ISO 27001 – ведущий мировой стандарт информационной безопасности, который включает в себя требования для создания системы менеджмента информационной безопасности (СМИБ). В конце 2022 года Международная организация по стандартизации опубликовала новую версию стандарта ISO/IEC 27001:2022. Основная часть изменений заключается в том, что пункты приложения А были сгруппированы иначе, либо переименованы. Также добавились и новые элементы.
Основные изменения в ISO/IEC 27001:2022:
- Умеренно изменились меры безопасности Приложения А;
- Количество органов управления уменьшилось со 114 до 93;
- Элементы управления размещены в 4 секциях вместо прежних 14;
- Добавлено 11 новых элементов управления, но ни один элемент не был удален, многие объединены;
Основные изменения в ISO/IEC 27001:2022:
Изменения в пунктах 4-10
Основные изменения затрагивают планирование и определения критериев процесса, а также мониторинга.
Пункт 4.2. Понимание потребностей и ожиданий заинтересованных сторон: Появился новый подпункт, требующий анализа требований заинтересованных сторон, которые будут удовлетворяться посредством СМИБ.
Пункт 4.4. Система управления информационной безопасностью: Добавлена новая формулировка, требующая, чтобы СМИБ включала в себя процессы, лежащие в основе СМИБ. То есть не только те, что указаны в стандарте.
Пункт 6.2. Цели информационной безопасности и планирование их достижения: Включает дополнительные рекомендации по целям информационной безопасности. Это дает больше ясности в отношении того, как цели должны контролироваться и документироваться.
Пункт 6.3. Планирование изменений: Этот пункт добавлен для того, чтобы установить стандарт планирования изменений. То есть если в СМИБ потребуются изменения, они должны быть правильно спланированы.
Пункт 8.1. Оперативное планирование и контроль: Появилось дополнительное руководство по оперативному планированию и контролю.
Дополнительные незначительные изменения в этих пунктах включают в себя:
Пункт 5.3. Организационные роли, обязанности и полномочия: Информация о ролях, имеющих отношение к информационной безопасности, должна сообщаться внутри организации.
Пункт 7.4. Коммуникация: Подпункты D и E были упрощены и объединены.
Пункт 9.2. Внутренний аудит: Он объединил то, что уже существовало между пунктами 9.2.1 и 9.2.2, в один раздел.
Пункт 9.3. Анализ со стороны руководства: Добавлен новый пункт, поясняющий, что анализ со стороны руководства организации должен включать рассмотрение любых изменений в потребностях и ожиданиях заинтересованных сторон.
Пункт 10 Улучшение. Здесь произошли только структурные изменения: постоянное улучшение (10.1) перечисляют первым, а несоответствие и корректирующие действия (10.2) – вторым.
Изменения в структуре управления Приложения А
В ISO 27001:2022 помимо прочего внесены структурные изменения в элементы управления Приложения А..
- 11 новых элементов управления
- 57 элементов управления объединены
- 23 элемента управления переименованы
- 3 элемента управления удалены
В новом обновлении элементы управления размещены в четырех темах:
- Управление людьми (8 элементов)
- Организационные средства контроля (37 элементов)
- Технологический контроль (34 элемента)
- Физические элементы управления (14 элементов)
Новые средства контроля в Приложении A
A.5.7 Аналитика угроз. Этот элемент управления требует от организаций сбора и анализа информации об угрозах, чтобы они могли принять меры для снижения риска.
A.5.23 Информационная безопасность для использования облачных служб. Элемент подчеркивает необходимость повышения информационной безопасности в облаке и требует установления стандартов безопасности для облачных служб и наличия процессов и процедур специально для облачных служб.
A.5.30 Готовность ИКТ к непрерывности бизнеса. Этот элемент требует обеспечения возможности восстановления/использования информационных и коммуникационных технологий в случае сбоев.
A.7.4 Мониторинг физической безопасности. Здесь говорится о том, что организации должны контролировать чувствительные физические области (центры обработки данных, производственные объекты и т. д.), чтобы обеспечить доступ к ним только авторизованных людей, чтобы организация была осведомлена в случае нарушения.
A.8.9 Управление конфигурацией. Этот элемент о том, чтобы организация управляла конфигурацией своей технологии, чтобы обеспечить ее безопасность и избежать несанкционированных изменений.
A.8.10 Удаление информации. Здесь требуется удаления данных, когда они больше не требуются, чтобы избежать утечки конфиденциальной информации и соблюдать требования конфиденциальности.
A.8.11 Маскирование данных. Этот элемент управления требует, чтобы организации использовали маскирование данных в соответствии с политикой управления доступом организации для защиты конфиденциальной информации.
A.8.12 Предотвращение утечки данных. Элемент требует от организаций реализации мер по предотвращению утечки данных и раскрытия конфиденциальной информации из систем, сетей и других устройств.
A.8.16 Мониторинг действий. Здесь говорится о мониторинге систем на предмет необычных действий и внедрения соответствующих процедур реагирования на инциденты.
A.8.23 Веб-фильтрация. Этот элемент управления требует, чтобы организации управляли доступом пользователей к веб-сайтам для защиты IT-систем.
A.8.28 Безопасное кодирование. Этот элемент о том, что принципы безопасного кодирования должны быть установлены в рамках процесса разработки программного обеспечения организации, чтобы уменьшить уязвимости безопасности.
Что делать с ISO/IEC 27001:2013?
Подводя итоги, можно сказать, что изменения в основной части стандарта небольшие и могут быть воспроизведены достаточно быстро. Изменения в Приложении А – умеренные, и их, в целом, можно устранить, добавив новые средства управления в уже существующую документацию.
Сертификация по ISO 27001:2013 всё ещё разрешена до 30 апреля 2024 года. Однако, любая компания, сертифицированная в настоящее время по стандарту, должна будет перейти на новую версию до 31 октября 2025 года.