In dit voorgaande nieuwsartikel kondigde we het al even aan; er komt een nieuwe ISO 27002 versie aan. ISO 27002 is een internationale normering die 114 beheersmaatregelen omschrijft voor bedrijven om het Information Security Management System (ISMS) te verbeteren. Eind 2020 is het ISO comité akkoord gegaan met het wijzigen van deze internationale normering. De ISO/IEC 27002:2021 DIS omschrijft een totaal van 93 beheersmaatregelen. In dit artikel zullen de grootste en belangrijkste wijzigingen in de ISO 27002 worden toegelicht.
De nieuwe ISO 27002 kent nog slechts vier categorieën waar alle 93 beheersmaatregelen in zijn onderverdeeld. De vier nieuwe categorieën zijn:
Organization of information security en physical controls zijn categorieën die één op één of grotendeels overeenkomen met de ISO 27002:2013 norm. De meest opvallende wijziging in categorieën is dat alle technische beheersmaatregelen zijn samengevoegd in de laatste categorie (technological controls).
Ook de ISO normering is onderhevig aan continue verbeteren. Hierdoor zijn er een aantal nieuwe beheersmaatregelen die inspelen op nieuwe ontwikkelingen in de informatiebeveiliging. De 11 nieuwe beheersmaatregelen zijn:
Met deze nieuwe beheersmaatregelen zoals threat intelligence, data leakage prevention en web filtering wordt er meer focus gelegd op het preventieve en monitoring gedeelte van het ISMS. Daarnaast krijgt ICT een centrale rol binnen de bedrijfscontinuïteit.
Een groot aantal beheersmaatregelen zullen niet meer als aparte maatregelen benoemd worden maar met soortgelijke zijn samengevoegd. Een voorbeeld hiervan is de samenvoeging van 5.1.1 Policies for information security en 5.1.2 Review of the policies for information security. Deze zijn samengevoegd tot 5.1 Policies for information security. Nieuwsgierig naar een totaaloverzicht? Deze staat in tabel B.1 van de ISO/IEC 27002:2021 DIS. Je kan natuurlijk ook altijd contact opnemen met een van mijn collega’s via info@qsn.nl.
“Information relating to information security threats should be collected and analysed to produce threat intelligence.”
Het doel van threat intelligence is om preventief bedreigingen voor het ISMS te detecteren en te neutraliseren. Zowel op strategisch, tactisch, als operationeel niveau moet informatie worden ingewonnen en uitgewisseld over de verschillende soorten bedreigingen. Vanuit de norm wordt geadviseerd dit te bewerkstelligen door het identificeren, doorlichten en selecteren van interne- en externe informatiebronnen die noodzakelijk en geschikt zijn om informatie te verstrekken over bedreigingen. Deze informatiebronnen dienen daarna te worden gebruikt voor het vergaren, analyseren en interpreteren van informatie. Waarna op basis van de conclusie relevante individuen binnen de organisatie moeten worden geïnformeerd.
“Processes for acquisition, use, management and exit from cloud services should be established in accordance with the organization’s security requirements.”
Het doel van information security for use of cloud services is het specificeren en beheren van informatiebeveiliging voor het gebruik van cloud services. Dit kan worden bereikt door te definiëren hoe de organisatie beveiligingsrisico’s betreffende cloud services wil beheersen. Deze beheersmaatregel kan als uitbreiding worden gezien van de beheersmaatregel betreffende het managen van externe diensten (5.21 & 5.22 van de 27002 DIS).
“ICT readiness should be planned, implemented, maintained and tested based on business continuity objectives and ICT continuity requirements.”
Het doel van ICT readiness for business continuity is het garanderen van de beschikbaarheid van de informatie van en voor de organisatie. Om te voldoen aan deze beheersmaatregel dienen organisaties een ICT continuïteitsplan (ICTCP) op te stellen. Dit kan ook een uitbreiding van het bedrijfscontinuïteitsplan (BCP) zijn. Het ICT continuïteitsplan betreft een specifiek gedeelte waarin een bedrijf impact analyse (BIA) wordt gedaan en op basis van deze BIA een recovery time objective (RTO) wordt gedefinieerd in het ICT specifieke scenario. Net als het BCP dient het ICTCP met regelmaat te worden getest.
“Premises should be continuously monitored for unauthorized physical access.”
Het doel van physical security monitoring is om ongeautoriseerde fysieke toegang te detecteren en af te schrikken. Dit doel is te realiseren door de omgeving te monitoren door middel van bewakers, inbraakalarmsystemen, videobewakingssysteem of het inhuren van een externe organisatie voor een van de eerder genoemde elementen. De focus ligt voornamelijk met deze beheersmaatregel op gebouwen en ruimtes waar bedrijf kritische systemen zijn ondergebracht. Denk daarbij aan serverruimtes, meterkasten, administratie of dus de centrale bewakingsruimte indien jouw organisatie die heeft.
“Configuration, including security configurations, of hardware, software, services and networks should be established, documented, implemented, monitored and reviewed.”
