Skip to content 
Wprowadzenie do ISO 27032
Cyberbezpieczeństwo – Wytyczne dotyczące bezpieczeństwa w Internecie to pełna nazwa normy ISO/IEC 27032 w swojej drugiej odsłonie, która pojawiła się na rynku tuż przed wakacjami. Została ona dostosowana do zmian jakie wprowadzono do norm podstawowych ISO/IEC 27001, oraz ISO/IEC 27002 ( w dalszej części artykułu skrótowo ISO 27001, ISO 27002, ISO 27032, ISO 22301). Natomiast w odniesieniu do swojego pierwowzoru wprowadzono trochę zmian główne dotyczących:
- dostosowania tytułu głównego do rodziny norm, czyli „Cybersecurity”;
- przebudowania struktury dokumentu pod jej cel;
- zmiany podejścia do oceny i postępowania z ryzykiem, dodając treści dotyczące zagrożeń, luk w zabezpieczeniach i wektorów ataków w celu identyfikacji zagrożeń bezpieczeństwa w internecie i zarządzania nimi;
- mapowania powiązań między środkami kontroli bezpieczeństwa Internetu wymienionymi w pkt 9.2 a środkami kontroli zawartymi w normie ISO 27002, co udokumentowano w załączniku A.
Norma koncentruje się na kwestiach związanych z bezpieczeństwem w Internecie i zawiera wskazówki dotyczące przeciwdziałania powszechnym zagrożeniom bezpieczeństwa w Internecie, takim jak, np. ataki socjotechniczne, ataki zero-day, ataki na prywatność, hakowanie, oraz rozprzestrzenianie się złośliwego oprogramowania (malware), oprogramowania szpiegującego i innego potencjalnie niechcianego oprogramowania.
Wytyczne zawarte w tym dokumencie określają techniczne i nietechniczne mechanizmy kontrolne (zabezpieczenia). Koncentrują się one na zapewnieniu najlepszych praktyk branżowych, szerokiej edukacji konsumentów i pracowników, aby pomóc zainteresowanym stronom w odgrywaniu aktywnej roli w rozwiązywaniu wyzwań związanych z bezpieczeństwem w Internecie. Ponadto dokument odnosi się również do zachowania poufności, integralności i dostępności informacji w Internecie oraz innych właściwości, takich jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność, które również mogą być przedmiotem zainteresowania. Biorąc pod uwagę zakres ISO 27032, dostarczone zabezpieczenia są z konieczności na wysokim poziomie ogólności. Zgodność między zabezpieczeniami wymienionymi w tej normie a zawartymi w normie ISO/IEC 27002 znajduje się w załączniku A. ISO 27032 nie odnosi się konkretnie do mechanizmów kontrolnych, których organizacje mogą wymagać od systemów wspierających infrastrukturę krytyczną lub bezpieczeństwo narodowe. Jednak większość środków kontroli ryzyka (zabezpieczeń) wymienionych w normie można także zastosować do takich systemów.
Różnice i powiązania pomiędzy cyberbezpieczeństwem i bezpieczeństwem informacji
Cyberbezpieczeństwo i bezpieczeństwo informacji to dwa aspekty ogólnego pojęcia bezpieczeństwa, których implementację aktualnie próbujemy realizować. Cyberbezpieczeństwo, często nazywane bezpieczeństwem IT, skupia się na zabezpieczaniu routerów, firewalli, nazw użytkowników i innych elementów związanych z technologią. Z drugiej strony, bezpieczeństwo informacji zajmuje się zarządzaniem politykami bezpieczeństwa, standardami oraz ochroną osób, danych i zasobów.
Norma ISO/IEC 27032 koncentruje się szczególnie na bezpieczeństwie IT, natomiast norma ISO/IEC 27001 jest związana z bezpieczeństwem informacji. Chociaż te dwa pojęcia często się nakładają, jest istotne, aby zachować rozróżnienie między nimi dla większej przejrzystości w obrębie dziedziny bezpieczeństwa. A gdy dojdzie do tego norma ISO 22301, to należy także wziąć pod uwagę ciągłość działania w tym kontekście
Zagrożenia Cyberbezpieczeństwa
Zagrożenia dla cyberbezpieczeństwa obejmują ryzyka takie jak inżynieria społeczna, hakerstwo, złośliwe oprogramowanie, spyware, ransomware i wiele innych, które są poruszone w normie ISO/IEC 27032. Norma ISO/IEC 27001 również omawia te zagadnienia, ale ISO/IEC 27032 traktuje te zagrożenia z perspektywy przygotowania, wykrywania, monitorowania oraz reagowania na ataki lub potencjalne zagrożenia.
