21.08.2023
Стандарт ISO/IEC 27001 є важливою необхідністю для підприємств будь-якого розміру та галузі діяльності. Він виступає як незамінний посібник із розробки, впровадження, підтримки та постійного вдосконалення систем управління інформаційною безпекою.Ті, хто має зацікавленість у даній темі, вже знають про важливе повідомлення: з'явилася нова версія стандарту ISO/IEC 27001. У цій статті ми розкриємо те, що нового з'явилося в оновленій версії стандарту ISO/IEC 27001:2022, що вийшла у жовтні 2022 року.
Каталог засобів контролю безпеки був опублікований ще в лютому 2022 року, що свідчить про те, що заздалегідь було передбачено зміни до переліку в новому стандарті.
Загалом стандарт ISO/IEC 27001:2022 надає опис структури системи управління інформаційною безпекою (СУІБ), який може бути використаний компаніями будь-якого масштабу та всіх сфер діяльності.Система управління інформаційною безпекою (СУІБ) набуває ключового значення завдяки актуальності для багатьох компаній питань управління ризиками. 
У сучасному світі, де нові кіберзагрози з'являються майже щодня і неперервні зміни стають нормою, здатність компаній захищати свої бізнес-процеси та інформацію набуває вагомості. Важливим вмінням стає виявлення таких ризиків та ефективне їх керування.
У новій версії стандарту особлива увага приділяється передовим практикам управління ризиками. Перелік інструментів контролю інформаційної безпеки, який включено в офіційний Додаток А до ISO/IEC 27001:2022, повністю ґрунтується на переглянутому керівництві ISO/IEC 27002:2022.
Стандарт ISO/IEC 27001:2022 приніс деякі нововведення і зміни порівняно з попередньою версією. 
Отже, давайте розглянемо деякі ключові зміни, на які варто звернути увагу. Почнемо з основної — були внесені зміни до системи управління.Текст обов'язкових пунктів із 4 по 10 змінився лише частково, в основному для приведення у відповідність до ISO 9001, ISO 14001 та інших стандартів систем управління. 
Ось пункти стандарту ISO 27001:2022, які зазнали змін:
● В пункті 4.2 "Розуміння потреб та очікувань зацікавлених сторін" було додано новий підпункт (c). Ця зміна вимагає проведення аналізу для визначення, які конкретні вимоги зацікавлених сторін повинні бути задоволені за допомогою Системи управління інформаційною безпекою (СУІБ). Це сприяє кращому врахуванню очікувань різних сторін, які впливають на інформаційну безпеку організації.● Також зміни торкнулися пункту 4.4 "Система управління інформаційною безпекою". Було додано фразу, яка стверджує необхідність планування процесів та їх взаємодії в межах Системи управління інформаційною безпекою (СУІБ). Це підкреслює важливість структурованого та узгодженого підходу до управління інформаційною безпекою в рамках організації.● У пункт 5.3 "Ролі, обов'язки та повноваження в організації" було додано фразу, яка уточнює, що обмін ролями здійснюється всередині організації. Це виділяє внутрішню динаміку та співпрацю між різними ролями в рамках процесів управління інформаційною безпекою.● У пункт 6.2 "Мета інформаційної безпеки та планування її досягнення" було додано новий підпункт (d), який вимагає моніторингу досягнення цілей інформаційної безпеки. Це вказує на необхідність систематичного контролю та оцінки ефективності встановлених цілей та їх досягнення в рамках системи управління інформаційною безпекою.● У пункті 6.3 "Планування змін" було внесено зміни, які вказують на необхідність внесення будь-яких змін до Системи управління інформаційною безпекою (СУІБ) відповідно до планового порядку. Це підкреслює важливість організованого та систематичного підходу до внесення змін у систему з метою забезпечення її ефективності та безпеки.● У розділі 7.4 "Комунікації" було зроблено зміни, а саме вилучено пункт (d), який вимагав наявності процесів для комунікацій. Така зміна може вказувати на більшу гнучкість у підході до організації комунікаційних процесів в СУІБ.● Пункт 8.1 "Оперативне планування та контроль" був доповнений новими вимогами, які передбачають встановлення критеріїв для процесів безпеки та забезпечення їх реалізації відповідно до цих критеріїв. Також, в рамках цього пункту була виключена вимога щодо реалізації планів для досягнення цілей.● Зміни вплинули на пункт 9.3 "Перевірка з боку керівництва". Доданий новий пункт 9.3.2 (c), який стверджує, що вхідні дані від зацікавлених сторін повинні відображати їхні потреби та очікування, а також стосуватися аспектів інформаційної безпеки.● Останній пункт який зазнав змін - 10 «Покращення». Підпункти помінялися місцями, тому перший — «Постійне покращення» (10.1), а другий — «Невідповідність та коригувальні дії» (10.2). Текст цих пунктів не змінився.
