icon-arrow icon-check icon-mail icon-phone icon-facebook icon-linkedin icon-youtube icon-twitter icon-cheveron icon-download icon-instagram play close icon-arrow-uturn icon-calendar icon-clock icon-search icon-chevron-process icon-skills icon-knowledge icon-kite icon-education icon-languages icon-tools icon-experience icon-coffee-cup
Werken bij B-able
Nieuws 14/02/2022

De nieuwe ISO27002: what’s new?

B-able

Begin 2022 wordt de nieuwe ISO27002:2022 gepubliceerd. Deze is in opzet behoorlijk gewijzigd, maar nog steeds te gebruiken als referentie voor het bepalen en implementeren van maatregelen binnen de informatiebeveiligingsrisicobehandeling binnen het ISMS. Het bepalen van de toepasselijke maatregelen gebeurt op basis van een risicoanalyse met een duidelijk, afgebakende scope.

In dit artikel neemt B-Able jou mee in de wijzigingen en wordt inzicht gegeven in de wijze waarop de organisatie daaraan een passende invulling kan geven. Let wel! Net zoals in de huidige versie van de norm, bepaalt de eigen risicoanalyse of een maatregel van toepassing is en wat een passende wijze van implementatie is. Dit artikel beschrijft de nieuwe maatregelen en geeft op hoofdlijnen de mogelijkheden aan om vandaaruit de juiste implementatieweg in te kunnen slaan. Bestaande, maar gewijzigde maatregelen maken geen deel uit van dit artikel.

Gewijzigde structuur

Het eerste dat opvalt is de nieuwe structuur van de ISO27002:2022. De nieuwe opzet is verdeeld over vier type maatregelen: Organisatorische, Menselijke, Fysieke en Technologische maatregelen. Zoals ook in de ‘vorige’ ISO27002:2017 wordt per maatregel de maatregel omschreven, het doel bepaald, richtlijnen gegeven en overige informatie vermeld. Nieuw is echter het gebruik van “attributen”: elke maatregel begint met een tabel waarin het type maatregel (preventief, detectie of correctief), BIV-classificatie, cybersecurityconcepten (identificeer, beschermen, detecteren, reactie of herstel), operationele mogelijkheden (Dit geeft een beeld vanuit de organisatie) en security domeinen (Governance en ecosysteem, bescherming, verdediging of veerkracht) staat aangegeven.  

Dit tabel is van meerwaarde zodat je direct inzicht hebt of de betreffende maatregel passend is voor de dreiging die aangepakt moet worden, en de afbeelding van op deze attributen is - in tegenstelling tot wat nu het geval is – eenduidig. 

Nieuwe maatregelen ISO27002:2022

De nieuwe ISO27002:2022 kent 10 nieuwe maatregelen. Daar willen we u mee bekend maken. De meeste van deze nieuwe maatregelen vallen onder de technische maatregelen.  

Information security for use of cloud services (cl. 5.23) 

Deze maatregel zorgt ervoor dat de organisatie processen heeft geïmplementeerd de aankoop/inhuur, gebruik, management en stopzetten van cloud diensten in overeenstemming met de eigen informatiebeveiligingseisen. Het begint bij de classificatie van de informatie assets en de daaraan gekoppelde maatregelenrichtlijn. De mate waarin je als organisatie in control bent over de informatieveiligheid bij clouddiensten is beperkt. Daarnaast is het de praktijk dat een organisatie niet volledig in control is met betrekking tot het gebruik van clouddiensten omdat dit bewust of onbewust niet formeel besloten wordt. Het afnemen van clouddiensten is laagdrempelig, en kan voordelen bieden qua kosten en flexibiliteit. Door classificatie en uitgevoerde risicoanalyse wordt inzichtelijk of het gebruik van Clouddiensten passend is en zo ja, onder welke voorwaarden. Stel op basis van de maatregelenrichtlijn een cloudrichtijn op en laat deze vaststellen door de securityboard. Voor aanvullende richtlijnen of handvatten kunnen ISO27017 en ISO27018 (gericht op clouddiensten) gebruikt worden. Door een cloudrichtlijn worden de kaders geschetst wanneer gebruik gemaakt kan worden van een clouddienst. Indien van de cloudrichtlijn wordt afgeweken, zorg dan voor dat de gerelateerde risico’s in kaart zijn gebracht, deze risico’s expliciet door de (eind)verantwoordelijke is geaccepteerd en vastgelegd. De risicoanalyse benoemt tevens de vereiste compenserende maatregelen.

ICT readiness for business continuity (cl. 5.30)

Deze maatregel is bedoeld te zorgen dat vereiste Beschikbaarheid, Integriteit en Vertrouwelijkheid van ICT-assets wordt gerealiseerd zodat de schade binnen een acceptabel niveau blijft bij een calamiteit of een verstoring. Om te weten welke eisen hieraan gesteld worden is het nodig een Business Impact Analyse te maken. Hieruit volgt inzicht in geprioriteerde activiteiten die opgepakt moeten worden zodat binnen de eigen gestelde hersteltijden ICT-assets hersteld en voor de overige bedrijfsprocessen beschikbaar zal zijn. Deze inzichten geven invulling aan voor het Disaster Recovery Plan dat onderdeel uitmaakt van het Business Continuity Plan. Uiteraard worden alle onderdelen periodiek getest en geëvalueerd om zeker te zijn dat ten tijde van een verstoring alle onderdelen functioneren zoals vooraf bepaald. 

