Skip to content 
Wprowadzenie do ISO 27032 - cd.
Zgodnie z zapowiedzią pozostało nam 7 elementów, o których warto wspomnieć przy analizie normy ISO/IEC 27032 w nowej edycji, która należy do rodziny norm skupionych wokół ISO 27001, ale również można ją powiązać ISO 22301. W treści artykułu pozostaniemy przy pełnej nazwie normy zgodnie z wolą naszych czytelników.
Pozostałe zagadnienia i elementy – ISO/IEC 27032
ISO/IEC 27032 odnosi się do zabezpieczeń cybernetycznych i zarządzania ryzykiem, koncentrując się na kluczowych składnikach: interesariuszach i zasobach. Jest to standard, który wymaga zastosowania specjalnych mechanizmów kontroli w celu eliminacji luk w zabezpieczeniach, zagrożeń i ryzyka związanego z zasobami.
Interesariusze i zasoby jako kluczowe składniki
Interesariuszami mogą być zarówno osoby fizyczne – na przykład użytkownik końcowy korzystający z witryny internetowej – jak i organizacje, które próbują chronić swoje witryny przed naruszeniem bezpieczeństwa. Procesy zarządzania zagrożeniami, lukami w zabezpieczeniach i ryzykiem zależą od tego, kto, co i gdzie je stosuje.
Wymagania dotyczące zarządzania zagrożeniami
Podobnie jak w przypadku innych niedawno zaktualizowanych standardów bezpieczeństwa, takich jak ISO/IEC 27001 i PCI-DSS, wymagania dotyczące zarządzania zagrożeniami zostały rozszerzone zarówno dla organizacji, jak i dla jednostki. W szczególności, zwraca się uwagę na takie środki bezpieczeństwa jak monitorowanie i alarmowanie.
Monitorowanie sieci i reagowanie na incydenty
Norma ISO/IEC 27032 zawiera sekcję poświęconą monitorowaniu sieci i reagowaniu na incydenty, co podkreśla znaczenie tych kontroli bezpieczeństwa dla ochrony infrastruktury sieciowej i zasobów. Wśród zalecanych metod są między innymi użycie systemu wykrywania włamań i systemu zapobiegania włamaniom. Ale nie należy zapominać tutaj o dostępności do zasobów, o zakłóceniach i połączeniu tych elementów z ciągłością działania, co definiuje ISO 22301.
Łańcuch dostaw i relacje z podmiotami zewnętrznymi
Norma omawia także zależności z podmiotami zewnętrznymi, które mogą być wykorzystywane jako wektor ataku przez hakerów. Kontrola bezpieczeństwa stron trzecich, takich jak oceny ryzyka, audyty bezpieczeństwa i mocne umowy bezpieczeństwa, są kluczowe dla zapewnienia ochrony.
Bezpieczne praktyki programistyczne i ochrona serwerów
W treści znajdziemy również zalecenia dotyczące bezpiecznych praktyk programistycznych i ochrony serwerów, które mogą pomóc w ochronie najważniejszych zasobów organizacji. Dla użytkowników końcowych norma podkreśla znaczenie ochrony przed złośliwym oprogramowaniem, aktualizacji oprogramowania, ochrony przed phishingiem, osobistych zapór ogniowych i automatycznych aktualizacji.
Ewolucja ISO/IEC 27032
ISO/IEC 27032 musi ewoluować wraz ze światem cyberbezpieczeństwa, co pomaga jej załącznik A, zawierający dodatkowe wytyczne na tematy takie jak monitorowanie Darknetu i wykorzystywanie śladów w celu odtworzenia ścieżki ataku w cyberataku.
Podsumowanie
ISO/IEC 27032 jest standardem, który zapewnia wysokiej jakości wskazówki dotyczące podejścia do cyberbezpieczeństwa w organizacji. Kombinacja tej normy z innymi zasobami ISO, jak ISO 27001, ISO 22301 zapewnia najlepsze wyniki przy tworzeniu pełnego systemu zarządzania bezpieczeństwem i prywatnością.
Zapraszamy do współpracy
Zespół Centre of Excellence & QSCert
Bibliografia:
- ISO/IEC 27032:2023 – Cybersecurity — Guidelines for Internet security, https://www.iso.org/standard/76070.html,