Het doel van configuration management is zorgen dat hardware, software, services en netwerken correct werken met de vereiste beveiligingsinstellingen. Ook is het belangrijk dat de configuratie niet wordt gewijzigd door ongeautoriseerd of onjuiste wijzigingen. Hiervoor adviseert de norm om een standaard template voor de security configuratie van hardware, software, services en netwerken op te stellen. Dit kan door gebruik te maken van openbare templates van verkopers of van beveiligingsorganisaties. Het template dient in lijn te zijn met het algemeen beveiligingsbeleid van de organisatie.
“Information stored in information systems and devices should be deleted when no longer required.”
Het doel van deze beheersmaatregel is om onnodige blootstelling van gevoelige informatie te voorkomen. Ook is het belangrijk om te voldoen aan wettelijke, statutaire, regelgevende en contractuele vereisten voor gegevensverwijdering. Om dit te bereiken dient de organisatie beleid te formuleren over de veilige methode van gegevensverwijdering en de eisen van bewijs. Wanneer er gebruik wordt gemaakt van een externe organisatie voor de verwijdering of vernietiging van gegevens dient deze volgens de norm gecertificeerd te zijn voor het beveiligd verwijderen van informatie.
“Data masking should be used in accordance with the organization’s topic-specific policy on access control and business requirement, taking legal requirements into consideration.”
Het doel van data masking is om de blootstelling van gevoelige gegevens, waaronder persoonlijk identificeerbare informatie, te beperken. Tevens gaat deze beheersmaatregel over het voldoen aan wettelijke, statutaire, regelgevende en contractuele vereisten. Voor data masking kan gebruik worden gemaakt van technieken zoals encryptie, nulling, het variëren van nummers of datums of het vervangen van data.
“Data leakage prevention measures should be applied to systems, networks and endpoint devices that process, store or transmit sensitive information.”
Het doel van deze beheersmaatregel is om de ongeautoriseerde openbaarmaking en extractie van informatie door personen of systemen te detecteren en te voorkomen. Dit kan worden bereikt door het classificeren van data en het monitoren van data lekkende kanalen. Denk hierbij aan e-mail, bestandsoverdrachten en draagbare harde schrijven. Wanneer bijvoorbeeld een mail met gevoelige data wordt verstuurd schrijft de norm voor dat deze dient te worden gestopt. Het wordt aangeraden om systemen te gebruiken die helpen bij het monitoren van uitgaande data en het voorkomen van (on)bedoeld lekken.
“Networks, systems and applications should be monitored for anomalous behaviour and appropriate actions taken to evaluate potential information security incidents.”
Het doel van deze beheersmaatregel is om afwijkend gedrag en mogelijke informatiebeveiligingsincidenten te detecteren. De organisatie dient vooraf de scope en het level te bepalen van de monitoring. Voor het monitoren van de systemen op afwijkend gedrag kan worden gedacht aan het monitoren van het out- en inbound netwerk, netwerkverkeer op applicaties, logging activiteiten, CPU, RAM en bandbreedte. Voor het voldoen aan de beheersmaatregel moeten de resultaten van de monitoringsactiviteiten worden bewaard voor een te definiëren periode.
“Access to external websites should be managed to reduce exposure to malicious content.”
Het doel van web filtering is om systemen te beschermen die worden aangetast door malware. Ook is het belangrijk om toegang tot ongeautoriseerde internetbronnen te voorkomen. Dit doel kan worden behaald door toegang tot websites die illegale content, virussen of phishing activiteiten bevatten te blokkeren voor medewerkers. Ook kan er voor worden gekozen om websites te blokkeren die een upload functie bevatten om zo (on)bedoeld lekken (zie 8.12 data leakeage prevention) tegen te gaan.
“Secure coding principles should be applied to software development.”
Het doel van secure coding is zorgen dat software veilig wordt geschreven, waardoor het aantal potentiële kwetsbaarheden in de informatiebeveiliging in software wordt verminderd. Hiervoor moet een organisatie een organisatie breed proces opzetten voor het werken met, het monitoren en verzekeren van secure coding. Wanneer een organisatie zelf niet aan ontwikkeling van software of systemen doet maar kiest voor uitbesteding, dient het proces te worden opgenomen bij het selecteren van een leverancier.
Elke beheersmaatregel is ingedeeld en gelabeld aan de hand van vijf aspecten: Control Type, Information security properties, Cybersecurity concepts, Operational capabilites, Security domains. Dit resulteert in een overzicht, bijlage A.1, van alle beheersmaatregelen waarmee gemakkelijker kan worden gekeken naar welke beheersmaatregel nodig is voor de werking van het ISMS.
Wil je op de hoogte blijven over alle ontwikkelingen op het gebied van Informatiebeveiliging? Schrijf je dan in voor onze nieuwsbrief! Heb je vragen over dit artikel of kan jouw organisatie onze expertise goed gebruiken? Neem contact op voor een vrijblijvend adviesgesprek.