2022 års version av SS-ISO/IEC 27001 publicerades den 7/12 och är nu uppdaterad med en ny bilaga A som överensstämmer med den nya versionen av ISO/IEC 27002. Förutom denna förändring har grundkravtexten justerats något. Det första är att kopplingen mellan kravtexten i 6.1.3 och Bilaga A har justerats med anledning av att de nya säkerhetsåtgärderna inte innehåller några åtgärdsmål (nu används syften för varje åtgärd i ISO/IEC 27002 istället). En förändring som tillkommit för att förtydliga att säkerhetsåtgärderna ska inte ses som krav i ledningssystemet, utan att kravet kommer från riskhanteringsprocessen där organisationen ska identifiera alla åtgärder som är nödvändiga och jämföra dessa med åtgärderna i bilaga A för att säkerställa att ingen förbisetts. Åtgärderna ska som tidigare dokumenteras i uttalande om tillämplighet, SoA.
Utöver denna förändring har grundtexten i dokumentet justerats två gånger. Dels justerades den engelska versionens grundtext genom att ett antal editoriella förändringar infördes som ett resultat av uppdateringar av Annex SL, som är ISO:s krav på harmoniserade standarder för ledningssystem. I den svenska översättningen av grundkraven har då också applicerats en svensk grundöversättning av Annex SL som har lett till en mängd smärre språkliga förändringar. Den största förändringen som detta inneburit är en att ett nytt krav 6.3 planering av förändring införts. Detta krav låg tidigare integrerat i 8.1 planering och styrning men har nu delats upp i två delar varav den delen som rör förändring har hamnat som 6.3 och förändringar av verksamheten finns kvar i 8.1.
Tidigare i år publicerade den nya versionen av ISO/IEC 27002 med helt omskrivna, konsoliderade säkerhetsåtgärder samt 11 nya säkerhetsåtgärder vilket innebär att antalet säkerhetsåtgärder nu uppgår till 93 stycken. Den nya versionen av ISO/IEC 27001 innehåller en uppdaterad bilaga A som överensstämmer med den nya versionen av ISO/IEC 27002. Mer information om den nya versionen av ISO/IEC 27002 finns här: https://www.uppsec.se/2021/10/29/ny-iso-iec-27002-riktlinjer-for-informationssakerhetsatgarder/
När det gäller ISO/IEC 27001 så kommer denna också tas som europeisk (EN) standard under våren 2023. När allt är klart kommer således standarden att heta SS-EN-ISO/IEC 27001 och kommer då vara både svensk, europeisk och global standard.
SVENSK ÖVERSÄTTNING AV ISO/IEC 27002 PUBLICERAD 2022-09-22
Den 22/9 2022 publicerade då äntligen den efterfrågade svenska översättningen av 2022 års version av ISO/IEC 27002. Den nya versionen är också antagen som svensk standard (SS). Den beräknas också bli tagen som europeisk standard (EN) under hösten. Arbetet med att översätta standarden har varit omfattande då det är ett väldigt stort dokument. I arbetet har från SIS kommitté för informationssäkerhet (TK 318) så har ett antal personer från AG 11 arbetat hårt med att få fram översättningen tillsammans med SIS och TK 318 Terminologigrupp (AG 04). De som deltagit i arbetet från AG 11 är: Lars Söderlund, UPPSEC AB, Anna Andersson, Versican Security, Daniel Jönsson, Transportstyrelsen, Kristina Starkerud, Ekobrottsmyndigheten samt Tove Wätterstam från MSB.
BAKGRUND OCH ÖVERSIKT
ISO/IEC 27002 är en av de mest använda och erkända standarderna för säkerhetsåtgärder inom informationssäkerhet i världen. Den innehåller en lista över allmänna åtgärder och vägledning för att implementera dessa åtgärder som stöder organisationer att implementera ett ledningssystem för informationssäkerhet som överensstämmer med ISO/IEC 27001.
