ISO 27002 er revidert – hvorfor skal du bry deg?

Skrevet av Elise Breivik Smebye, Informasjonssikkerhetskonsulent i Watchcom Security Group.

Hva er ISO/IEC 27001 og 27002?

ISO/IEC 27001 og ISO/IEC 27002 er internasjonale og anerkjente standarder som sammen beskriver hvordan virksomheter kan oppnå et effektivt og pålitelig ledelsessystem for informasjonssikkerhet.

ISO/IEC 27001 er “hovedstandarden” som beskriver hva som kreves for å oppnå et systematisk og strukturert sikkerhetsarbeid med en risikobasert tilnærming. Vedlagt denne er et sett med sikringstiltak som bør være på plass, og det er her ISO/IEC 27002 kommer inn.

Der ISO/IEC 27001 beskriver hva som kreves av ledelsessystemet, er ISO/IEC 27002 en veileder, og beskriver beste praksis for implementering av sikringstiltakene. Standardene anerkjennes som viktige verktøy i en systematisk sikkerhetsstrategi og mange virksomheter følger standardens krav uten å sertifisere seg. Vi opplever dog et raskt økende antall kunder som ser markedsføringsfordeler og annen forretningsmessig verdi av å sertifisere virksomheten sin.

Hvorfor bruke ISO/IEC 27001?

Dersom din virksomhet kan vise til en ISO/IEC 27001-sertifisering sier det mye om sikkerhetsarbeidet som gjøres. Det dokumenterer at virksomheten forsikrer samsvar med forretningsmessige, lovmessige og kontraktuelle krav når det kommer til informasjonssikkerhet. Dette kan bidra til redusert ressursbruk da dere kan vise til sertifiseringen istedenfor at kunder og tredjeparter krever at det skal gjennomføres en revisjon av sikkerhetsarbeidet for å få bevist at det gjøres på en god måte.

Vi opplever hos flere av våre kunder at kunder av dem, for eksempel større virksomheter, krever at de skal sertifisere seg. Siden ISO/IEC 27001 har en risikobasert tilnærming på sikkerhetsarbeidet kan en sertifisering bidra til å redusere forretningsmessig risiko tilknyttet informasjonssikkerhetsbrudd og brudd på personopplysningssikkerheten.

De av våre kunder som er sertifisert kan også oppleve at de får konkurransefortrinn sammenlignet med virksomheter som ikke er sertifisert.

Hva er de største endringene?

I den reviderte versjonen av ISO/IEC 27002 er det gjort flere endringer av sikringstiltakene. Den største endringen er introduksjonen av 11 nye sikringstiltak som blant annet inkluderer trusseletterretning og informasjonssikkerhet ved bruk av skytjenester. Utover dette er flere sikringstiltak slått sammen. Dette resulterer i totalt 93 sikringstiltak, noe som er en reduksjon på 21 fra de tidligere 114 tiltakene.

Tiltakene er nå fordelt på fire områder: organisatoriske, menneskelige, fysiske og teknologiske tiltak. Oppsettet på sikringstiltakene er også endret i den nye utgaven. Det er ikke lenger et mål for hver overordnet kategori av tiltak. I stedet er hvert tiltak kategorisert basert på forskjellige egenskaper. Dette kan brukes til å filtrere og presentere de på en bedre måte enn hva man kunne før. Disse egenskapene er kategorisert i fem forskjellige kategorier og gjør det også enklere å integrere og sammenligne sikringstiltakene med andre rammeverk som for eksempel CIS kontrollene og NIST Cybersecurity Framework kontrollene.

De nye sikringstiltakene

Av de nå 93 sikringstiltakene følger det her en introduksjon av de 11 nye. Siden den forrige store restruktureringen av ISO/IEC 27001 og 27002 i 2013 har det skjedd mye når det kommer til forståelsen av informasjonssikkerhet og hva som er beste praksis. Det er derfor nødvendig med nye sikringstiltak som inkluderer disse områdene og tar hensyn til utviklingen som har skjedd. Under presenteres de nye tiltakene, med referanse til relevant plassering i standarden.

