Блог

Как перейти на СТБ ISO/IEC 27001-2024: обзор изменений, преимущества и рекомендации

В этой статье вы узнаете, какие изменения появились в новом стандарте СТБ ISO/IEC 27001-2024, как они помогают повысить уровень информационной безопасности, что именно обновилось в структуре и требованиях, а также как правильно подготовиться к переходу и зачем это нужно вашей компании.

СТБ ISO/IEC 27001-2024: в Беларуси начал действовать обновлённый стандарт по информационной безопасности

С 1 января 2025 года в Республике Беларусь официально вступил в силу новый национальный стандарт СТБ ISO/IEC 27001-2024, пришедший на смену версии 2016 года. СТБ ISO/IEC 27001 устанавливает требования к созданию, внедрению, поддержанию и постоянному улучшению системы менеджмента информационной безопасности (СМИБ) — комплекса организационных и технических мер, направленных на защиту информации от угроз. Новая версия стандарта актуализирует подходы к управлению рисками и внедряет передовые практики, признанные на международном уровне.

Обзор изменений в СТБ ISO/IEC 27001-2024

Стандарт СТБ ISO/IEC 27001-2024 основан на международной версии ISO/IEC 27001:2022 и отражает актуальные тенденции в области информационной безопасности. Обновление стандарта не носит революционного характера, но включает важные уточнения и структурные улучшения.
Ключевые изменения затрагивают следующие аспекты:
1. Уточнение формулировок в разделах 4–10
Структура разделов осталась прежней — от контекста организации до постоянного улучшения. Изменения в требованиях минимальны и направлены на:
  • Повышение точности и однозначности формулировок;
  • Исключение разночтений при интерпретации требований;
  • Упрощение понимания и применения стандарта на практике.
2. Обновление терминологии
Ряд терминов переработан для повышения чёткости.
  • Уточнены формулировки сносок и примечаний;
  • Пересмотрены описания отдельных требований, особенно в области оценки рисков (пункт 6.1.3).
3. Переработка описания процесса оценки рисков
Обновлено требование по управлению рисками информационной безопасности:
  • Уточнены шаги идентификации, анализа и обработки рисков;
  • Исключены возможные двусмысленные трактовки;
  • Повышена прозрачность и воспроизводимость процедуры оценки.
Оставить заявку

Детальный анализ изменений в разделах 4–10 СТБ ISO/IEC 27001-2024

Изменения в разделах 4–10 новой редакции стандарта по сравнению с версией 2016 года (эквивалент ISO/IEC 27001:2013) являются точечными, но важными. Их цель — повысить ясность требований, устранить неоднозначности и обеспечить лучшее соответствие другим стандартам систем менеджмента.

Раздел 4. Контекст организации

В пункте 4.2 добавлено новое требование: организация должна определить, какие из ожиданий заинтересованных сторон относятся к информационной безопасности и должны быть учтены в рамках системы управления. Это усиливает ориентацию на внешнюю и внутреннюю среду. Кроме того, в пункте 4.4 уточняется, что СМИБ должна включать не только процессы, но и их взаимодействие, что подчёркивает необходимость процессного подхода.

Раздел 5. Лидерство

В пункте 5.3 сделан акцент на необходимость донесения информации о ролях и полномочиях в области информационной безопасности до сотрудников. Это изменение направлено на повышение внутренней осведомлённости и усиление персональной ответственности за безопасность.

Раздел 6. Планирование

Обновлён пункт 6.2: теперь цели в области информационной безопасности должны быть не только установлены, но и документированы, а также подлежать мониторингу. Введён новый пункт 6.3, касающийся планирования изменений — любые изменения в системе безопасности должны быть запланированы и находиться под управлением. Также пересмотрены и уточнены формулировки в пункте 6.1.3, касающемся оценки рисков, особенно в части критериев принятия риска. Все эти изменения обеспечивают большую управляемость и предсказуемость в развитии СМИБ.

Раздел 7. Поддержка

Наиболее заметное изменение — переработка пункта 7.4. Ранее отдельно указывалось, что нужно определить, что, когда и с кем коммуницировать; теперь требования объединены, и акцент смещён на общий процесс коммуникации. Это упрощает документирование коммуникационных процедур и повышает их гибкость. Остальные части раздела — ресурсы, компетентность, осведомлённость, задокументированная информация — остались без изменений.