ISO/IEC 27002 är framtaget för att stödja implementeringen av ISO/ IEC 27001, men ISO/IEC 27002 kan även användas som ett fristående dokument. I bilaga A till ISO/IEC 27001 finns en förteckning av säkerhetsåtgärder från ISO/IEC 27002, inklusive mål, och beskrivning av säkerhetsåtgärden. Enligt den nuvarande versionen av ISO/IEC 27001 6.1.3 måste organisationer jämföra de säkerhetsåtgärder som organisationen har genomfört med dem som förtecknas i bilaga A och utarbeta ett uttalande om tillämplighet som motiverar att säkerhetsåtgärderna i bilaga A införs och utesluts.
ISO/IEC 27002 publicerades första gången 2000 som ISO/IEC 17799, som antog en brittisk standard (BS 7799 del 1) som ursprungligen publicerades 1995. ISO/IEC 17799 döptes senare om till ISO/IEC 27002 och reviderades 2005 och 2013 (svensk översättning publicerad 2014), vilket är den nuvarande versionen, även känd som den andra utgåvan.
KONSOLIDERING OCH MODERNISERING
Den nuvarande utgåvan av standarden består av 114 säkerhetsåtgärder som organiseras i 14 kategorier. Varje kategori innehåller ett säkerhetsmål och ett antal åtgärder. Varje säkerhetsåtgärd har en titel, en beskrivning av åtgärden, vägledning för införande och övrig information som kan vara av värde för användaren av standarden.
En helt ny, omarbetad version av ISO/IEC 27002 har varit under utveckling sedan 2018 och planeras att publiceras under första kvartalet 2022. Standarden är nu helt omarbetad och har en ny struktur och samtliga säkerhetsåtgärder har skrivits om och moderniserats för att stämma överens med den snabba utveckling som skett inom IT- och informationssäkerhetsområdet.
Ett antal nya säkerhetsåtgärder har tillförts till standarden. Samtidigt har de tidigare säkerhetsåtgärderna konsoliderats och några säkerhetsåtgärder har tagits bort. Trots införande av flera nya åtgärder har konsolideringen inneburit att antalet säkerhetsåtgärder har minskat från 114 till 93.
Säkerhetsåtgärderna i standarden är en förteckning över allmänna säkerhetsåtgärder. De är tillämpliga på organisationer i alla storlekar och typer av organisationer oavsett i vilken sektor de är verksamma. Organisationer förväntas göra riskbedömningar utifrån sin kontext, sina mål, sina krav från berörda parter för att fastställa och genomföra riskbehandlingsplaner, vilket inbegriper att införa en uppsättning av säkerhetsåtgärder som utgör organisationens svar på vilka faktiska säkerhetsåtgärder som behöver vidtas.
ISO/IEC 27002 behandlar inte riskbedömningsprocessen och fastställandet av vilka säkerhetsåtgärder som behövs för att minska de risker som är relevanta för organisationen, men den innehåller en förteckning av säkerhetsåtgärder som organisationen bör överväga mot bakgrund av identifierade hot och risker. Förteckningen är omfattande men inte uttömmande. Standarden innehåller en heltäckande grund av säkerhetsåtgärder men detta innebär inte att alla tänkbara informationssäkerhetsåtgärder inkluderas, särskilt när vissa är specifika för vissa sektorer eller typer av organisationer.
ISO/IEC 27002 OCH ANDRA STANDARDER FRÅN ISO/IEC JTC 1 SC 27
Vägledningen för införande av säkerhetsåtgärder i ISO/IEC 27002 är beskriven på en hög nivå och hänvisar även till andra SC27-standarder som ger ytterligare specifik vägledning inom området. ISO/IEC 27002 ger till exempel vägledning på hög nivå om genomförandet av nyckelhanteringsprocessen, där ISO/IEC 11770 Key Management (multipartstandard i 3 delar) ger detaljerad omfattande vägledning om nyckelhantering.
HELT NY STRUKTUR
I den nya versionen ordnas säkerhetsåtgärderna genom 4 teman:
Organisation (37 säkerhetsåtgärder)
Personer (8 säkerhetsåtgärder)
Fysiska (14 säkerhetsåtgärder)
Tekniska (34 säkerhetsåtgärder)
NY ANVÄNDNING AV ATTRIBUT FÖR SÄKERHETSÅTGÄRDER
För varje säkerhetsåtgärd har de skapats en lista med attribut så att de kan grupperas efter dessa definierade attribut. Syftet med dessa nya attribut är att göra standarden mer flexibel så att organisationer kan skapa sina egna vyer för att presentera, filtrera eller sortera säkerhetsåtgärderna för olika målgrupper eller perspektiv.
