Получите сертификат
ISO/IEC 27001:2022 и начните работать с крупными заказчиками по всему миру

В конце 2022 года Международная организация по стандартизации (ISO) опубликовала новую версию стандарта ISO/IEC 27001:2022. Основная часть изменений заключается в том, что пункты приложения А были сгруппированы иначе, либо переименованы, а также добавились и новые элементы:

• Умеренно изменились меры безопасности Приложения А;
• Количество органов управления уменьшилось со 114 до 93;
• Элементы управления размещены в 4 секциях вместо прежних 14;
• Добавлено 11 новых элементов управления, но ни один элемент не был удален, многие объединены.

Основные изменения в ISO/IEC 27001:2022:
Изменения в пунктах 4-10
Основные изменения затрагивают планирование и определения критериев процесса, а также мониторинга.
Пункт 4.2. Понимание потребностей и ожиданий заинтересованных сторон: Появился новый подпункт, требующий анализа требований заинтересованных сторон, которые будут удовлетворяться посредством СМИБ.
Пункт 4.4. Система управления информационной безопасностью: Добавлена новая формулировка, требующая, чтобы СМИБ включала в себя процессы, лежащие в основе СМИБ. То есть не только те, что указаны в стандарте.
Пункт 6.2. Цели информационной безопасности и планирование их достижения: Включает дополнительные рекомендации по целям информационной безопасности. Это дает больше ясности в отношении того, как цели должны контролироваться и документироваться.
Пункт 6.3. Планирование изменений: Этот пункт добавлен для того, чтобы установить стандарт планирования изменений. То есть если в СМИБ потребуются изменения, они должны быть правильно спланированы.
Пункт 8.1. Оперативное планирование и контроль: Появилось дополнительное руководство по оперативному планированию и контролю.
Дополнительные незначительные изменения в этих пунктах включают в себя:
Пункт 5.3. Организационные роли, обязанности и полномочия: Информация о ролях, имеющих отношение к информационной безопасности, должна сообщаться внутри организации.
Пункт 7.4. Коммуникация: Подпункты D и E были упрощены и объединены.
Пункт 9.2. Внутренний аудит: Он объединил то, что уже существовало между пунктами 9.2.1 и 9.2.2, в один раздел.
Пункт 9.3. Анализ со стороны руководства: Добавлен новый пункт, поясняющий, что анализ со стороны руководства организации должен включать рассмотрение любых изменений в потребностях и ожиданиях заинтересованных сторон.
Пункт 10 Улучшение. Здесь произошли только структурные изменения: постоянное улучшение (10.1) перечисляют первым, а несоответствие и корректирующие действия (10.2) – вторым.

Изменения в структуре управления Приложения А
В ISO 27001:2022 помимо прочего внесены структурные изменения в элементы управления Приложения А..

• 11 новых элементов управления
• 57 элементов управления объединены
• 23 элемента управления переименованы
• 3 элемента управления удалены

В новом обновлении элементы управления размещены в четырех темах:

• Управление людьми (8 элементов)
• Организационные средства контроля (37 элементов)
• Технологический контроль (34 элемента)
• Физические элементы управления (14 элементов)

Новые средства контроля в Приложении A
A.5.7 Аналитика угроз. Этот элемент управления требует от организаций сбора и анализа информации об угрозах, чтобы они могли принять меры для снижения риска.
A.5.23 Информационная безопасность для использования облачных служб. Элемент подчеркивает необходимость повышения информационной безопасности в облаке и требует установления стандартов безопасности для облачных служб и наличия процессов и процедур специально для облачных служб.
A.5.30 Готовность ИКТ к непрерывности бизнеса. Этот элемент требует обеспечения возможности восстановления/использования информационных и коммуникационных технологий в случае сбоев.
A.7.4 Мониторинг физической безопасности. Здесь говорится о том, что организации должны контролировать чувствительные физические области (центры обработки данных, производственные объекты и т. д.), чтобы обеспечить доступ к ним только авторизованных людей, чтобы организация была осведомлена в случае нарушения.
A.8.9 Управление конфигурацией. Этот элемент о том, чтобы организация управляла конфигурацией своей технологии, чтобы обеспечить ее безопасность и избежать несанкционированных изменений.
A.8.10 Удаление информации. Здесь требуется удаления данных, когда они больше не требуются, чтобы избежать утечки конфиденциальной информации и соблюдать требования конфиденциальности.
A.8.11 Маскирование данных. Этот элемент управления требует, чтобы организации использовали маскирование данных в соответствии с политикой управления доступом организации для защиты конфиденциальной информации.
A.8.12 Предотвращение утечки данных. Элемент требует от организаций реализации мер по предотвращению утечки данных и раскрытия конфиденциальной информации из систем, сетей и других устройств.
A.8.16 Мониторинг действий. Здесь говорится о мониторинге систем на предмет необычных действий и внедрения соответствующих процедур реагирования на инциденты.
A.8.23 Веб-фильтрация. Этот элемент управления требует, чтобы организации управляли доступом пользователей к веб-сайтам для защиты IT-систем.
A.8.28 Безопасное кодирование. Этот элемент о том, что принципы безопасного кодирования должны быть установлены в рамках процесса разработки программного обеспечения организации, чтобы уменьшить уязвимости безопасности.

