V júni bola vydaná norma ISO/IEC 27032:2023 Kybernetická bezpečnosť – Pokyny pre internetovú bezpečnosť, ktorá nahradila normu ISO/IEC 27032:2012 Informačné technológie – Bezpečnostné techniky – Pokyny pre kybernetickú bezpečnosť.
Internet je globálna sieť, ktorú organizácie používajú na všetku komunikáciu. Keďže niektoré subjekty zameriavajú svoje útoky na tieto siete, je veľmi dôležité riešiť príslušné bezpečnostné riziká.
Táto norma sa zameriava na problematiku internetovej bezpečnosti a poskytuje návod, ako riešiť bežné internetové bezpečnostné hrozby, ako sú útoky sociálneho inžinierstva, útoky typu zero-day, narušenie súkromia, hackerské útoky, ako aj šírenie malvéru, spyvéru a iného potenciálne nežiaduceho softvéru.
Pokyny v tomto dokumente poskytujú technické a netechnické opatrenia na riešenie rizík internetovej bezpečnosti vrátane opatrení na prípravu na útoky, prevenciu útokov, zisťovanie a monitorovanie útokov a reakciu na útoky.
Pokyny sa zameriavajú na poskytovanie osvedčených postupov v odvetví, rozsiahle vzdelávanie spotrebiteľov a zamestnancov s cieľom pomôcť zainteresovaným stranám zohrávať aktívnu úlohu pri riešení otázok bezpečnosti internetu. Dokument sa zameriava aj na zachovanie dôvernosti, integrity a dostupnosti informácií na internete a na ďalšie charakteristiky, ako je autenticita, zodpovednosť, neodmietnuteľnosť a spoľahlivosť, ktoré možno tiež zvážiť.
Vzhľadom na rozsah tohto štandardného dokumentu sú tieto opatrenia opísané na vysokej úrovni. Na ďalšie vysvetlenie sa v dokumente uvádzajú odkazy na podrobné technické normy a usmernenia platné pre každú oblasť. V prílohe A sú uvedené vzťahy medzi opatreniami v tomto dokumente a opatreniami v norme ISO/IEC 27002.
Táto norma sa výslovne nezaoberá opatreniami, ktoré môžu organizácie vyžadovať pre systémy podporujúce kritickú infraštruktúru alebo národnú bezpečnosť. Väčšinu opatrení v tomto dokumente však možno uplatniť na takéto systémy.
Nová norma ISO/IEC 27032:2023 stanovuje:
- vysvetlenie vzťahu medzi bezpečnosťou internetu, bezpečnosťou webu, bezpečnosťou siete a
- kybernetickou bezpečnosťou;
- prehľad internetovej bezpečnosti;
- identifikáciu zainteresovaných strán a opis ich úloh v oblasti internetovej bezpečnosti;
- vysokoúrovňové usmernenie na riešenie bežných problémov v oblasti internetovej bezpečnosti.
Táto norma je určená pre všetky organizácie, ktoré používajú internet.