Physical security monitoring (cl. 7.4) 

Het detecteren en afschrikken van onbevoegde toegang is het doel van deze maatregel. Dit betekent dat vanuit de classificatie van assets fysieke beveiligingsmaatregelen genomen moeten worden om vanuit, met name buitenterreinen, de onbevoegde toegang te voorkomen en af te schrikken. Dit kan gerealiseerd worden door middel van CCTV, verlichting, hekwerk, toegangssystemen, manbeveiliging, etc. Uiteraard moeten de maatregelen passend zijn voor de te beschermen assets (= classificatie) en uitkomsten van de risicoanalyse. Houd hierbij rekening mee met wet- en regelgeving (bijv. AVG i.r.t. CCTV), procedures/beleid en eventueel instemming van de OR (art. 27 lid 1 onder k WOR). 

Configuration management (cl. 8.9)  

(Beveiligings)configuraties van hardware, software, diensten en netwerken moeten worden bepaald, gedocumenteerd, geïmplementeerd, gemonitord en geëvalueerd. 

Dit zijn vrij standaard implementatierichtlijnen die in standard operating procedures (SOC’s) worden opgenomen. Hiervoor refereren wij ook naar ITIL en ISO20000 die nadruk leggen op IT-service management. Neem de relevante bepalingen met betrekking tot bijvoorbeeld vernietiging van data op in de Cloudrichtlijn. Stel in de Securityboard de bewaartermijnen vast. Hierbij ook rekening houdend met wettelijke bewaartermijnen en laat deze periodiek beoordelen (en neem dit mee in de interne audit kalender).  

Een specifieke, mogelijke valkuil om hieruit te lichten, kunnen "identities" (gebruikers) zijn die privileges omvatten zoals reguliere gebruikers of IT-medewerkers zijn met enkele IT (infra)- of speciale applicatierechten. Alle toegangsrechten moeten periodiek beoordeeld worden. Vaak is na verloop van tijd onduidelijk waar een account voor dient, of in welke hoedanigheid deze nog gebruikt wordt. Ook kunnen er nog actieve accounts aanwezig zijn, terwijl de betreffende gebruikers al uit dienst zijn. Zet in de procedure van de toewijzing van accounts dat bij de account (in de AD) een verwijzing naar het request ticket wordt opgenomen. In het ticket moeten dan doel, noodzaak, aanvrager, wijze van openstelling en afspraken worden vastgelegd. 

Information deletion (cl. 8.10) 

Deze maatregel benadrukt het belang van het verwijderen van informatie op alle (opslag)apparaten wanneer de informatie niet meer gebruikt wordt. Dit is een explicitering van een bestaande maatregel op het vlak van naleving (domein A.18) de Data Life Cycle waarbij dataretentie het laatste onderdeel van is. Door het verwijderen van ongebruikte data voorkom je non-compliance met wet- en regelgeving, is alle informatie beheersbaarder (er is er namelijk minder van), systemen zijn minder vervuild en bij onbevoegde toegang tot systemen wordt de impact verlaagd doordat minder informatie onbevoegd geopenbaard wordt. Er zijn verschillende wet- en regelgevingen die bewaartermijnen, dataschoning/-retentie en anderszins bepalen. Denk aan zorgwetten, verzekeringswetten, archiefwet en, uiteraard, de AVG. Een aanvullende referentie is de ISO27701 als het gaat om het inrichten van een Privacy Information Management Systeem (PIMS). 

Data masking (cl. 8.11) 

In navolging van voorgaande maatregel ‘information deletion’ kan het nodig zijn om aan data masking te doen. Bepaalde gevoelige (bedrijfs)gegevens kunnen, op basis van classificatie en risicoanalyse, aanvullend gemaskeerd, gepseudonimiseerd of geanonimiseerd worden. De nadruk licht hier op persoonsgegevens. Data masking reduceert de impact indien er een datalek heeft plaatsgevonden.  

Data leakage prevention (cl. 8.12) 

Data leakage prevention (DLP) helpt om onbevoegde openbaring en onttrekking van (gevoelige) informatie te detecteren en te voorkomen. Het is hierbij belangrijk om eerst de dataflow in beeld te hebben en alle informatie assets te classificeren, zodat duidelijk wordt welke informatie assets welke schade berokkenen als er een datalek plaatsvindt. In andere woorden; in welke systemen wordt gevoelige gegevens opgeslagen? Bepaal via welke stromen de informatie zou kunnen lekken (mail, file overdrachten, mobiele apparaten, mobiele gegevensdragers). Bepaal welke maatregelen genomen moeten worden om een datalek te voorkomen. Hierdoor kan het nodig zijn om bepaalde rechten te ontzeggen of te beperken (bijv. geen HR-app op de telefoon), het niet toestaan dat vanuit een bepaald systeem geprint kan worden of slechts via een bepaalde printer, etc. 

