei jautrių klientų duomenų saugumą. Tiesa, kaip ir vis naujesnės bei pavojingesnės kibernetinės grėsmės, kisti bei tapti atsparesne turėtų ir informacijos apsauga įmonėje. Atliepdama vis tobulėjančias kibernetines atakas, 2022 m. pristatyta nauja ISO 27001 standarto redakcija – su ja svarbu susipažinti tiek jau sertifikuotoms, tiek ir sertifikato siekiančioms įmonėms. Tad kas naujo, kokie pokyčiai svarbiausi ir kokių veiksmų imtis, jei planuose – naujausias ISO 27001 standartas?

Paskutinį kartą ISO 27001 standartas buvo atnaujintas 2013 m., tad nuo 2022 m. spalio ši versija nebegalioja, o ją pakeičia naujoji redakcija. Tiesa, kai kurie ISO standarto pokyčiai minimalūs: pavyzdžiui, 4-10 punktuose atlikta tik nedidelė redakcija (pakeistos formuluotės bei struktūra). Nors šiuose punktuose išdėstyti reikalavimai lieka identiški 2013–ųjų versijai, didesnis dėmesys kreipiamas vis dažnėjančioms kibernetinėms atakoms. Visgi tam, kad informacijos apsauga ir jos politika įmonėje išties atlieptų šiuo metu pavojingiausias grėsmes, priimti ir esminiai papildymai. Pastaruosius žinoti ypač svarbu ir ISO 27001 rekomendacijas puikiai pažįstančioms įmonėms, ir organizacijoms, kurių ISO standartų diegimas laukia netolimoje ateityje.

Atnaujintas ISO 27001 standartas papildytas nauju skirsniu – 6.3, kuris apibrėžia pokyčių planavimą organizacijoje. Juo siekiama užtikrinti, kad organizacijos, prieš atlikdamos bet kokius pakeitimus informacijos saugumo valdymo sistemoje, įvertintų visus su jomis susijusius faktorius: priimamų pokyčių tikslą, galimas pasekmes, poveikį informacijos apsaugos vadybos sistemai, išteklių prieinamumą bei atsakomybių paskirstymą (ar perskirstymą).

Vienas reikšmingiausių pakeitimų atnaujintoje standarto versijoje – tai A priedo redakcija. Šis priedas apima kontrolės priemonių, skirtų informacijos saugai užtikrinti, sąrašą.

Ankstesnėje standarto versijoje, A priede, buvo numatyta 114 kontrolės priemonių. 2022 m. jų liko tik 93, tačiau nė viena iš ankstesniųjų nebuvo panaikinta. Dėka struktūrinių pokyčių, kai kurios kontrolės priemonės buvo sujungtos ir apibendrintos, o taip pat atsirado jų atsirado daugiau. Nuo šiol visos informacijos apsaugos kontrolės priemonės pagal savo pobūdį skirstomos į 4 poskyrius: žmogiškosios (žmonių), organizacinės, technologinės ir fizinės kontrolės priemonės.

1. Informuotumas apie grėsmes. Norėdama užtikrinti savo atsparumą, organizacija turėtų nuolat rinkti ir analizuoti aktualiausią informaciją apie galimas grėsmes.
2. Informacijos saugumas naudojantis debesijos (cloud) paslaugomis. Jei organizacijos informacija saugoma ar valdoma naudojantis šiomis paslaugomis, svarbu įtvirtinti procesą, kurio metu būtų užtikrinamas saugomų, valdomų ar bendrinamų duomenų saugumas.
3. IRT pasirengimas veiklos tęstinumui: personalo mokymas, įrangos ir programinės įrangos atsarginės kopijos bei testavimas.
4. Fizinio saugumo stebėsena – tai kontrolės priemonė, leidžianti užtikrinti patalpų, įrangos, spausdinamų dokumentų ar kitų fizinių objektų organizacijoje saugumą.
5. Konfigūracijos valdymas: tinkamas sistemų ir programinės įrangos konfigūravimas užtikrina, kad organizacijos procesuose naudojamos programinės įrangos būtų saugios ir patikimos.
6. Informacijos ištrynimas – duomenų naikinimas negrįžtamai, išvengiant informacijos nutekėjimo.
7. Duomenų maskavimas siekiant apsaugoti informaciją, kad ji būtų suprantama tik su ja susijusiems asmenims.
8. Duomenų nutekėjimo prevencija. Ši kontrolės priemonė sumažina duomenų nutekėjimo riziką. Duomenų perdavimo saugumas, kontroliuojama prieiga bei darbuotojų mokymas – vieni efektyviausių prevencinių veiksmų.
9. Veiklos stebėsena – nuolatinis informacijos apsaugos vadybos sistemos stebėjimas padeda greičiau identifikuoti esamas problemas ir iškart imtis veiksmų joms išspręsti.
10. Žiniatinklio filtravimas užkertant kelią prieigai prie pavojingo turinio (pvz., kenkėjiškų programų) – tai itin svarbus etapas organizacijoms, kurioms svarbus nepriekaištingas kibernetinis saugumas ir net minimalių rizikų pašalinimas.
11. Saugus kodavimas (secure coding) – kodavimas laikantis aktualiausių saugumo praktikų, kurios padeda išvengti saugumo spragų ar konfidencialių duomenų atskleidimo.

ISO 27001 standartas ir jo pakeitimai buvo įtvirtinti 2022 m. spalį, o pereinamasis laikotarpis nuo senųjų standarto sąlygų iki atnaujintų tęsis iki 2025 m. spalio 31 d. Šiam periodui pasibaigus, sertifikatai, kurie buvo pagrįsti senąja standarto versija (ISO 27001:2013) nebegalios.

Ar standarto redakcija aktuali tik naujai sertifikuojamoms įmonėms? Ne – visos organizacijos, norinčios ir toliau būti sertifikuotos ISO 27001, turi atsižvelgti į standarto pakeitimus:

• • Organizacijos, šiuo metu sertifikuotos ISO 27001:2013 standarto pagrindu, iki 2025 m. spalio 31 d. privalo atnaujinti informacijos saugumo vadybos sistemą pagal atnaujintą ISO 27001:2022 standartą, kitu atveju po pereinamojo laikotarpio sertifikatas bus laikomas negaliojančiu.
  • Organizacijos, kurios sertifikato siekia pirmąkart, iki 2024 m. balandžio 29 d. dar gali būti sertifikuojamos pagal senąją standarto versiją (ISO/IEC 27001:2013), tačiau tokiu atveju sertifikatas galios tik iki 2025 m. spalio 31 d. Būtent todėl naujai sertifikuojamoms įmonėms rekomenduojama iškart vadovautis naujausia standarto versija.

Susipažinus su svarbiausiais standarto atnaujinimais, gali kilti klausimas – o kaip įgyvendinti papildomus informacijos apsaugos sistemos atnaujinimus, jei ISO standartas įmonėje jau įdiegtas? Organizacijoms, jau sėkmingai besivadovaujančioms ISO 27001:2013 reikalavimais, šis procesas nėra sudėtingas. Pakanka darkart susipažinti su naujomis informacijos saugumo rizikomis bei kontrolės priemonėmis, atitinkamai atnaujinti esamą informacijos apsaugos valdymo sistemos politiką, procedūras bei dokumentus, o jau pasiruošus (tačiau ne vėliau nei iki 2025 m. spalio 31 d.) – atlikti auditą naujajam sertifikatui gauti.