...

ISO 27032 – Internet security – część 2

Wprowadzenie do ISO 27032 - cd.

Zgodnie z zapowiedzią pozostało nam 7 elementów, o których warto wspomnieć przy analizie normy ISO/IEC 27032 w nowej edycji, która należy do rodziny norm skupionych  wokół ISO 27001, ale również można ją powiązać ISO 22301. W treści artykułu pozostaniemy przy pełnej nazwie normy zgodnie z wolą naszych czytelników. 

ISO 27032

Pozostałe zagadnienia i elementy – ISO/IEC 27032

ISO/IEC 27032 odnosi się do zabezpieczeń cybernetycznych i zarządzania ryzykiem, koncentrując się na kluczowych składnikach: interesariuszach i zasobach. Jest to standard, który wymaga zastosowania specjalnych mechanizmów kontroli w celu eliminacji luk w zabezpieczeniach, zagrożeń i ryzyka związanego z zasobami.

Interesariusze i zasoby jako kluczowe składniki

Interesariuszami mogą być zarówno osoby fizyczne – na przykład użytkownik końcowy korzystający z witryny internetowej – jak i organizacje, które próbują chronić swoje witryny przed naruszeniem bezpieczeństwa. Procesy zarządzania zagrożeniami, lukami w zabezpieczeniach i ryzykiem zależą od tego, kto, co i gdzie je stosuje.

Wymagania dotyczące zarządzania zagrożeniami

Podobnie jak w przypadku innych niedawno zaktualizowanych standardów bezpieczeństwa, takich jak ISO/IEC 27001 i PCI-DSS, wymagania dotyczące zarządzania zagrożeniami zostały rozszerzone zarówno dla organizacji, jak i dla jednostki. W szczególności, zwraca się uwagę na takie środki bezpieczeństwa jak monitorowanie i alarmowanie.

ISO 27032, ISO 27001, ISO 22301

Monitorowanie sieci i reagowanie na incydenty

Norma ISO/IEC 27032 zawiera sekcję poświęconą monitorowaniu sieci i reagowaniu na incydenty, co podkreśla znaczenie tych kontroli bezpieczeństwa dla ochrony infrastruktury sieciowej i zasobów. Wśród zalecanych metod są między innymi użycie systemu wykrywania włamań i systemu zapobiegania włamaniom. Ale nie należy zapominać tutaj o dostępności do zasobów, o zakłóceniach i połączeniu tych elementów z ciągłością działania, co definiuje ISO 22301.

Łańcuch dostaw i relacje z podmiotami zewnętrznymi

Norma omawia także zależności z podmiotami zewnętrznymi, które mogą być wykorzystywane jako wektor ataku przez hakerów. Kontrola bezpieczeństwa stron trzecich, takich jak oceny ryzyka, audyty bezpieczeństwa i mocne umowy bezpieczeństwa, są kluczowe dla zapewnienia ochrony.

Bezpieczne praktyki programistyczne i ochrona serwerów

W treści znajdziemy również zalecenia dotyczące bezpiecznych praktyk programistycznych i ochrony serwerów, które mogą pomóc w ochronie najważniejszych zasobów organizacji. Dla użytkowników końcowych norma podkreśla znaczenie ochrony przed złośliwym oprogramowaniem, aktualizacji oprogramowania, ochrony przed phishingiem, osobistych zapór ogniowych i automatycznych aktualizacji.

Ewolucja ISO/IEC 27032

ISO/IEC 27032 musi ewoluować wraz ze światem cyberbezpieczeństwa, co pomaga jej załącznik A, zawierający dodatkowe wytyczne na tematy takie jak monitorowanie Darknetu i wykorzystywanie śladów w celu odtworzenia ścieżki ataku w cyberataku.

Podsumowanie

ISO/IEC 27032 jest standardem, który zapewnia wysokiej jakości wskazówki dotyczące podejścia do cyberbezpieczeństwa w organizacji. Kombinacja tej normy z innymi zasobami ISO, jak ISO 27001, ISO 22301 zapewnia najlepsze wyniki przy tworzeniu pełnego systemu zarządzania bezpieczeństwem i prywatnością.

Zapraszamy do współpracy
Zespół Centre of Excellence & QSCert

Bibliografia:

  1. ISO/IEC 27032:2023 – Cybersecurity — Guidelines for Internet security, https://www.iso.org/standard/76070.html,
Scroll to Top