Сьогодні безпека nabula new name. Як захистити себе від ризику втрати, витоку даних, грошей? Стандарти системи ISO 27000, які є безпекою системи управління інформаційною безпекою, безумовною,

Новий стандарт ISO/IEC 27001 буде змінено до 2022 року. Перехідний період для його впровадження як оновлення системи захисту інформації (СУІБ) становить 36 місяців. Це означає, що через 3 роки органи сертифікації вже будуть проводити аудити відповідно до нової версії стандіть 20:20.

Сімейство стандартів ISO 27000 забезпечує
безпеку інформаційних ресурсів у кожній організації.

Від ISO/IEC 27001 до ISO/IEC 27002  для всіх стандартів  . Їх використання дозволяє організаціям керувати безпекою таких активів, як фінансова інформація, інтелектуальна власність, дані співробітників або інформація, довірена третіми особами.

Нова версія ISO/IEC 27002:2022 була опублікована в лютому 2022 року.
Нове видання ISO/IEC 27001:2022 також буде випущено без заборони.
Нове видання стандартів передбачають перегляди та оновлення кількох сімейств ISO/IEC 27000

Як щодо решти стандарту ISO 27000?

Оновлення відповідних стандартів серії ISO 27xxx (наприклад, ISO 27017, 27018, 27701, 27799) значною мірою залежить від дати їх початкового випуску після стандартного 5-річного циклу перевірки. Як і у випадку з Iso 27002, який був випущений у 2018 році, це може бути зайнято ще 3-4 роки, починаючи не дати наступного зроблено.

Нижче ми представляємо огляд сімейства стандартів ISO 27000, їх статус та очікувані дати випуску

Огляд серії стандарту ISO 27000:

ISO 27017:2015

ISO/IEC 27017 надає вказівки щодо принципів інформаційної безпеки, застосовних до надання та використання хмарних послуг, надаючи:
– додаткові вказівки щодо впровадження відповідних засобів контролю, викладених у ISO/IEC 27002;
– додаткові заходи безпеки з інструкціями щодо впровадження, які стосуються саме хмарних служб.
Ці вказівки містять вказівки щодо впровадження як для постачальників хмарних послуг, так і для клієнтів хмарних технологій.
Цей стандарт востаннє переглядався та підтверджувався у 2021 році. Тому ця версія залишається чинною.

ISO 27018:2019

ISO /IEC 27018 встановлює загальноприйняті цілі безпеки, запобіжні заходи та вказівки щодо впровадження заходів щодо персональної ідентифікаційної інформації (PII) відповідно до принципів конфіденційності ISO/IEC 29100 для загальнодоступного середовища хмарних обчислень.
Стандарт ISO 27018 містить вказівки на основі ISO/IEC 27002, враховуючи нормативні вимоги щодо захисту персональних даних, які можуть застосовуватися в контексті ризику інформаційної безпеки постачальника хмарних послуг.
ISO 27018 поширюється на всі організації, які надають послуги з обробки інформації як обробники персональних даних через хмарні обчислення за контрактами з іншими організаціями.
Рекомендації в цьому стандарті також можуть застосовуватися до організацій, які виконують функції аудиторів ідентифікаційної інформації. Однак на контролерів персональних даних можуть поширюватися додаткові закони, нормативні акти та зобов’язання щодо захисту персональних даних, які не застосовуються до суб’єктів, що обробляють персональні дані. Цей документ не призначений для покриття таких додаткових зобов’язань.
Очікує на перегляд у 2024 році, тож може бути оновлено.

ISO 27701:2019

ISO/IEC 27701 є розширенням до ISO/IEC 27001 та ISO/IEC 27002 для управління конфіденційною інформацією. У ньому встановлюються вимоги, пов’язані з PIMS, і містяться вказівки щодо засобів захисту ідентифікаційної інформації та обробників ідентифікаційної інформації, які відповідають за обробку ідентифікаційної інформації. Стандарт ISO/IEC 27701 застосовується до всіх організацій, які є контролерами персональних даних та/або обробниками персональних даних, які обробляють персональні дані в рамках СУІБ.
Чекає на перевірку в 2024 році, тоді з’ясується чи буде оновлюватися.

ISO 27799:2016

ISO 27799 надає вказівки щодо організаційних стандартів безпеки інформації та практики управління інформаційною безпекою, включаючи вибір, впровадження та управління безпекою, беручи до уваги ризик інформаційної безпеки в організації.
Стандарт ISO 27799 надає вказівки щодо впровадження механізмів безпеки, описаних у ISO/IEC 27002, і доповнює їх, якщо це необхідно, щоб їх можна було ефективно використовувати для управління безпекою медичної інформації. Завдяки впровадженню ISO 27799:2016 організації охорони здоров’я та інші зберігачі медичної інформації зможуть забезпечити мінімально необхідний рівень безпеки, який відповідає їхнім організаційним обставинам, і підтримуватимуть конфіденційність, цілісність і доступність персональних даних про здоров’я, які знаходяться в їхньому нагляді. .
Він застосовується до медичної інформації в усіх її аспектах, незалежно від форми інформації (слова та цифри, звукозаписи, малюнки, відео та медичні зображення), незалежно від того, як вона зберігається (надрукована чи написана на папері чи зберігається в електронній формі) , і будь-якими засобами, використовуваними для її передачі (вручну, факсом, через комп’ютерні мережі чи поштою), оскільки інформація завжди належним чином захищена.
Стандарти ISO 27799 та ISO/IEC 27002 визначають вимоги до інформаційної безпеки для охорони здоров’я, але не визначають, як ці вимоги мають бути виконані. Це означає, що ISO 27799:2016 є максимально технологічно нейтральним. Важливою особливістю є нейтральність щодо реалізації технології.
Знання ISO/IEC 27002 є важливим для розуміння ISO 27799:2016. Однак деякі сфери інформаційної безпеки не охоплюються сферою застосування ISO 27799.