Organisationen kan använda dessa attribut för att skapa olika vyer som är olika kategoriseringar av säkerhetsåtgärder som ses från ett annat perspektiv än teman. Attribut kan användas för att filtrera, sortera eller presentera kontroller i olika vyer för olika målgrupper.
Alla säkerhetsåtgärder är associerade med fyra attribut (med motsvarande attributvärden (föregångna av ”#” för att göra dem sökbara), enligt följande:
a) Typ av säkerhetsåtgärd
Typ av säkerhetsåtgärd är ett attribut för att visa säkerhetsåtgärder ur perspektivet när och hur åtgärden påverkar risk i relation till en tänkt informationssäkerhetsincident. Attribut: (#Preventive, #Detective, #Corrective)
b) Informationssäkerhetsaspekt
Informationssäkerhetsaspekt är ett attribut för att visa säkerhetsåtgärder utifrån vilken aspekt säkerhetsåtgärden syftar till att bevara. Attribut: #Confidentiality, #Integrity och #Availability.
c) Cybersäkerhetskoncept
Cybersäkerhetskoncept är ett attribut för att visa säkerhetsåtgärder som relateras till konceptområden som beskrivs i ISO/IEC TS 27101. Attribut: #Identify, #Protect, #Detect, #Respond och #Recover.
d) Operativa områden
Operativa områden är ett attribut för att visa säkerhetsåtgärder ur användarens perspektiv av funktioner inom informationssäkerhetsområdet. Attribut: #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_ security, #Application_security, #Secure_configuration, #Identity_and_access_management, #Threat_and_vulnerability_management, #Continuity, #Supplier_relationships_security, #Legal_and_ compliance, #Information_security_event_management och #Information_security_assurance.
e) Säkerhetsdomän
Säkerhetsdomän är ett attribut för att visa säkerhetsåtgärder ur ett perspektiv som gäller informationssäkerhetsområden, expertis, tjänster och produkter. Attribut: #Governance_and_Ecosystem, #Protection, #Defence och #Resilience.
OSCAL
ISO/IEC 27002 är även tänkt att publiceras i OSCAL (Open Security Controls Assessment Language), som utvecklats av NIST i samarbete med industrin. OSCAL är ett format som uttrycks i XML, JSON och YAML. Detta format används för att skap maskinläsbara kataloger av säkerhetsåtgärder, basnivåer, säkerhetsåtgärder för system och punkter för utvärdering.
ISO/IEC 27002 är sannolikt den mest spridda standarden inom informationssäkerhetsområdet och utgör mycket av grunden för hela området information security management. ISO/IEC 27002 tillsammans med ISO/IEC 27001 har rankats som några av ISO:s absolut viktigaste standarder med epitetet high profile standards. ISO/IEC 27002 utgör också ett portaldokument som används av diverse fördjupade vägledningar och sektorspecifika standarder.
Under en längre tid har det pågått ett stort arbete inom ISO SC 27 WG1 med att ta fram en helt omarbetad ny version av ISO/IEC 27002. Denna börjar närma sig slutet. Publicering väntas i slutet av 2021 eller i första halvan av 2022.
Bakgrunden till 27002 är att det år 2000 infördes en standard som hette ISO/IEC 17799 och som då byggde på den engelska standarden BS 7799. År 2005 genomfördes en omarbetning och standarden döptes då om till ISO/IEC 27002. Ytterligare en revision publicerades 2013 spm gällt sedan dess (andra utgåvan). Nu kommer alltså en tredje utgåva.
Hela dokumentet har arbetats om med en ny struktur, konsoliderade åtgärder samt en del nya åtgärder. Genom konsolideringen har antalet åtgärder minskat från ursprungliga 114 till 93 trots att en hel del nytt lagts med. Hur är detta möjligt? Tidigare fanns vissa åtgärder som var väldigt grundläggande beskrivna på många ställen vilket skapade ett ganska stort överlapp mellan olika åtgärder. Nu har man minskat detta genom genomförd konsolidering vilket medfört att antalet åtgärder minskats. Alla åtgärder har också omarbetats och moderniserats. Några få har försvunnit medan en hel del nytt införts både i helt nya åtgärder eller ny vägledning i befintliga åtgärder.