5.7 Threat intelligence

Det er viktig å identifisere og analysere dagens trusselbilde for å beskytte virksomheten ved bruk av relevante og effektive risikoreduserende tiltak. Etterretning om  trusler og angrepstyper bør innhentes fra offentlige etater og andre pålitelige kilder. Denne informasjonen kan så brukes til strategiske, operative og taktiske justeringer innad i din virksomhet. Siden trusselbildet er i kontinuerlig endring, er det viktig med oppdatert informasjon, i tillegg til at den bør deles og kommuniseres innad  i virksomheten.

5.23 Information security for use of cloud services

Det er nødvendig med en etablert prosess for bruk av skyleverandører som inkluderer hele løpet fra anskaffelse til avskaffelse. Prosessen skal tilpasses basert på virksomhetens krav til informasjonssikkerhet.

En viktig del her er å bli enig med leverandøren om hvilke sikkerhetstiltak skyleverandøren er ansvarlig for, og hvilke som må håndteres av virksomheten selv. Uten tydelig definerte ansvarsforhold her, kan en risikere at ikke alle sikkerhetskrav blir oppfylt.

5.30 ICT readiness for business continuity

Kontinuitetsplan innen IKT bør planlegges, implementeres, vedlikeholdes og testes basert på mål og krav for virksomhetskontinuitet. Godt testede prosedyrer vil bidra til å sikre tilgjengeligheten til informasjon og verdier når en uønsket hendelse oppstår og forstyrrer prosesser i din virksomhet.

Et verktøy som kan brukes her er gjennomføring av en business impact analysis (BIA) for å identifisere de mest kritiske prosessene i virksomheten. En BIA kan brukes til å avgjøre hvilke ressurser som er nødvendige for å støtte prioriterte aktiviteter og prosesser, samt hvilke som kreves for å komme raskest mulig tilbake til normal tilstand etter en hendelse.

7.4 Physical security monitoring

Et viktig element i god sikkerhet er å forsikre seg om at uønskede ikke får tilgang til virksomhetens fysiske verdier.  Dette gjelder spesielt områder med kritiske verdier og IKT-systemer, og det er derfor viktig med god overvåkning.

Metoder som kan brukes er videoovervåking, innbruddsalarmer eller vektere for å påse at uønskede ikke får tilgang, men her er det viktig å sette seg inn i gjeldende lover og regler for å påse at valgte tiltak er lovlige. Implementerte overvåkningstiltak og alarmsystemer bør jevnlig testes for å påse at de fungerer etter sin hensikt.

8.9 Configuration management

Gode rutiner for konfigurasjonsstyring er vesentlig for å sikre informasjon og verdier hos din virksomhet. Disse vil bidra til å sikre at enheter, IT-systemer og nettverk fungerer som de skal med nødvendige sikkerhetsinnstillinger og at disse innstillingene ikke er feil eller kan endres av uautoriserte. For å sikre god konfigurasjonsstyring bør det defineres og implementeres prosesser og verktøy som bidrar til å sikre riktige konfigurasjoner for både nye og eksisterende systemer.

Dette bør inkludere en standardliste over sikkerhetskonfigurasjoner for hardware, software, tjenester og nettverk. Her kan det benyttes offentlige veiledere, samtidig som valgte  konfigurasjoner bør ta utgangspunkt i sikkerhetskrav og ønsket sikkerhetsnivå for din virksomhet.

8.10 Information deletion

Informasjon som ikke lenger er nødvendig bør slettes fra informasjonssystemer, enheter og andre lagringsenheter. Dette er for å sikre at informasjon ikke kommer på avveie. For å oppnå dette bør det etableres gode slettingsrutiner.