Monitoring activities (cl. 8.16) 

Netwerken, systemen en applicaties dienen gemonitord te worden om afwijkende gedragingen te herkennen en daarop dienen passende acties ondernomen te worden om mogelijke incidenten te evalueren. Vanuit IT Service Management wordt monitoring behandeld. Aanvullend kun je overwegen om op basis van de classificatie en de maatregelen de selectie van hulpmiddel(len) dat de endpoints in bewaakt, en daarnaast eveneens in staat is, om: 

  • Systeemconfiguraties te rapporteren om kwetsbaarheden te spotten; 
  • Centraal patches, updates, deinstallaties, wisacties, uit te voeren; 
  • Ongebruikelijke acties te rapporteren en automatisch te interveniëren: (bijvoorbeeld door het deactiveren van virusscanner wat resulteert in het automatisch inactiveren van een of meerdere endpoints); 
  • Standaard aanvals patronen te detecteren (MITRE); 
  • Het definiëren van mogelijke, specifieke aanvalspatronen, en het signaleren daarvan (Op basis van workshops met systeemexperts en asset eigenaren); 

Aandachtspunten zijn hierbij de betrouwbaarheid en de gerealiseerde actualiteit om te voorkomen dat monitoringsystemen onnodige alerts aanmaken. 

Web filtering (cl. 8.23) 

Het toepassen van web filtering draagt bij aan het verlagen van het risico dat illegale websites bezocht worden en/of dat via onveilige website kwaadaardige software op het interne netwerk komt. Een mogelijkheid om deze maatregel toe te passen is het gebruik maken van white en blacklisting. IP-adressen die expliciet wel of niet toegestaan zijn om te benaderen. Er zijn antiviruspakketten die dit op geautomatiseerde wijze toepassen. Dit kan ook ‘handmatig’ vanuit IT-beheer opgepakt worden.  

Secure coding (cl. 8.28) 

Het toepassen van veilige softwareontwikkeling is belangrijk om vanuit de bron van software het aantal kwetsbaarheden te beperken zodat de software veilig is tijdens het gebruik. Vanuit het CIP is bijvoorbeeld ‘Grip op SSD’ een handreiking die voor secure coding gebruikt kan worden. NIST heeft hiervoor het ‘Secure Software Development Framework’ (SSDF) ontwikkeld. Daarnaast bestaan nog andere raamwerken en standaarden waaruit geput kan worden. Er zijn tools die zowel in de ontwikkelfase als in retrospectief de coding reviewen en kwetsbaarheden signaleren. 

En nu?!

Het is voorstelbaar dat deze nieuwe maatregelen hun weg in uw ISMS moeten vinden en dat dit niet altijd even eenvoudig is. B-able heeft deze nieuwe ISO27002:2022 al geïntegreerd in haar Control Framework. Dit betekent dat ook deze nieuwe maatregelen gekoppeld zijn aan ruim 40 andere ISO-, NEN-, NATO- en NIST-normen en standaarden, als ook aan ruim 250 security en privacy wetsartikelen uit ca. 50 verschillende wetten. Dus niet enkel de implementatie van deze nieuwe maatregelen maar ook een maatwerkoverzicht van uw mate van compliance met veel security en privacy gerelateerde wetten en standaarden.  

De toekomst

De iSO27002 is een veelgebruikte norm voor andere ISO- en Nen-normen en de BIO. De verwachting is dat al deze normen aangepast gaan worden om weer in lijn te komen met de ISO27002:2022.  

In 2022 wordt de ISO27001 gewijzigd in ISO27001:2022. In deze nieuwe versie is de Annex A aangepast met de nieuwe beheersmaatregelen en ook clausule 6.1.3 naar verwachting wordt aangepast zodat de ‘oude’ beheersmaatregelen nog toegepast kunnen worden voor zover deze natuurlijk nog passend zijn. 

Deze veranderingen kunnen voor uw organisatie uitdagingen betekenen om uw managementsysteem hierop aan te passen. Wellicht is uw organisatie al op een groot aantal maatregelen voorgesorteerd. Het Control Framework van B-able biedt haar specialisten hierbij goede ondersteuning om het overzicht te bewaren tijdens deze veranderperiode.  

Ondersteuning

Het doorvoeren van veranderingen aan het ISMS, zeker van deze omvang met een nieuwe norm, kan veel eisen van uw organisatie. Heeft u behoefte aan ondersteuning tijdens dit implementatietraject? Dan kan B-able hierin bijdragen door advies, training, coaching, project- en programmamanagement of audits. Een mooi voorbeeld hiervan zijn de PECB ISO27001 (Lead) Implementer of ISO27002 (Lead) Manager trainingen. Geen standaard aanpak maar maatwerk passend bij uw organisatie en behoeften. Het is ook ‘our business to secure yours’.  

Neem contact met ons op via office@b-able.nl voor een vrijblijvend gesprek.  

Overzicht nieuws
Security consultant
Jos Maas /
Security consultant

Benieuwd wat de security-experts voor jouw organisatie kunnen betekenen? Neem contact op!