Strukturen är helt ny och från att ha 114 åtgärder i 14 avsnitt har man nu delat upp åtgärderna i 4 områden:
Organization (37 åtgärder)
People (8 åtgärder)
Physical (14 åtgärder)
Technological (34 åtgärder)
ISO/IEC 27002 är sammankopplad med ISO/IEC 27001 (kravstandarden som man certifierar sig mot) genom Bilaga A som innehåller en lista på åtgärder med målbeskrivning för varje åtgärd. Hur blir det då med denna? Vid pågående möte i SC 27 under denna vecka (vecka 15) beslutades att man ska ta fram en Amendment till 27001 och byta ut bilaga A så den ska stämma med nya versionen av ISO/IEC 27002. Förhoppningen är att denna ska kunna bli klar så nära publiceringen av ISO/IEC 27002 som möjligt.
Den 11/2 2020 publicerade CEN CENELEC JTC 13 (Cybersecurity & Data protection) resultatet från omröstningen av att göra ISO/IEC 27701 ”Extension of ISO/IEC 27001 and 27002 for privacy information management – Requirements and guidelines” till europeisk standard (EN). Standarden bygger på att man som organisation har ett ledningssystem i enlighet med ISO/IEC 27001 i botten och adderar ytterligare krav och säkerhetsåtgärder rörande privacy. Det kommer att gå att certifiera sig mot denna standard inom en nära framtid när reglerna för hur certifiering ska gå till blir färdiga.
Den 6 juli 2018 presenterade Regeringen sin digitaliseringsstrategi. Vid denna uttalade civilminister Ardalan Shekarabi att Sverige skulle ”återta sin världsledande position rörande digitalisering”. När Sverige tidigare varit världsledande är för mig oklart och förklaras inte. Uttalandet visar tydligt hur dåligt ställt det är med förståelsen för vad digitalisering innebär och kräver.
En grundförutsättning för att överhuvudtaget kunna digitalisera viktiga samhällstjänster är att berörda aktörer håller en relevant nivå av informationssäkerhet, eller cybersäkerhet som det numera är populärt att kalla det (ett begrepp som ingen har lyckats definiera än så länge).
Men hur är det då ställt med informationssäkerheten i Sverige i slutet av 2018? Här kommer några iakttagelser från vad jag ser på marknaden.
-Jag ser organisationer inom både offentlig förvaltning och näringsliv där man inte har kontroll över sin information. I ett informationssamhälle är det en veritabel härdsmälta.
-Jag ser en statsmakt som fortfarande är extremt fragmentiserad där det är allt fler ”kockar som ska röra om i sin lilla del av grytan”. Fortfarande saknas det ett tydligt mandat för en central aktör att koordinera olika aktiviteter inom informationssäkerhetsområdet. Många kockar genomför splittrade insatser med varierande framgång. Visst görs det enstaka insatser som är bra och vällovliga men i det stora hela är den sammantagna effekten fullständigt otillräcklig.
-Jag ser föreskrifter som är urvattnade då dom egentligen inte sätter ner foten med vad som krävs utan nöjer sig med att formulera krav som t.ex. man ska ha ett ledningssystem för informationssäkerhet med stöd av ISO/IEC 27001. Alltså inte att man ska ha ett LIS som uppfyller ISO/IEC 27001 utan med stöd av. Vad betyder med stöd av kan man undra? Kanske det räcker om en medarbetare för 10 år sedan tittade i standarden?
-Jag ser nya regleringar som t.ex. NIS-direktivet där tillhörande föreskrifter innebär att ett flertal myndigheter behöver bygga upp egna organisationer för tillsyn, vilket kräver specialkompetens som är svår att hitta på marknaden och ändå svårare att behålla. Detta samtidigt som det finns ett statligt system för tillsyn under ledning av SWEDAC som är till för detta.