Аккредитация органа по сертификации - это разрешение на осуществление деятельности по сертификации организаций. Аккредитовывать органы по сертификации могут аккредитующие организации. В мире это некоммерческие международные организации (IAF, IAS) и государственные органы (в РБ - Белорусский государственный центр аккредитации, в РФ - Россаккредитация, в Казахстане - Национальный центр аккредитации). Представители государственных органов по аккредитации также могут быть членами международных организаций по аккредитации (например, БГЦА входит в IAF). Чтобы получить аккредитацию орган по сертификации обязан регулярно проходить проверки на соблюдение требований (соблюдение правил сертификации и регламентов, ведение документов, обучение и контроль аудиторов и многое другое). Сертификаты соотвествия, полученные в аккредитованных органах по сертификации, ценятся и имеют больший вес, поскольку аккредитация служит доказательством достоверности проверок и выдачи таких сертификатов. Стандарт ISO/IEC 27001:2022 аккредитуется организациями под эгидой IAF (обычно на сертификате присутствует соответствующий значок).

Международный форум по аккредитации (IAF) является всемирной ассоциацией органов по аккредитации и сертификации и других организаций, принимающих участие в деятельности по оценке соответствия в различных областях, в том числе систем менеджмента, продукции и персонала. Мы являемся партнёрами международных органов из разных стран мира (Канада, Чехия, Италия, Англия и др), которые имеют аккредитацию IAF.

IAF способствует всемирному признанию сертификатов соответствия, которые были выданы органами по сертификации, аккредитованными IAF и стремится приносить пользу для всех заинтересованных сторон в рамках своей деятельности и программ.

Сертификат соответствия ISO/IEC 27001 выдаёт орган по сертификации после успешного сертификационного аудита. На аудите аудируемая организация должна продемонстрировать соблюдение требований стандарта. Для этого в организации должны вестись документы, быть обученные сотрудники, проводиться внутренние аудиты и прочее. Какие конкретно документы должны быть и что в них должно быть описано в стандарте не указано. Таким образом, имея понимание стандарта и деятельности организации, специалисты должны выработать систему менеджмента информационной безопасности в компании, разработать документацию и контролировать её функционирование.
Наши эксперты помогают своим клиентам, создавая такие системы менеджмента. Получая информацию об организации, создаётся пакет документов, достаточный для функционирования СМИБ и прохождения международного сертификационного аудита. В зависимости от организации и ее деятельности перечень документов и их содержание весьма отличаются.

Пример перечня разрабатываемых документов:
1. Документированные процедуры (проведение внутренних аудитов, оценка рисков, корректирующие и предупреждающие действия, контекст организации, управление документированной информацией, Контроль мониторинга, измерения, анализа и оценки, контроль над аутсорсинговыми процессами, анализ системы со стороны руководства и другие процедуры);
2. Журналы и приказы;
3. Руководство по информационной безопасности;
4. Политика в области информационной безопасности;
5. Отчеты и графики;
6. Реестры (активы, риски, поставщики, ТНПА и другие);
7. Политики (распределение ответственности по СМИБ, контроль доступа, криптографическая защита, парольная защита, физическая защита, безопасная разработка и прочее );
8. Инструкции (в отношении беспроводных сетей, сетевое подключение, облачные вычисления и прочее).

