Какие изменения были внесены в новый стандарт ISO/IEC 27001:2022? Придется ли переворачивать с ног на голову всю систему управления информационной безопасностью?
ISO 27001:2022 официально утвержден 23 сентября 2022 г. Стандарт будет опубликован не позднее ноября 2022 г.
Также стоит упомянуть, что в феврале 2022 г. опубликован стандарт ISO/IEC 27002, который представляет собой «кодекс поведения» для внедрения системы информационной безопасности (ISMS) в соответствии с ISO/IEC 27001.
Что такое ISO/IEC 27001?
ISO/IEC 27001 устанавливает требования к созданию, внедрению, обслуживанию и постоянному совершенствованию системы управления информационной безопасностью в контексте организации. Он также содержит требования к оценке и устранению угроз информационной безопасности с учетом потребностей организации. Требования, изложенные в ISO/IEC 27001, являются общими и должны применяться ко всем организациям, независимо от их типа, размера или характера.
Стандарт ISO/IEC 27001 тесно связан со стандартом ISO/IEC 27001, который содержит практические рекомендации по системе управления информационной безопасностью.
Сертификация ISO/IEC 27001
Как и другие стандарты системы менеджмента ISO, сертификация по ISO/IEC 27001 возможна, но не обязательна. Некоторые организации решают внедрить стандарт, чтобы воспользоваться преимуществами содержащихся в нем передовых практик, в то время как другие также выбирают получение сертификации, чтобы гарантировать клиентам соблюдение его рекомендаций.
Многие организации по всему миру сертифицированы по стандарту ISO/IEC 27001.
См. также:
Внедрение СМИБ и аудит
ISO/IEC 27001 Обучение
Изменения в ISO/IEC 27001
Основные изменения в редакции ISO/IEC 27001 2022 года:
обновление Приложения A со ссылкой на ISO/IEC 27002:2022,
примечания к пункту 6.1.3 c) отредактированы,
реорганизация пункта 6.1.3 d) для устранения возможных двусмысленность;
По сравнению с предыдущей версией стандарта количество средств управления в ISO/IEC 27002:2022 уменьшилось со 114 средств управления, разделенных на 14 разделов, до 93 средств управления в 4 разделах. 24 элемента управления объединены и 58 обновлены.
Обновленный стандарт ISO/IEC 27001 в контексте сертификации систем управления информационной безопасностью требует от организаций:
- Gap-анализ, а также необходимость внесения изменений в СУИБ клиента,
- Заявление об использовании (SoA) обновление
- Обновление плана управления рисками, где это применимо,
- Внедрение и эффективность новых или пересмотренных профилактических мер.
Стоит отметить, что в новой версии стандарта ISO/IEC 27002 14 категорий были перегруппированы в 4 основные темы, что упрощает их поиск.
4 новые категории включают:
Люди (8 элементов управления) — если они применяются к отдельным лицам, например, удаленная работа, контроль, конфиденциальность или соглашения о конфиденциальности.
Организационные (37 элементов управления) — если они касаются организации, например, информационная политика, возврат активов, информационная безопасность при использовании облачных сервисов.
Технологические (34 элемента управления) — если они относятся к таким технологиям, как безопасная аутентификация, удаление информации, предотвращение утечки данных или сторонняя разработка.
физический(14 элементов управления) – если они относятся к физическим объектам, таким как носители информации, техническое обслуживание оборудования, мониторинг физической безопасности или обеспечение безопасности офисов, помещений и помещений.
Управлять обновлениями
Все элементы управления ISO 27002 были тщательно обновлены. Таким образом, 114 элементов управления были сокращены до 93: 11 новых, 24 связанных и остальные 58 обновленных.
11 новых предметов:
- Анализ угроз
- Информационная безопасность при использовании облачных сервисов
- Готовность ИКТ для обеспечения непрерывности бизнеса
- Мониторинг физической безопасности
- Деятельность по мониторингу
- Веб-фильтрация
- Безопасное кодирование
- Управление конфигурацией
- Удаление информации
- Маскировка данных
- Предотвращение утечки данных
Организации могут использовать атрибуты для создания разных представлений, упрощая классификацию элементов, рассматриваемых с разных точек зрения, по 4 темам. Атрибуты можно использовать для фильтрации, сортировки или представления элементов в разных представлениях для разных аудиторий. Обратите внимание, что использование «атрибутов» не является обязательным. В ISO/IEC 27002, Приложение A объясняет, как этого можно достичь, и дает примеры.
Примеры включают:
- Виды действий – предупреждающие, обнаруженные, корректирующие
- Свойства информационной безопасности – конфиденциальность, целостность, доступность
- Концепции кибербезопасности — идентификация, защита, обнаружение, реагирование, восстановление
- Эксплуатационные возможности — управление, управление активами, защита информации, безопасность человеческих ресурсов, физическая безопасность, безопасность системы и сети, безопасность приложений, безопасная конфигурация, управление идентификацией и доступом, управление угрозами и уязвимостями, непрерывность, безопасность взаимоотношений с поставщиками, соблюдение законов и нормативных требований, информация управление событиями безопасности, обеспечение информационной безопасности
- Домены безопасности — управление и экосистема, защита, отказоустойчивость
Организация также может определить свои собственные «атрибуты» с различными значениями для удовлетворения своих конкретных потребностей.
Когда обновлять СМИБ?
Уже в августе 2022 г. Международный форум по аккредитации (IAF) опубликовал документ: ПЕРЕХОДНЫЕ ТРЕБОВАНИЯ ДЛЯ ISO/IEC 27001:2022, в котором указывается, что, начиная с публикации ISO 27001:2022, у организаций есть 36 месяцев для перехода.
К тому времени аккредитованные органы по сертификации должны начать аудит в соответствии с новой версией ISO/IEC 27001.
Исходя из нашего опыта, большинство организаций примут решение о переносе своей реализации до следующего ресертификационного аудита, чтобы соответствовать требованиям нового стандарта ISO/IEC 27001:2022.
Вас интересуют изменения в новом стандарте ISO/IEC 27001?
Хотите внедрить систему управления безопасностью в своей организации? Провести АУДИТ безопасности?
Получить полномочия Уполномоченного, Аудитора СМИБ?
Свяжитесь с нами!