Uppdatering 22/9 2022: Nya ISO/IEC 27002, Riktlinjer för informationssäkerhetsåtgärder, översatt till svenska och antagen som svensk standard (SS)

SVENSK ÖVERSÄTTNING AV ISO/IEC 27002 PUBLICERAD 2022-09-22

Den 22/9 2022 publicerade då äntligen den efterfrågade svenska översättningen av 2022 års version av ISO/IEC 27002. Den nya versionen är också antagen som svensk standard (SS). Den beräknas också bli tagen som europeisk standard (EN) under hösten. Arbetet med att översätta standarden har varit omfattande då det är ett väldigt stort dokument. I arbetet har från SIS kommitté för informationssäkerhet (TK 318) så har ett antal personer från AG 11 arbetat hårt med att få fram översättningen tillsammans med SIS och TK 318 Terminologigrupp (AG 04). De som deltagit i arbetet från AG 11 är: Lars Söderlund, UPPSEC AB, Anna Andersson, Versican Security, Daniel Jönsson, Transportstyrelsen, Kristina Starkerud, Ekobrottsmyndigheten samt Tove Wätterstam från MSB.

BAKGRUND OCH ÖVERSIKT 

ISO/IEC 27002 är en av de mest använda och erkända standarderna för säkerhetsåtgärder inom informationssäkerhet i världen. Den innehåller en lista över allmänna åtgärder och vägledning för att implementera dessa åtgärder som stöder organisationer att implementera ett ledningssystem för informationssäkerhet som överensstämmer med ISO/IEC 27001. 

ISO/IEC 27002 är framtaget för att stödja implementeringen av ISO/ IEC 27001, men ISO/IEC 27002 kan även användas som ett fristående dokument. I bilaga A till ISO/IEC 27001 finns en förteckning av säkerhetsåtgärder från ISO/IEC 27002, inklusive mål, och beskrivning av säkerhetsåtgärden. Enligt den nuvarande versionen av ISO/IEC 27001 6.1.3 måste organisationer jämföra de säkerhetsåtgärder som organisationen har genomfört med dem som förtecknas i bilaga A och utarbeta ett uttalande om tillämplighet som motiverar att säkerhetsåtgärderna i bilaga A införs och utesluts. 

ISO/IEC 27002 publicerades första gången 2000 som ISO/IEC 17799, som antog en brittisk standard (BS 7799 del 1) som ursprungligen publicerades 1995. ISO/IEC 17799 döptes senare om till ISO/IEC 27002 och reviderades 2005 och 2013 (svensk översättning publicerad 2014), vilket är den nuvarande versionen, även känd som den andra utgåvan. 

KONSOLIDERING OCH MODERNISERING

Den nuvarande utgåvan av standarden består av 114 säkerhetsåtgärder som organiseras i 14 kategorier. Varje kategori innehåller ett säkerhetsmål och ett antal åtgärder. Varje säkerhetsåtgärd har en titel, en beskrivning av åtgärden, vägledning för införande och övrig information som kan vara av värde för användaren av standarden. 

En helt ny, omarbetad version av ISO/IEC 27002 har varit under utveckling sedan 2018 och planeras att publiceras under första kvartalet 2022. Standarden är nu helt omarbetad och har en ny struktur och samtliga säkerhetsåtgärder har skrivits om och moderniserats för att stämma överens med den snabba utveckling som skett inom IT- och informationssäkerhetsområdet.

Ett antal nya säkerhetsåtgärder har tillförts till standarden. Samtidigt har de tidigare säkerhetsåtgärderna konsoliderats och några säkerhetsåtgärder har tagits bort. Trots införande av flera nya åtgärder har konsolideringen inneburit att antalet säkerhetsåtgärder har minskat från 114 till 93. 

Säkerhetsåtgärderna i standarden är en förteckning över allmänna säkerhetsåtgärder. De är tillämpliga på organisationer i alla storlekar och typer av organisationer oavsett i vilken sektor de är verksamma. Organisationer förväntas göra riskbedömningar utifrån sin kontext, sina mål, sina krav från berörda parter för att fastställa och genomföra riskbehandlingsplaner, vilket inbegriper att införa en uppsättning av säkerhetsåtgärder som utgör organisationens svar på vilka faktiska säkerhetsåtgärder som behöver vidtas. 

ISO/IEC 27002 behandlar inte riskbedömningsprocessen och fastställandet av vilka säkerhetsåtgärder som behövs för att minska de risker som är relevanta för organisationen, men den innehåller en förteckning av säkerhetsåtgärder som organisationen bör överväga mot bakgrund av identifierade hot och risker. Förteckningen är omfattande men inte uttömmande. Standarden innehåller en heltäckande grund av säkerhetsåtgärder men detta innebär inte att alla tänkbara informationssäkerhetsåtgärder inkluderas, särskilt när vissa är specifika för vissa sektorer eller typer av organisationer. 

ISO/IEC 27002 OCH ANDRA STANDARDER FRÅN ISO/IEC JTC 1 SC 27

Vägledningen för införande av säkerhetsåtgärder i ISO/IEC 27002 är beskriven på en hög nivå och hänvisar även till andra SC27-standarder som ger ytterligare specifik vägledning inom området. ISO/IEC 27002 ger till exempel vägledning på hög nivå om genomförandet av nyckelhanteringsprocessen, där ISO/IEC 11770 Key Management (multipartstandard i 3 delar) ger detaljerad omfattande vägledning om nyckel­hantering.

