21.08.2023
Стандарт ISO/IEC 27001 является важной необходимостью для предприятий любого размера и всех отраслей деятельности. Он выступает как незаменимое руководство по разработке, внедрению, поддержке и постоянному совершенствованию систем управления информационной безопасностью.Имеющие заинтересованность в данной теме уже знают о важном сообщении: появилась новая версия стандарта ISO/IEC 27001.В этой статье мы раскроем, что нового появилось в обновленной версии стандарта ISO/IEC 27001:2022, вышедшей в свет в октябре 2022 года.
Каталог средств контроля безопасности был опубликован в феврале 2022 года, что свидетельствует о том, что заранее были предусмотрены изменения в перечень в новом стандарте.
В целом стандарт ISO/IEC 27001:2022 дает описание структуры системы управления информационной безопасностью (СУИБ), которая может быть использована компаниями любого масштаба и во всех сферах деятельности.Система управления информационной безопасностью (СУИБ) приобретает ключевое значение благодаря актуальности для многих компаний вопросов управления рисками.
В современном мире, где новые киберугрозы появляются почти ежедневно и непрерывные изменения становятся нормой, способность компаний защищать свои бизнес-процессы и информацию приобретает весомость. Важным умением становится выявление таких рисков и эффективное управление ними.
В новой версии стандарта особое внимание уделяется передовым практикам управления рисками. Список инструментов контроля информационной безопасности, включенный в официальное Приложение А к ISO/IEC 27001:2022, полностью основывается на пересмотренном руководстве ISO/IEC 27002:2022.
Стандарт ISO/IEC 27001:2022 принес некоторые нововведения и изменения по сравнению с предыдущей версией.
Итак, давайте рассмотрим некоторые ключевые изменения, на которые следует обратить внимание. Начнем с основного – были внесены изменения в систему управления.Текст обязательных пунктов с 4 по 10 изменился частично, в основном для приведения в соответствие с ISO 9001, ISO 14001 и другими стандартами систем управления.
Вот пункты стандарта ISO 27001:2022, которые претерпели изменения:
● В пункте 4.2 "Понимание потребностей и ожиданий заинтересованных сторон" был добавлен новый подпункт (c). Это изменение требует анализа для определения, какие конкретные требования заинтересованных сторон должны быть удовлетворены с помощью Системы управления информационной безопасностью (СУИБ). Это способствует лучшему учету ожиданий разных сторон, влияющих на информационную безопасность организации.● Также изменения коснулись пункта 4.4 "Система управления информационной безопасностью". Была добавлена фраза, утверждающая необходимость планирования процессов и их взаимодействия в рамках Системы управления информационной безопасностью (СУИБ). Это подчеркивает важность структурированного и согласованного подхода к управлению информационной безопасностью в рамках организации.● В пункт 5.3 "Роль, обязанности и полномочия в организации" была добавлена фраза, уточняющая, что обмен ролями осуществляется внутри организации. Это выделяет внутреннюю динамику и сотрудничество между разными ролями в рамках процессов управления информационной безопасностью.● В пункт 6.2 "Цель информационной безопасности и планирование ее достижения" был добавлен новый подпункт (d), требующий мониторинга достижения целей информационной безопасности. Это указывает на необходимость систематического контроля и оценки эффективности установленных целей и их достижения в рамках системы управления информационной безопасностью.● В пункте 6.3 "Планирование изменений" были внесены изменения, указывающие на необходимость внесения любых изменений в Систему управления информационной безопасностью (СУИБ) в соответствии с планируемым порядком. Это подчеркивает важность организованного и систематического подхода к внесению изменений в систему в целях обеспечения ее эффективности и безопасности.● В разделе 7.4 "Коммуникации" были произведены изменения, а именно: изъят пункт (d), требовавший наличия процессов для коммуникаций. Такое изменение может указывать на большую гибкость в подходе к организации коммуникационных процессов в СУИБ● Пункт 8.1 "Оперативное планирование и контроль" был дополнен новыми требованиями, предусматривающими установление критериев для процессов безопасности и обеспечение их реализации в соответствии с этими критериями. Также в рамках этого пункта было исключено требование реализации планов для достижения целей.● Изменения повлияли на пункт 9.3 "Проверка руководства". Добавлен новый пункт 9.3.2(c), утверждающий, что входные данные от заинтересованных сторон должны отражать их потребности и ожидания, а также касаться аспектов информационной безопасности.● Последний пункт, что претерпел изменения - 10 «Улучшение». Подпункты поменялись местами, поэтому первый – «Постоянное улучшение» (10.1), а второй – «Несоответствие и корректирующие действия» (10.2). Текст этих пунктов не изменился.● Сначала может показаться, что Приложение А существенно изменилось — количество элементов управления сократилось со 114 до 93, и теперь оно состоит из четырех разделов по сравнению с 14 разделами предыдущей редакции 2013 года. Однако под более детальным рассмотрением становится очевидно, что изменения в Приложении А незначительны.