Раздел 8. Функционирование

В пункте 8.1 уточнено, что организация должна определять критерии для процессов, связанных с управлением рисками, и контролировать их в соответствии с этими критериями. Также теперь прямо указано, что необходимо контролировать все внешние процессы, продукты и услуги, которые могут повлиять на СМИБ — в том числе поставщиков и облачные сервисы. Это изменение подчёркивает актуальность управления цепочкой поставок и внешними рисками.

Раздел 9. Оценка результативности

В новой редакции объединены требования внутреннего аудита: вместо двух подпунктов (9.2.1 и 9.2.2) теперь используется единый подход, что упрощает структуру без изменения сути. В пункт 9.3 добавлено требование учитывать изменения в потребностях заинтересованных сторон при анализе со стороны руководства. Это обеспечивает более адаптивное и актуальное управление СМИБ.

Раздел 10. Улучшение

Изменения в этом разделе носят исключительно структурный характер: теперь пункт 10.1 посвящён постоянному улучшению, а 10.2 — несоответствиям и корректирующим действиям (в версии 2013 года они были расположены в обратном порядке). Это изменение направлено на гармонизацию с унифицированной структурой и не затрагивает суть требований.
Обновлённая редакция СТБ ISO/IEC 27001-2024 сохраняет преемственность с предыдущей версией, при этом делает стандарт более чётким, современным и согласованным с другими стандартами менеджмента. Для большинства организаций, уже соответствующих старой версии, переход на новую не потребует кардинальных изменений — достаточно точечного обновления отдельных документов и процедур, прежде всего в части планирования изменений, внутренней коммуникации и управления внешними поставщиками.

Преимущества внедрения СТБ ISO/IEC 27001-2024

Внедрение СТБ ISO/IEC 27001-2024 усиливает защиту информации и снижает риски киберинцидентов за счёт учёта актуальных угроз и современных мер безопасности. Новый стандарт позволяет организациям проактивно выявлять уязвимости, эффективно реагировать на инциденты и выстраивать устойчивую систему управления рисками.
Сертификация по обновлённой версии повышает доверие со стороны клиентов, партнёров и регуляторов. Это даёт конкурентные преимущества в тендерах, особенно в ИТ, финансах и госсекторе, где наличие сертификата становится обязательным условием участия.
Кроме того, стандарт способствует развитию культуры информационной безопасности внутри компании, улучшает управление, повышает прозрачность процессов и укрепляет репутацию на рынке.

Рекомендации по переходу на СТБ ISO/IEC 27001-2024

  1. Начните заранее. Даже если текущий сертификат ещё действует, не стоит откладывать. Ранний анализ требований новой версии поможет без спешки скорректировать систему и подготовиться к сертификации.
  2. Задействуйте все ключевые подразделения. Обеспечьте поддержку руководства — это стратегическое решение, влияющее на устойчивость и репутацию компании.
  3. Используйте готовые материалы и практики. Опирайтесь на сопоставительные таблицы контролей, методические рекомендации и чек-листы. При необходимости привлеките внешних консультантов или обучите сотрудников по новой версии стандарта.
  4. Сконцентрируйтесь на новых контролях. Оцените применимость каждого из 93 контролей, особенно новых — по облакам, разработке ПО, мониторингу. Расставьте приоритеты по уровню риска и начните реализацию.
  5. Обновите ключевые документы. Декларация применимости (SoA) и процесс управления рисками должны быть пересмотрены с учётом новых требований. Отразите это в политике, процедурах и реестрах.
  6. Проведите внутренний аудит. До внешней проверки важно организовать аудит по новой версии — это поможет выявить слабые места и устранить их заранее.
  7. Оповестите партнёров. При необходимости подтвердите партнёрам, что переход запланирован или в процессе. Это особенно важно для компаний, участвующих в международных проектах.
СТБ ISO/IEC 27001-2024 отражает актуальные вызовы и лучшие международные практики в области информационной безопасности. Его внедрение позволяет организациям повысить защищённость, соответствовать требованиям рынка, сохранить конкурентоспособность и доверие со стороны клиентов и партнёров. Переход требует усилий, но он реалистичен и управляем — особенно при грамотном планировании и поддержке специалистов.
Новая версия стандарта — это не просто обновление формальностей, а шаг к зрелой системе безопасности, устойчивой к современным угрозам и готовой к будущим вызовам. Компании, которые уже начали переход, подтверждают, что это — инвестиция в стабильность и развитие.
Свяжитесь с нами, чтобы получить индивидуальную консультацию и начать переход уже сегодня. Сделайте вашу систему информационной безопасности современной, эффективной и сертифицированной по последним требованиям!
Оставить заявку
Читайте также:
2025-03-27 12:40