-Jag konstaterar att MSB i sin konsekvensutredning rörande föreskrift för NIS-direktivet argumenterade för och emot att ställa ett hårt krav på att man ska vara certifierad i enlighet med ISO/IEC 27001. Det enda argumentet mot detta var att det var kostnadskrävande. Ni kan ju gissa om det blev ett hårt krav i föreskriften eller inte? Jag antar att det innebär att informationssäkerhet i samhällskritisk verksamhet inte får kosta något?
-Jag ser att Sverige halkat efter i statistiken över certifierade organisationer. I statistiken framgår ju tydligt att det finns länder som Bulgarien och Rumänien som kommit betydligt längre. Jämför vi Sverige med till exempel Nederländerna som är hyfsat liknande i storlek så finns det 4 gånger fler certifierade organisationer i Nederländerna jämfört med Sverige. Följaktligen så är affärskravet att man är certifierad avseende informationssäkerhet väldigt vanligt när man ser krav från holländska företag eller myndigheter men inte särskilt vanliga i Sverige.
-Jag ser ointresse från regeringen och statsmakten att använda internationella standarder trots att det finns minst två statliga utredningar som har konstaterat att Sverige som litet land i hög omfattning måste förlita sig på internationella standarder.
-Jag ser att Polisen och MSB aktivt stöttar att det sätts upp ett system för certifiering baserat på egenkontroll och som inte är ackrediterad av SWEDAC och som aldrig kommer att kunna användas som bevis för att uppfylla affärskrav.
-Jag ser ett lågt intresse från statens sida att säkerställa ett starkt och aktivt deltagande i utvecklingen av internationella standarder trots att ett fåtal personer inom berörda myndigheter gör vad dom kan. Men totalt sett blir det ändå otillräckligt. Som exempel kan nämnas att Sverige under de senaste 10 åren inte haft någon som helst representation inom ISO/IEC JTC1 SC27 WG2 som arbetar med standarder rörande krypteringsalgoritmer. Just nu håller dom på och utvecklar ”post-quantum algorithms”. Men detta kanske är ett helt ointressant område för Sverige?
-Jag ser myndigheter som har varit medvetna om vad dom behöver göra sedan 2005 men som trots det ännu inte har kommit in i ett systematiskt förbättringsarbete. All energi går åt till akuta reaktiva insatser.
-Jag ser myndigheter som helt saknar kontinuitetshantering.
-Jag ser kommuner som inte har tagit sitt ansvar för informationssäkerheten eftersom ”dom inte fått några särskilda medel för det”.
-Jag ser statliga upphandlingar som innebär omfattande hantering av personuppgifter där det enda kravet på informationssäkerhet är att man ska ha en informationssäkerhetspolicy.
-Jag ser svenska företag som tappar affärer till utländska konkurrenter eftersom dom inte är certifierade gentemot ISO/IEC 27001.
-Jag ser svenska företag som är certifierade i enlighet med ISO/IEC 27001 men som vid offentliga upphandlingar inte har någon som helst fördel av det då upphandlande organisation inte ställde några krav överhuvudtaget runt informationssäkerhet trots att upphandlingen omfattade hantering av personregister.
-Jag ser både företag och offentlig förvaltning som gladeligen utkontrakterar sin informationshantering och system till leverantörer och molntjänster utan att man har ställt relevanta krav och utan att det genomförts någon som helst riskbedömning.
Enligt min mening så är situationen långt ifrån bra och ska vi som land bli värdsledande i digitalisering behöver vi bli världsledande när det gäller informationssäkerhet. Och det är vi väldigt långt ifrån i nuläget. Den nuvarande situationen innebär att Sverige som land drabbas av onödiga och mer eller mindre allvarliga incidenter dagligen som kunnat förhindras med ett systematiskt arbete. Frågan är hur många år till det ska ta innan regeringen och statsmakten tar detta på fullt allvar och sätter ner foten en gång för alla. Vi har just nu nått en nivå då Sveriges konkurrenskraft som land påverkas negativt. Frågan är om någon bryr sig? Vad säger du, civilminister Ardalan Shekarabi?