Спочатку може здатися, що Додаток А суттєво змінився — кількість елементів управління скоротилася з 114 до 93, і тепер він складається з чотирьох розділів, порівняно з 14 розділами попередньої редакції 2013 року. Проте, під детальнішим розглядом стає очевидно, що зміни в Додатку А є незначними.
Були додані нові компоненти - організаційний та фізичний контроль. Важливо підкреслити, що жоден елемент керування не був видалений, а багато з них об'єднано, що призвело до зменшення загальної кількості. Також варто відзначити, що тепер можна використовувати хештеги для полегшення пошуку та навігації. 
У стандарті ISO/IEC 27001:2022 скасовані цілі контролю, а засоби контролю переглянуті, оновлені та доповнені. Таким чином, перелік засобів контролю в Додатку А став більш зрозумілим, сучасним та організованим у чотири основні домени:1. Організаційні заходи контролю (Process and Policies) (включає 37 заходів);2. Персональні заходи контролю (People) (включає 8 заходів);3. Фізичні заходи контролю (Physical) (включає 14 заходів);4. Технічні заходи контролю (Technological) (включає 34 заходи). 
Загалом у Додатку А нової версії ISO 27001:2022 тепер є 93 заходи контролю, до яких додали 11 нових, зокрема:1. Аналітика загроз2. Інформаційна безпека під час використання хмарних сервісів3. Готовність ІТС до забезпечення безперервності бізнесу4. Моніторинг фізичної безпеки5. Управління конфігурацією6. Видалення інформації7. Маскування даних8. Запобігання витоку даних9. Моніторинг активності10. Веб-фільтрація11. Безпечне кодування 
Додаток А обмежений переліком засобів контролю. Проте настанова з впровадження ISO/IEC 27002:2022 надає можливість їх класифікації. Кожному засобу контролю призначено п'ять атрибутів, які можна використовувати для фільтрації або сортування.Тип засобу контролю.Атрибут, що представляє засоби контролю з тієї точки зору, як вони впливають на ризики для інформаційної безпеки.Властивості інформаційної безпеки. Атрибут для засобу контролю з точки зору того, яка в нього мета. Концепції кібербезпеки.Атрибут, який аналізує взаємозв'язок засобів контролю зі структурою кібербезпеки, описаною в стандарті ISO/IEC TS 27110.Операційна спроможність.Атрибут, що оцінює здатність засобів контролю в контексті інформаційної безпеки.Домени безпеки. Атрибут, що аналізує засоби контролю з погляду чотирьох доменів інформаційної безпеки.
Для відповідності новим вимогам стандарту ISO 27001:2022 необхідно виконати чотири основні кроки.● Крок перший - Перегляньте реєстр ризиків та застосовані методи обробки ризиків, щоб забезпечити відповідність переглянутому стандарту.● Крок другий - Перегляньте Заяву про застосування (SoA), щоб привести її у відповідність до оновленого Додатку A.● Крок третій - Перегляньте та оновіть документацію, включаючи політики та процедури, щоб вони відповідали новим вимогам контролю.● Крок четвертий - Пройдіть аудит на відповідність до нової версії стандарту ISO 27001:2022. 
Сертифікація ISO дійсна протягом 3 років, з обов'язковими наглядовими аудитами на 2-му та 3-му роках. Ці наглядові аудити, відмінно від повних системних аудитів, є скороченими оцінками для перевірки, чи залишається система управління сертифікованого клієнта сумісною з вимогами стандарту ISO 27001.
Що відбудеться з компаніями, які вже пройшли сертифікацію за попередньою версією стандарту ISO 27001:2013?
Не треба хвилюватися, оскільки стару версію стандарту можна використовувати до 31 жовтня 2025 року, а після цього будь-який аудит ISO 27001 повинен вже ґрунтуватися на новій версії.
Також, ті, хто планує сертифікуватися найближчим часом, можуть отримати сертифікат за старою версією до 30.04.2024 року, але вони зобов'язані протягом першого року перейти на нову версію ISO/IEC 27002:2022, а технічний нагляд також буде проводитися за новою версією.
Ми рекомендуємо нашим клієнтам підготуватися та отримати сертифікацію за новим стандартом. У разі бажання пройти сертифікацію за попередньою версією, це може вимагати подвійної підготовки та аудиту. 
Запрошуємо вас на ділову зустріч, під час якої ми розглянемо можливості та розробимо план для отримання сертифіката за стандартом ISO/IEC 27002:2022 спеціально для вашої компанії.