Це:
a) методології та статистичні тести для ефективної анонімізації персональних даних про здоров’я,
b) методології псевдонімізації особистої інформації про здоров’я,
c) якість мережевих послуг та методи вимірювання доступності мереж, що використовуються в інформатиці охорони здоров’я,
d) якість даних.
Стандарт ISO 27799 буде оновлено в 2025 році.

NEN 7510:2017

NEN – голландська фундація, яка займається стандартизацією, розробила стандарт NEN 7510 спеціально для інформаційної безпеки в охороні здоров’я. Стандарт охоплює великомасштабні конфіденційні дані в секторі охорони здоров’я. Він був створений для того, щоб пацієнти та клієнти могли розраховувати на безпечну обробку своїх даних.
Стандарт NEN 7510 допомагає постачальнику медичних послуг або послуг структурно організувати та покращити інформаційну безпеку. У деяких випадках використання стандарту є навіть обов’язковим за законом.
Версія NEN 7510:2017 складається з двох частин:
Частина 1 (NEN 7510-1) зосереджена на розробці СУІБ (Система управління інформаційною безпекою): структурований підхід, що ґрунтується на ризиках, щоб гарантувати доступність, цілісність і конфіденційність інформації. Ця частина базується на стандарті ISO 27001.
Частина 2 (NEN 7510-2) поєднує в собі спеціальні засоби контролю: вони базуються на міжнародних стандартах ISO/IEC 27002 та ISO 27799. У порівнянні зі стандартами ISO ці стандарти NEN зосереджуються на зокрема щодо захисту персональних даних про здоров’я.
Очікується випуск ISO 27799, ймовірно, буде оновлено в 2025 або 2026 роках.

ISO/IEC 27004:2017

Стандарт ISO 27004 дозволяє організаціям оцінювати продуктивність інформаційної безпеки та ефективність системи управління інформаційною безпекою, щоб відповідати вимогам стандарту ISO/IEC 27001. Зокрема, він стосується:
a) моніторингу та вимірювання продуктивності інформаційної безпеки ,
b) моніторинг та вимірювання ефективності інформаційної безпеки системи менеджменту (СУІБ), включаючи її процеси та засоби захисту,
в) аналіз та оцінка результатів моніторингу та вимірювання.
Оскільки ISO/IEC 27004 тісно пов’язаний із ISO/IEC 27001, його буде оновлено через 2-3 роки.

ISO/IEC 27005:2022

ISO 27005 надає вказівки щодо управління ризиками інформаційної безпеки. ISO/IEC 27005 є доповненням до ISO/IEC 27001 та ISO/IEC 27002. Стандарт надає вказівки, які допоможуть вам:
— відповідати вимогам ISO/IEC 27001 щодо ризиків інформаційної безпеки;
— здійснення діяльності щодо управління ризиками інформаційної безпеки, зокрема оцінки та управління ризиками інформаційної безпеки.
ISO 27705, які спрямовані на управління ризиками, які можуть поставити під загрозу інформаційну безпеку організації. Наразі версія 2022 знаходиться на стадії розробки та має бути випущена пізніше цього року. Тому наразі діє версія стандарту 2018 року.

ISO/IEC 27006

Тут слід згадати дві частини стандарту:
ISO/IEC 27006-1
ISO/IEC 27006-2
Обидві частини стосуються вимог до органів сертифікації та аудиту систем управління інформаційною безпекою. Друга частина стосується систем управління конфіденційною інформацією.
ISO/IEC 27006-1 знаходиться на стадії фінального проекту, тобто він буде опублікований найближчим часом, тоді як ISO/IEC 27006-2 знаходиться у формі чернетки, і його шлях до публікації трохи довший, ніж його перша частина. Поки обидві частини не будуть опубліковані, версія ISO/IEC 27006:2015, яка була переглянута у 2020 році, продовжує застосовуватися.

ISO/IEC 27007:2020

Стандарт ISO/IEC 27007 містить вказівки щодо управління програмою аудиту системи управління інформаційною безпекою (СУІБ), проведення аудитів і компетентність аудиторів СУІБ, на додаток до настанов, що містяться в ISO 19011.
Останній перегляд цього стандарту було опубліковано в січні 2020 року, тому його буде переглянуто та оновлено до 2025 року

ISO/IEC 27008:2019

ISO/IEC 27008 є настановами для перегляду та оцінювання впровадження та функціонування засобів контролю інформаційної безпеки, включаючи технічну оцінку механізмів безпеки інформаційної системи, відповідно до вимог інформаційної безпеки, встановлених організацією, включаючи технічну відповідність критеріям оцінки, заснованим на вимоги інформаційної безпеки, встановлені організацією.
Актуальна версія з 2019 року. має бути оновлено у 2024 році.

Є багато інших стандартів серії ISO 27001 . Їх можна перераховувати довго, але всі вони стосуються окремих областей двох базових стандартів ISO/IEC 27001 та ISO/IEC 27002.

Технології безпеки продовжують швидко розвиватися, і швидкість цих змін тепер вимірюється місячним часом, Навпаки, хоча стандарти серії ISO/IEC 27000 підлягають короткому перегляду, не менш важливо, що технологічна нейтральність дозволяє постачальникам послуг вільно пропонувати нові або розробляти вже існуючі технології, які відповідають необхідним вимогам, описаним у серії стандартів ISO 27000.

Слідкуй за нами!
Незабаром ми публікуємо статтю про зміни в СТАНДАРТАХ ISO 27001 та як оновити систему управління інформаційною безпекою.