В этой статье вы узнаете, какие изменения произошли в стандарте ISO/IEC 27001:2022 по сравнению с версией 2013 года, что нового появилось в приложении А, и что необходимо учесть при переходе на обновлённую версию.
ISO 27001 – ведущий мировой стандарт информационной безопасности, который включает в себя требования для создания системы менеджмента информационной безопасности (СМИБ). В конце 2022 года Международная организация по стандартизации опубликовала новую версию стандарта ISO/IEC 27001:2022. Основная часть изменений заключается в том, что пункты приложения, А были сгруппированы иначе, либо переименованы. Также добавились и новые элементы.
Видео – визуальное дополнение к этой статье.
Основные изменения в ISO/IEC 27001:2022:
- Умеренно изменились меры безопасности Приложения А;
- Количество органов управления уменьшилось со 114 до 93;
- Элементы управления размещены в 4 секциях вместо прежних 14;
- Добавлено 11 новых элементов управления, но ни один элемент не был удален, многие объединены;
Изменения в пунктах 4-10
Основные изменения затрагивают планирование и определения критериев процесса, а также мониторинга.
Пункт 4.2. Понимание потребностей и ожиданий заинтересованных сторон: Появился новый подпункт, требующий анализа требований заинтересованных сторон, которые будут удовлетворяться посредством СМИБ.
Пункт 4.4. Система управления информационной безопасностью: Добавлена новая формулировка, требующая, чтобы СМИБ включала в себя процессы, лежащие в основе СМИБ. То есть не только те, что указаны в стандарте.
Пункт 6.2. Цели информационной безопасности и планирование их достижения: Включает дополнительные рекомендации по целям информационной безопасности. Это дает больше ясности в отношении того, как цели должны контролироваться и документироваться.
Пункт 6.3. Планирование изменений: Этот пункт добавлен для того, чтобы установить стандарт планирования изменений. То есть если в СМИБ потребуются изменения, они должны быть правильно спланированы.
Пункт 8.1. Оперативное планирование и контроль: Появилось дополнительное руководство по оперативному планированию и контролю.
Дополнительные незначительные изменения в этих пунктах включают в себя:
Пункт 5.3. Организационные роли, обязанности и полномочия: Информация о ролях, имеющих отношение к информационной безопасности, должна сообщаться внутри организации.
Пункт 7.4. Коммуникация: Подпункты D и E были упрощены и объединены.
Пункт 9.2. Внутренний аудит: Он объединил то, что уже существовало между пунктами 9.2.1 и 9.2.2, в один раздел.
Пункт 9.3. Анализ со стороны руководства: Добавлен новый пункт, поясняющий, что анализ со стороны руководства организации должен включать рассмотрение любых изменений в потребностях и ожиданиях заинтересованных сторон.
Пункт 10 Улучшение. Здесь произошли только структурные изменения: постоянное улучшение (10.1) перечисляют первым, а несоответствие и корректирующие действия (10.2) — вторым.
Изменения в структуре управления Приложения А
В ISO 27001:2022 помимо прочего внесены структурные изменения в элементы управления Приложения А:
- 11 новых элементов управления
- 57 элементов управления объединены
- 23 элемента управления переименованы
- 3 элемента управления удалены
В новом обновлении элементы управления размещены в четырех темах:
- Управление людьми (8 элементов)
- Организационные средства контроля (37 элементов)
- Технологический контроль (34 элемента)
- Физические элементы управления (14 элементов)
Новые средства контроля в Приложении A
A.5.7 Аналитика угроз. Этот элемент управления требует от организаций сбора и анализа информации об угрозах, чтобы они могли принять меры для снижения риска.
A.5.23 Информационная безопасность для использования облачных служб. Элемент подчеркивает необходимость повышения информационной безопасности в облаке и требует установления стандартов безопасности для облачных служб и наличия процессов и процедур специально для облачных служб.
A.5.30 Готовность ИКТ к непрерывности бизнеса. Этот элемент требует обеспечения возможности восстановления/использования информационных и коммуникационных технологий в случае сбоев.
A.7.4 Мониторинг физической безопасности. Здесь говорится, что организации должны контролировать чувствительные физические области (центры обработки данных, производственные объекты и т. д.), чтобы обеспечить доступ к ним только авторизованных людей, чтобы организация была осведомлена в случае нарушения.
A.8.9 Управление конфигурацией. Этот элемент о том, чтобы организация управляла конфигурацией своей технологии, чтобы обеспечить ее безопасность и избежать несанкционированных изменений.
A.8.10 Удаление информации. Здесь требуется удаления данных, когда они больше не требуются, чтобы избежать утечки конфиденциальной информации и соблюдать требования конфиденциальности.
A.8.11 Маскирование данных. Этот элемент управления требует, чтобы организации использовали маскирование данных в соответствии с политикой управления доступом организации для защиты конфиденциальной информации.
A.8.12 Предотвращение утечки данных. Элемент требует от организаций реализации мер по предотвращению утечки данных и раскрытия конфиденциальной информации из систем, сетей и других устройств.
A.8.16 Мониторинг действий. Здесь говорится о мониторинге систем на предмет необычных действий и внедрения соответствующих процедур реагирования на инциденты.
A.8.23 Веб-фильтрация. Этот элемент управления требует, чтобы организации управляли доступом пользователей к веб-сайтам для защиты IT-систем.
A.8.28 Безопасное кодирование. Этот элемент о том, что принципы безопасного кодирования должны быть установлены в рамках процесса разработки программного обеспечения организации, чтобы уменьшить уязвимости безопасности.
Что делать с ISO/IEC 27001:2013?
Подводя итоги, можно сказать, что изменения в основной части стандарта небольшие и могут быть воспроизведены достаточно быстро. Изменения в Приложении, А — умеренные, и их, в целом, можно устранить, добавив новые средства управления в уже существующую документацию.
Сертификация по ISO 27001:2013 всё ещё разрешена до 30 апреля 2024 года. Однако любая компания, сертифицированная в настоящее время по стандарту, должна будет перейти на новую версию до 31 октября 2025 года.
Обеспечьте надёжную информационную безопасность своей компании вместе с Изи Штандарт. Мы поможем на всех этапах получения сертификата. Вкладывайте в будущее уже сейчас!
Q&A
Какие "новые" 11 контролей появились в ISO/IEC 27001:2022?
Список: Threat intelligence (5.7), Information security for use of cloud services (5.23), ICT readiness for business continuity (5.30), Physical security monitoring (7.4), Configuration management (8.9), Information deletion (8.10), Data masking (8.11), Data leakage prevention (8.12), Monitoring activities (8.16), Web filtering (8.23), Secure coding (8.28).
Климатические правки 2024: нужно ли что-то менять в ISO/IEC 27001:2022?
Да: Amendment 1:2024 добавил в 4.¼.2 требование определить релевантность климатических факторов (и учесть интересы сторон). Отразите это в анализе контекста/сторон и, при необходимости, в целях/рисках.
Список: Threat intelligence (5.7), Information security for use of cloud services (5.23), ICT readiness for business continuity (5.30), Physical security monitoring (7.4), Configuration management (8.9), Information deletion (8.10), Data masking (8.11), Data leakage prevention (8.12), Monitoring activities (8.16), Web filtering (8.23), Secure coding (8.28).
Климатические правки 2024: нужно ли что-то менять в ISO/IEC 27001:2022?
Да: Amendment 1:2024 добавил в 4.¼.2 требование определить релевантность климатических факторов (и учесть интересы сторон). Отразите это в анализе контекста/сторон и, при необходимости, в целях/рисках.