Важно отметить, что разрабатываемые документы соответствуют актуальным международным стандартам.

Сертификат соответствия содержит область сертификации. Проще говоря, это та деятельность, которую сертифицирует организация. Например, разработка ПО для систем диагностики, тестирование ПО и другое. Если у организации несколько офисов/филиалов, которые непосредственно участвуют в заявленной области сертификации, то проверяются все эти площадки. Таким образом в сертификате будут прописаны эти площадки (чаще всего приложением).
Если при наличии нескольких площадок, сертифицируемая деятельность осуществляется только на одной из них, тогда и проверятся на аудите будет только эта площадка. Как результат, в сертификате будет указана только проверенная площадка.

Чтобы посчитать расходы на сертификат ISO/IEC 27001 в крупную клетку, разделим по времени процесс на 2 этапа: получение сертификата и обеспечение действия сертификата. Сертификат выдаётся на три года. Весь жизненный цикл сертификата включает в себя три аудита (первичный сертификационный аудит - после него организация получает сертификат; первый инспекционный контроль - с 9 по 12 месяц с даты получения сертификата, около 70% от стоимости первичного аудита; второй инспекционный контроль - с 21 до 24 месяца с даты получения сертификата). В получение сертификата мы включаем расходы на подготовительные мероприятия и сертификационный аудит. В обеспечение действия сертификата мы включаем расходы на ведение (актуализацию) системы менеджмента качества, устранение несоответствий, реализацию зон развития СМИБ (аспекты по улучшению), инспекционные аудиты, обучение персонала.

Оценим стоимость получения сертификата (в случае если нет СМИБ):
1. Разработка документации.
Тут есть два пути - реализовывать документы своими силами или привлекать экспертизу со стороны. Если нанимать специалиста в штат, то фигурируют затраты на найм (около 400 евро), обеспечение рабочим местом (около 800 евро) и заработную плату (от 500 до 1500 евро), закупка ТНПА и стандартов (до 250 евро), обучение персонала (около 500 евро). Срок реализации СМИБ из нашего опыта составит по оптимистичному сценарию не меньше 6 месяцев. Итого от 5000 до 11000 евро за полгода без учета налогов. Если привлекать экспертизу со стороны, то цена напрямую зависит от самой организации (области сертификации и размера организации) и экспертизы привлекаемого специалиста. На практике цены могут варьироваться от 500 евро (обычно шаблоны) до 12000 евро, однако сроки в таком случае обычно 3-4 месяца.
2. Сертификационный аудит.
Стоимость сертификационного аудита зависит от организации (область сертификации, размер организации, географическое положение), органа по сертификации (размер пошлины), расходов на аудитора (количество дней на аудите, транспортные и командировочные расходы). Стоимость аудита и получение сертификата от международного аккредитованного органа может варьироваться от 2000 до 16000 евро. Также при подготовке к сертификации Вы можете попробовать провести аудит документации, с целью минимизировать риски и проверить себя без последствий или вовсе провести пробный аудит у себя на предприятии. В случае, если на аудите выявляются несоответствия, то организация несет дополнительные затраты. Их размер напрямую зависит от степени выявленных несоответствий (от покупки стандарта до проведения повторного аудита).

Оценим расходы на поддержание действия сертификата в год:
1. Инспекционный контроль.
Около 70% от стоимости первичного сертификационного аудита (от 1400 до 11000 евро) + расходы на аудитора. В случае выявления несоответствий: небольшое несоответствие - около 200 евро, серьезно несоответствие - до 2000 евро и повторный аудит.
2. Поддержание СМИБ.
Эта статья расходов по сути отображает затраты на заработную плату специалиста. За 12 месяцев от 6000 до 18000 евро без учета налогов.
3. Обучение персонала.
Сотрудники в компании должны обучаться. Обычно в год до 500 евро на одного сотрудника.
4. Прочие расходы (например, закупка специализированного ПО).
Эти расходы сильно варьируются в зависимости от организации.
Из практики часто бывает, что компании не ведут документы в течение года, и как результат на инспекционном контроле получают множество несоответствий. В случае их неустранения, действие сертификата приостанавливается. Также не стоит пренебрегать зонами развития, которые обозначает аудитор. Их реализация значительно улучшает мнение аудитора к вашей организации.