Slettingsrutinene bør vurderes opp mot datasensitiviteten til informasjonen som er lagret, i tillegg til eksterne og interne krav. Etablerte slettingsrutiner kan også bidra til etterlevelse av GDPR, som sier at personopplysninger ikke skal lagres lenger enn nødvendig.

8.11 Data masking

Data bør maskeres i henhold til din virksomhets krav. Kravene bør ta utgangspunkt i relevante policyer etablert i virksomheten, som policy for tilgangsstyring og informasjonsklassifisering, i tillegg til relevante lover.

Teknikker som kan brukes er datamaskering, pseudonymisering og anonymisering, i tillegg til kryptering og sletting av karakterer. Når data maskeres er det viktig å verifisere at teknikken som brukes faktisk oppnår ønsket resultat. Dersom for eksempel anonymisering ikke er gjort korrekt, kan det være mulig å re-identifisere ved bruk av tilleggsinformasjon.

8.12 Data leakage prevention

Tiltak for å forhindre datalekkasje bør implementeres på alle områder som prosesserer, lagrer eller overfører sensitiv informasjon. Dette for å unngå uautorisert utlevering og utvinning av informasjon om individer eller systemer.

Din virksomhet bør derfor ha prosedyrer for å klassifisere informasjon, i tillegg til metoder for å overvåke  prosesser og kanaler hvor datalekkasje kan oppstå og blokkere uautorisert dataflyt. Dette kan for eksempel gjøres med hjelp av automatiserte verktøy.

8.16 Monitoring activities

Nettverk, systemer og applikasjoner bør overvåkes for å forhindre uønskede hendelser. Når din virksomhet skal vurdere om noe som skjer er en unormal hendelse eller ikke, er det viktig å ha redegjort for hva normal tilstand og oppførsel betyr.

Dette bør blant annet inkludere verdier for normal utnyttelsesgrad av systemer og tidspunkt for maksimal ressursbruk. Dersom en hendelse oppstår, er det viktig med definerte prosedyrer for å håndtere den på best mulig måte og minimere eventuelle konsekvenser.

8.23 Web filtering

For å redusere eksponering mot skadelig innhold bør tilgang til eksterne nettsider administreres. Dette fordi noen nettsider kan misbrukes for å spre ulovlig materiale, skadevare eller for å svindle ansatte.

En måte å håndtere dette på er å blokkere kjente ondsinnede nettsider. Det bør også gjennomføres opplæring og bevisstgjøring av ansatte angående sikkerhetskultur i tillegg til gjennomføring av phishingøvelser.

8.28 Secure coding

Softwareutvikling bør følge definerte prinsipper og prosedyrer for å etterleve  sikker utvikling. Dette for å tilse  at programmer skrives på en sikker måte og redusere muligheten for sårbarheter. Prinsippene bør reflektere den kontinuerlige endringen i trusselbildet.

I denne prosessen er det flere rammeverk som kan brukes som Microsoft Secure Development Cycle (SDL), OWASP Software Assurance Maturity Model (SAMM), mf.

Så hvorfor skal du bry deg?

Kravene til sikring av data og immaterielle verdier øker i takt med digitaliseringen. For å holde følge bør en derfor ha en systematisk og kontinuerlig tilnærming til sikkerhetsarbeidet. Velger en å følge en, eller flere, standard(er) kan det bli enklere å opprettholde et godt sikkerhetsnivå, i tillegg til å ha kontroll på at nødvendige sikkerhetstiltak implementeres, revideres og justeres hvis nødvendig.

ISO/IEC 27001 og ISO/IEC 27002 er to meget gode, og effektive, utgangspunkt for en solid sikkerhetsstrategi

Med de nye revisjonene vil standardisering også være mer relevant og gjennomførbart for flere virksomheter. Med stadig mer komplekse og aktive trusselaktører, er det svært viktig at sikkerhetsarbeidet intensiveres – styring etter beste praksis vil bidra til å sikre best mulig beskyttelse, både for å forhindre uønskede henseleser, men også når en hendelse først oppstår.