Ewolucja Działu IT w Organizacjach
Wielu z nas pamięta, że przeszłości dział IT w organizacjach często był traktowany jak usługa drugorzędna. Chociaż to się zmieniło w dojrzałych organizacjach to jeszcze nie jest to powszechne. Mając to na uwadze, norma ISO/IEC 27032 podkreśla potrzebę współpracy między działem IT a innymi działami, zarówno z wewnętrznymi, jak i zewnętrznymi klientami IT, a także z dostawcami zewnętrznymi związanymi z organizacją. Podkreśla to ideę budowania IT 2.0, w którym IT wyłania się z mentalności obszarów nieeksponowanych, aby stać się integralną częścią całej organizacji. Norma ISO/IEC 27032 uwzględnia wymianę informacji, koordynację działań i zintegrowaną reakcję na incydenty.
Wdrożenie Normy ISO/IEC 27032
Wdrożenie ISO/IEC 27032 wymaga specyficznych procesów, które nie są typowe dla pierwotnej dziedziny IT. Należy zainicjować zaufanie między IT a klientami, wprowadzić procesy współpracy, wymiany i udostępniania informacji, oraz zdefiniować techniczne wymagania dotyczące integracji systemów i interoperacyjności między interesariuszami. Efektywne wdrożenie normy ISO/IEC 27032 wymaga pewnego stopnia umiejętności komunikacyjnych, zarówno technicznych, jak i nietechnicznych. Na szczęście, norma ISO/IEC 27032 oferuje wsparcie w tych kwestiach, przynajmniej na wyższym poziomie. Według definicji ISO/IEC 27032, cyberbezpieczeństwo polega na zabezpieczaniu aplikacji, sieci i Internetu, jednocześnie wspierając bezpieczeństwo informacji i ochronę kluczowej infrastruktury informatycznej. Warto też dołożyć do niej element ciągłości działania wg ISO 22301, przynajmniej w części.
Podsumowanie o ISO 27032
Norma ISO/IEC 27032 nie jest napisana w taki sam sposób jak wiele innych norm ISO – ma bardziej rozmowny charakter i ma na celu zapewnienie wysokopoziomowych wskazówek dotyczących zarządzania cyberbezpieczeństwem w organizacji. Łącząc normę ISO/IEC 27032 z innymi zasobami ISO, można osiągnąć najlepsze wyniki podczas tworzenia kompleksowego systemu zarządzania bezpieczeństwem i prywatnością.
Standard stanowi wartościowy zasób dla organizacji, które pragną efektywnie zarządzać ryzykiem i zagrożeniami związanymi z bezpieczeństwem informacji. Jej wdrożenie pozwala podnieść poziom bezpieczeństwa, minimalizować ryzyko incydentów oraz budować zaufanie wobec organizacji. Jest to niezwykle istotne, biorąc pod uwagę rosnącą liczbę cyberataków i znaczenie ochrony danych w dzisiejszej erze cyfrowej.
Norma jako wytyczne jest pomostem między zagadnieniami cyberbezpieczeństwa a bezpieczeństwa informacji (np. w ISO 27001), dlatego pozwala w spójny sposób zakreślić tak obszary własne, jak i wspólne. Może być dobrą lekturą porządkującą wiedzę w tych zakresach. Czasami można na rynku spotkać szkolenia, a nawet certyfikacje kompetencji w tym zakresie. Jeszcze te pierwsze można uznać za pożyteczne i wartościowe propozycje na ścieżce rozwoju kompetencji. Natomiast certyfikację kompetencji przy tak małej rozpoznawalności certyfikatu i jego specyficznej roli należy uznać za niepotrzebny wydatek. Marketing w tym zakresie może tworzyć bardzo ciekawą propozycję awansu, jednakże z praktyki uznajemy to za mało znaczącą certyfikację kompetencji. Wystarczy z resztą zobaczyć na jakąkolwiek matrycę certyfikacji kompetencji w tym obszarze i nigdzie nie znajdą Państwo tej pozycji.
Warto jednak dla lepszego zrozumienia powiązań, metod, tematów w zakresie cyberbezpieczeństwa wprowadzić tą normę do swojego portfolio, gdyż taka jest właśnie jej rola. Szczególnie ważne jest to po nowelizacji norm głównych – ISO 27001, ISO 27002, ISO 22301, itd. i potrzebie zapewnienia kompatybilności w odniesieniach do norm współbieżnych, jaką jest m.in. norma ISO 27032.
Postaramy się w jednym z kolejnych wpisów przybliżyć inne aspekty ujęte w omawianej normie aby nie tworzyć tutaj zbyt długiego tekstu.
W razie jakichkolwiek pytań zapraszamy do kontaktu.
Zespół Centre of Excellence & QSCert
Bibliografia:
- ISO/IEC 27032:2023 – Cybersecurity — Guidelines for Internet security, https://www.iso.org/standard/76070.html,
- PECB Insights, issue 43, April – June 2023 – https://insights.pecb.com/pecb-insights-issue-43-april-june-2023/#page1