Новые версии ISO/IEC 27001:2022 и ISO/IEC 27002:2022! 05.01.2023 10:22Обновленная версия ISO 27000:2022. Что поменялось и что необходимо предпринять?
28 октября 2022 года была опубликована новая улучшенная версия серии стандартов ISO/IEC 27000:2022, а именно ISO/IEC 27001:2022 – «Информационные технологии, кибербезопасность и защита конфиденциальности. Системы менеджмента информационной безопасности. Требования», ISO/IEC 27002:2022 – «Информационная безопасность, кибербезопасность и защита конфиденциальности. Управление информационной безопасностью».
Прежде всего хотелось бы отметить, что обновлённая версия ИСО 27001:2022 существенно не отличается от предыдущей 2013 г., однако все же есть некоторые заметные поправки, которые мы рассмотрим ниже.
Начнем с того, что в новом издании ИСО 27001 35 элементов управления остались без изменений, 23 – были переименованы, 56 – объединены в 24 и только 1 (18.2.3. Анализ технического соответствия) был разделен на два: управление техническими уязвимостями; соответствие политикам и стандартам информационной безопасности (сокр. ИБ) организации, в которую добавлены еще 11 новых элементов контроля (оценка угроз, информ. безопасность для облачных сервисов, готовность информационно-коммуникационных технологий (англ. ICT - information and communications technology) к обеспечению непрерывности бизнеса, мониторинг физ. безопасности и др.).
Модернизированный ИСО 27002 сократился примерно на 20%, мероприятия по безопасности в нем объединены в 4 главы вместо прежних 14, а число средств управления уменьшилось до 93:
- Глава 5 – Организационные (37 ср-в упр-ия)
- Глава 6 – Кадровые (8)
- Глава 7 – Физические (14)
- Глава 8 – Технологические (34)
Благодаря объединению и добавлению новых компонентов контроля вводится концепция атрибутов (#), которая упрощает их группировку. ISO 27002:2022 включает 5 категорий атрибутов:
- Тип управления (превентивный, детективный, корректирующий)
- Свойства ИБ (конфиденциальность, целостность, доступность)
- Концепции кибербезопасности (выявлять, защищать, распознавать, реагировать, восстанавливать)
- Операционные возможности (регулирование активов, защита информации, безопасность человеческих ресурсов, физ. безопасность и др.)
- Сфера безопасности (регулирование и экосистема, противодействие, защита, устойчивость)
Ниже представлен пример разбора на атрибуты нового элемента контроля 8.11 – «Маскировка данных», предлагающий методы воздействия на риск, которые способны защитить актив и помочь организации соответствовать требованиям нормативных документов и заинтересованных сторон:
- Тип - #превентивный
- Свойства - #конфиденциальность
- Концепция - #защищать
- Возможности - #защита информации
- Область - #защита
Одним из преимуществ атрибутов является возможность быстрого согласования элемента с общепринятым отраслевым языком и стандартами
Каковы следующие шаги?
Если Ваша организация уже сертифицирована по версии ISO 27001:2013, то Вам пока предпринимать ничего не нужно, Ваш сертификат остается действительным до окончания переходного периода, который длится 3 года, в течении этого времени Вы должны пересмотреть внутренние политики, оценки, планы и внести все необходимые изменения в свою систему управления информационной безопасностью (сокр. СУИБ).
Компаниям, находящимся в процессе внедрения и на стадии сертификации ИСО 27001:2013, не стоит беспокоиться о том, что та работа, которую они уже проделали, была сделана зазря. В настоящее время Вы сможете получить сертификат согласно старым требованиям, так как сертифицирующим органам потребуется как минимум 6 месяцев для того, чтобы получить аккредитацию для проведения сертификации по новым. Тем не менее будьте готовы к тому, что первый инспекционный контроль, который осуществляется ежегодно, будет проходить уже в соответствии с новыми требованиями.