Были добавлены новые компоненты – организационный и физический контроль. Важно подчеркнуть, что ни один элемент управления не был удален, а многие из них объединены, что привело к уменьшению общего количества. Также следует отметить, что теперь можно использовать хештеги для облегчения поиска и навигации.
В стандарте ISO/IEC 27001:2022 отменены цели контроля и средства контроля пересмотрены, обновлены и дополнены. Таким образом, список средств контроля в Приложении А стал более понятным, современным и организованным в четыре основных домена:1. Организационные меры контроля (Process and Policies) (включая 37 мероприятий);2. Персональные меры контроля (People) (включает 8 мер);3. Физические меры контроля (Physical) (включает 14 мер);4. Технические меры контроля (Technological) (включая 34 мероприятия).
Всего в Приложении А новой версии ISO 27001:2022 теперь есть 93 контроля, к которым добавили 11 новых, в частности:1. Аналитика угроз2. Информационная безопасность при использовании облачных сервисов3. Готовность ИТС к обеспечению непрерывности бизнеса4. Мониторинг физической безопасности5. Управление конфигурацией6. Удаление информации7. Маскировка данных8. Предотвращение утечки данных9. Мониторинг активности10. Веб-фильтрация11. Безопасная кодировка
Приложение А ограничено перечнем средств контроля. Однако руководство по внедрению ISO/IEC 27002:2022 дает возможность их классификации. Каждому средству контроля предназначены пять атрибутов, которые можно использовать для фильтрации или сортировки.Тип средства контроля. Атрибут представляет средства контроля с той точки зрения, как они влияют на риски для информационной безопасности.Свойства информационной сохранности.Атрибут для средства контроля с точки зрения того, какова у него цель.Концепция кибербезопасности.Атрибут анализирует взаимосвязь средств контроля со структурой кибербезопасности, описанной в стандарте ISO/IEC TS 27110.Операционная способность.Атрибут оценивает способность средств контроля в контексте информационной безопасности.Домены безопасности.Атрибут анализирует средства контроля с точки зрения четырех доменов информационной безопасности.
Для соответствия новым требованиям стандарта ISO 27001:2022 необходимо выполнить четыре основных шага:● Шаг первый - Просмотрите реестр рисков и применяемые методы обработки рисков, чтобы обеспечить соответствие пересмотренному стандарту.● Шаг второй - Просмотрите Заявление о применении (SoA), чтобы привести его в соответствие с обновленным Приложением A.● Шаг третий – Просмотрите и обновите документацию, включая политики и процедуры, чтобы они отвечали новым требованиям контроля.● Шаг четвертый – Пройдите аудит на соответствие новой версии стандарта ISO 27001:2022.
Сертификация ISO действительна в течение 3 лет, с обязательными наблюдательными аудитами на 2-м и 3-м годах. Эти надзорные аудиты, в отличие от полных системных аудитов, являются сокращенными оценками для проверки, остается ли система управления сертифицированного клиента совместимой с требованиями стандарта ISO 27001.
Что произойдет с компаниями, уже прошедшими сертификацию по предварительной версии стандарта ISO 27001:2013?
Не нужно беспокоиться, поскольку старую версию стандарта можно использовать до 31 октября 2025 года, а после этого любой аудит ISO 27001 должен уже основываться на новой версии.
Также те, кто планирует сертифицироваться в ближайшее время, могут получить сертификат по старой версии до 30.04.2024, но они обязаны в течение первого года перейти на новую версию ISO/IEC 27002:2022, а технический надзор также производится по новой версии.
Мы рекомендуем нашим клиентам подготовиться и получить сертификацию по новому стандарту. В случае желания пройти сертификацию по предварительной версии это может потребовать двойной подготовки и аудита.
Приглашаем вас на деловую встречу, в ходе которой мы рассмотрим возможности и разработаем план по получению сертификата по стандарту ISO/IEC 27002:2022 специально для вашей компании.