HELT NY STRUKTUR

I den nya versionen ordnas säkerhetsåtgärderna genom 4 teman: 

  • Organisation (37 säkerhetsåtgärder)
  • Personer (8 säkerhetsåtgärder)
  • Fysiska (14 säkerhetsåtgärder)
  • Tekniska (34 säkerhetsåtgärder)

NY ANVÄNDNING AV ATTRIBUT FÖR SÄKERHETSÅTGÄRDER

För varje säkerhetsåtgärd har de skapats en lista med attribut så att de kan grupperas efter dessa definierade attribut. Syftet med dessa nya attribut är att göra standarden mer flexibel så att organisationer kan skapa sina egna vyer för att presentera, filtrera eller sortera säkerhetsåtgärderna för olika målgrupper eller perspektiv. 

Organisationen kan använda dessa attribut för att skapa olika vyer som är olika kategoriseringar av säkerhetsåtgärder som ses från ett annat perspektiv än teman. Attribut kan användas för att filtrera, sortera eller presentera kontroller i olika vyer för olika målgrupper.  

Alla säkerhetsåtgärder är associerade med fyra attribut (med motsvarande attributvärden  (föregångna av ”#” för att göra dem sökbara), enligt följande:

a) Typ av säkerhetsåtgärd 

Typ av säkerhetsåtgärd är ett attribut för att visa säkerhetsåtgärder ur perspektivet när och hur åtgärden påverkar risk i relation till en tänkt informationssäkerhetsincident. Attribut: (#Preventive, #Detective, #Corrective)

b) Informationssäkerhetsaspekt

Informationssäkerhetsaspekt är ett attribut för att visa säkerhetsåtgärder utifrån vilken aspekt säkerhetsåtgärden syftar till att bevara. Attribut: #Confidentiality, #Integrity och #Availability. 

c) Cybersäkerhetskoncept

Cybersäkerhetskoncept är ett attribut för att visa säkerhetsåtgärder som relateras till konceptområden som beskrivs i ISO/IEC TS 27101. Attribut: #Identify, #Protect, #Detect, #Respond och #Recover. 

d) Operativa områden 

Operativa områden är ett attribut för att visa säkerhetsåtgärder ur användarens perspektiv av funktioner inom informationssäkerhetsområdet. Attribut:  #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_ security, #Application_security, #Secure_configuration, #Identity_and_access_management, #Threat_and_vulnerability_management, #Continuity, #Supplier_relationships_security, #Legal_and_ compliance, #Information_security_event_management och #Information_security_assurance. 

e) Säkerhetsdomän

Säkerhetsdomän är ett attribut för att visa säkerhetsåtgärder ur ett perspektiv som gäller informationssäkerhetsområden, expertis, tjänster och produkter. Attribut: #Governance_and_Ecosystem, #Protection, #Defence och #Resilience. 

OSCAL

ISO/IEC 27002 är även tänkt att publiceras i OSCAL (Open Security Controls Assessment Language), som utvecklats av NIST i samarbete med industrin. OSCAL är ett format som uttrycks i XML, JSON och YAML. Detta format används för att skap maskinläsbara kataloger av säkerhetsåtgärder, basnivåer, säkerhetsåtgärder för system och punkter för utvärdering.

/https://pages.nist.gov/OSCAL/

Ny ISO/IEC 27002 och ny Bilaga A i ISO/IEC 27001!

ISO/IEC 27002 är sannolikt den mest spridda standarden inom informationssäkerhetsområdet och utgör mycket av grunden för hela området information security management. ISO/IEC 27002 tillsammans med ISO/IEC 27001 har rankats som några av ISO:s absolut viktigaste standarder med epitetet high profile standards. ISO/IEC 27002 utgör också ett portaldokument som används av diverse fördjupade vägledningar och sektorspecifika standarder.

Under en längre tid har det pågått ett stort arbete inom ISO SC 27 WG1 med att ta fram en helt omarbetad ny version av ISO/IEC 27002. Denna börjar närma sig slutet. Publicering väntas i slutet av 2021 eller i första halvan av 2022.

Bakgrunden till 27002 är att det år 2000 infördes en standard som hette ISO/IEC 17799 och som då byggde på den engelska standarden BS 7799. År 2005 genomfördes en omarbetning och standarden döptes då om till ISO/IEC 27002. Ytterligare en revision publicerades 2013 spm gällt sedan dess (andra utgåvan). Nu kommer alltså en tredje utgåva.

Hela dokumentet har arbetats om med en ny struktur, konsoliderade åtgärder samt en del nya åtgärder. Genom konsolideringen har antalet åtgärder minskat från ursprungliga 114 till 93 trots att en hel del nytt lagts med. Hur är detta möjligt? Tidigare fanns vissa åtgärder som var väldigt grundläggande beskrivna på många ställen vilket skapade ett ganska stort överlapp mellan olika åtgärder. Nu har man minskat detta genom genomförd konsolidering vilket medfört att antalet åtgärder minskats. Alla åtgärder har också omarbetats och moderniserats. Några få har försvunnit medan en hel del nytt införts både i helt nya åtgärder eller ny vägledning i befintliga åtgärder.

Strukturen är helt ny och från att ha 114 åtgärder i 14 avsnitt har man nu delat upp åtgärderna i 4 områden:

  • Organization (37 åtgärder)
  • People (8 åtgärder)
  • Physical (14 åtgärder)
  • Technological (34 åtgärder)

ISO/IEC 27002 är sammankopplad med ISO/IEC 27001 (kravstandarden som man certifierar sig mot) genom Bilaga A som innehåller en lista på åtgärder med målbeskrivning för varje åtgärd. Hur blir det då med denna? Vid pågående möte i SC 27 under denna vecka (vecka 15) beslutades att man ska ta fram en Amendment till 27001 och byta ut bilaga A så den ska stämma med nya versionen av ISO/IEC 27002. Förhoppningen är att denna ska kunna bli klar så nära publiceringen av ISO/IEC 27002 som möjligt.