UPPSEC AB deltar under denna vecka (Vecka 16 2018) i ISO/IEC SC27 konferens i Wuhan, Kina. SC27 ansvarar för att ta fram globala ISO/IEC-standarder inom områdena informationssäökerhet, cybersäkerhet och privacy. 300 experter från hela världen deltar under en veckas arbete med att utveckla standarder för hela området. Totalt pågår ett 90-tal olika projekt för närvarande. SC27 har publicerat cirka 150 standarder inom området. Bl.a. har denna grupp tagit fram ISO/IEC 27000-serien där bland annat ISO/IEC 27001 och ISO/IEC 27002 ingår. Standarderna används av alla tusentals organisationer, små såväl som stora, privata såväl som offentlig över hela världen
Många organisationer har sent vaknat upp och förstått att det kommer ny lagstiftning i maj 2018 som berör dom. På sina ställen där man är sent ute råder en GDPR-hysteri. Men om man nu har ett ledningssystem för informationssäkerhet (ISO/IEC 27001) då kan man självklart använda detta som ett medel för att hantera GDPR. Sett från LIS-perspektiv är GDPR bara ytterligare att legalt krav. Ett av många. Har man haft LIS sedan tidigare ska man ju såklart ha identifierat PuL för länge sedan och vidtagit åtgärder för att följa den. Då är ju förändringen till det nya inte alltför stort.
Bra riskanalyser är nyckeln i ett fungerande LIS. Väl utförda riskanalyser ska ha identifierat risker kopplade till hanteringen av personuppgifter. Möjligen kan dessa behöva kompletteras något men organisationen borde komma långt med redan utförda analyser.
Utöver LIS har ISO tagit fram några standarder som kan vara värda att uppmärksammas i sammanhanget.
ISO/IEC 29151 är en vägledning (publicerad 2017) som kompletterar ISO/IEC 27002 med ytterligare vägledning av befintliga säkerhetsåtgärder i 27002 rörande hanteringen av personuppgifter, Utöver detta identifierar ISO/IEC 29151 ett antal ytterligare tillkommande säkerhetsåtgärder rörande hanteringen av personuppgifter. Standarden är global och är därför inte direkt skriven mot GDPR men innehåller de beståndsdelar som finns i GDPR.
ISO/IEC 29134 ger vägledning runt genomförandet av PIA (privacy impact assessment). Dokumentet ska ses som en förlängning av riskhanteringen som beskrivs i ISO/IEC 27005 och den generiska riskhantering inom ledningssystem som beskrivs i ISO 31000.
Genom att komplettera sitt LIS genom att studera dessa två standarder kan en organisation anpassa sitt LIS för att täcka de flesta av kraven i GDPR.
UPPSEC är ett företag som tillhandahåller tjänster inom informationssäkerhet och cybersäkerhet. UPPSEC utför konsultuppdrag, revisioner och utbildningar inom området.
UPPSEC AB ägs och drivs av Lars Söderlund. Lars är senior informationssäkerhetsexpert med 20 års erfarenhet inom området. Lars är certifierad CISM (certified information security manager) och ISMP (information security professional). Genom den långa erfarenhet och aktivt deltagande vid utvecklingen av svenska och globala standarder kan UPPSEC stödja organisationer på ett unikt sätt och införa ett systematiskt arbetssätt på ett verksamhetsanpassat sätt. UPPSEC AB stödjer både små och stora organisationer, både privata och offentliga när det gäller arbetet med informationssäkerhet, cybersäkerhet och dataskydd.
UPPSEC AB är aktiv medlem inom den svenska och internationella standardiseringen. UPPSEC AB är medlem i SIS TK 318 och bemannar där rollen som ordförande i AG 11 som utgör den svenska spegelgruppen till ISO/IEC jTC 1 SC 27 WG 1 som hanterar managementstandarder inom informationssäkerhetsområdet inom ISO/IEC 27000-serien. Arbetet med standardiseringen innebär att UPPSEC AB deltar inom det internationella standardiseringsarbetet i följande grupper:
ISO/IEC JTC 1 SC 27 WG1, WG 4 och WG 5
CEN CENELEC JTC 13
ISO TMB JTCG
Förutom standardiseringen är UPPSEC AB medlem i SIG Security och ISACA Sweden chapter.
