Бизнес-процессы с добавленной стоимостью основаны на информации и данных. Без обмена информацией в нашей цифровой экономике ничего не работает. Наши основные услуги основаны на критических инфраструктурах, функциональность которых в значительной степени зависит от обмена информацией и данными. Информационная безопасность глубоко проникает в реальность нашей работы и жизни. Поэтому защита ежедневных операций, основанных на информации, критических данных и интеллектуальной собственности от киберугроз является императивом для предприятий всех размеров. В этот век индустриальных кибератак адаптация к постоянно меняющимся рискам информационной безопасности требует своевременного и гибкого подхода к повышению устойчивости предприятия.

И именно здесь вступает в игру новый стандарт ISO/IEC 27001:2022 с его фокусом на ориентации процессов в управлении информационной безопасностью. На протяжении более двух десятилетий стандарт ISO 27001 был устоявшейся, но устаревшей основой для систем управления информационной безопасностью. И, несмотря на свой возраст, по данным исследования ISO, стандарт смог вырасти, увеличив количество сертификатов на 32% за последний 2021 год. На фоне растущего спроса на современную структуру оценки информационной безопасности 25 октября 2022 года был опубликован новый стандарт ISO/IEC 27001:2022. Что нас ждет?

Обзор новых элементов ISO 27001:2022

ISO 27001 описывает структуру системы управления информационной безопасностью (сокращенно ISMS) — и для компаний независимо от организационной структуры, размера или ориентации. Основой здесь является управление рисками. Изменяющиеся киберугрозы постоянно используют новые потенциальные уязвимости в компаниях с целью атаковать и компрометировать информационные потоки и, таким образом, бизнес-процессы. Риски, возникающие из этого механизма в отношении трех основных целей защиты информационной безопасности — конфиденциальности, целостности и доступности — должны быть идентифицированы и управляемы.

Обновление ISO/IEC 27001:2022 рассматривает передовые практики управления этими рисками информационной безопасности. Список возможных средств управления информационной безопасностью в нормативном приложении A нового ISO/IEC 27001:2022 идентично получен из пересмотренного руководства ISO/IEC 27002:2022. Руководство по внедрению уже было принято в феврале этого года с более простой таксономией и современными средствами управления безопасностью. С публикацией нового стандарта ISO/IEC 27001:2022 успешный тандем стандартов ISO 27001/27002 с его ценными рекомендуемыми мерами снова стал соответствовать современному уровню техники.

Еще одним существенным изменением в новом стандарте ISO/IEC 27001:2022 является то, что с адаптацией к так называемой гармонизированной структуре давно назревшее требование к ориентации на процессы помещается в центр внимания эффективной СУИБ. Основой эффективных систем управления являются четкие процессы и их взаимодействие, а также целевые критерии для этих процессов для их контроля.

Далее мы более подробно рассмотрим три области изменений новой версии ISO 27001.

Высокоуровневая структура становится гармонизированной структурой

С мая 2021 года предыдущая высокоуровневая структура (HLS) заменяется гармонизированной структурой (HS). HS является базовой структурой и шаблоном для разработки новых и будущих редакций существующих стандартов систем менеджмента ISO. ISO/IEC 27001:2022 является одним из первых стандартов систем менеджмента, адаптированных к HS. Различные уточнения, дополнения, а также удаления в HS по сравнению с HLS довольно интересны для пользователей, которые знакомы со стандартом.

Однако для ISO/IEC 27001:2022 существенное отклонение от HS очевидно. В будущем пункт 6.3 потребует, чтобы изменения в СУИБ внедрялись в плановом порядке. Это требование знакомо по другим системам управления и выражает ожидание того, что процесс изменений, связанных с СУИБ, освоен. Например, переход от предыдущего ISO/IEC 27001:2013 к новому ISO/IEC 27001:2022 можно понимать как изменение в СУИБ, которое должно внедряться в плановом порядке со всеми его последствиями и взаимодействиями.

ISO/IEC 27001:2022-10 – Информационная безопасность, кибербезопасность и защита конфиденциальности – Системы управления информационной безопасностью – ТребованияСтандарт доступен на английском языке на домашней странице ISO.

Нормативные изменения в ISO/IEC 27001:2022

Очень существенное изменение добавляется к контексту организации в пункте 4.4 с требованием идентифицировать необходимые процессы и их взаимодействия в рамках СУИБ, которые требуются для ее внедрения и обслуживания. Это явное требование приводит ISO/IEC 27001:2022 в соответствие с подходом передовой практики других систем управления в соответствии с HS (HLS). Система управления информационной безопасностью должна быть основана на установленных, прослеживаемых процессах и их взаимодействиях. Затем средства управления информационной безопасностью Приложения A разрабатываются и адаптируются вокруг этих процессов.

Следующее соответствующее изменение в пункте 8.1 также подчеркивает важность ориентации на процесс, которая является общей для всех систем управления на основе HS. Организации должны реализовывать процессы как часть своего оперативного планирования и контроля для внедрения мер по управлению рисками информационной безопасности. Новым является то, что теперь должны быть определены критерии процесса. Управление процессом должно осуществляться в соответствии с этими критериями.

Кроме того, в следующих пунктах были сделаны довольно незначительные разъяснения и уточнения:

• Пункт 5.3 дополнен явным требованием, чтобы обязанности и полномочия для ролей, связанных с информационной безопасностью, были известны внутри организации.
• Пункт 7.4 регулирует необходимость внутренней и внешней коммуникации относительно СМИБ. В дополнение к все еще применимым положениям о том, что, когда и с кем, способ коммуникации является приемлемым упрощением предыдущих требований.
• Пункт 9.2 Внутренний аудит и 9.3 Анализ руководством были адаптированы к Гармонизированной структуре. Пункт 9.2 теперь подразделяется на 9.2.1 и 9.2.2, пункт 9.3 разделен на три подраздела 9.3.1, 9.3.2 и 9.3.3.

 

Порядок, в котором структурированы пункт 10.1 и пункт 10.2, был адаптирован к Гармонизированной структуре. Аспект перспективного непрерывного улучшения теперь предшествует ретроспективной обработке несоответствий и корректирующим действиям в пункте 10.2 в пункте 10.1 без каких-либо дальнейших изменений в содержании. Эта корректировка подчеркивает важность процесса непрерывного улучшения (CIP).

Ключевыми и недвусмысленными требованиями в ISO/IEC 27001, которые ссылаются на набор элементов управления в Приложении A, являются, согласно пункту 6.1.3 c), процесс сравнения между элементами управления информационной безопасности, специфичными для организации, и элементами управления в Приложении A и, согласно пункту 6.1.3 d), подготовка Заявления о применимости (SoA). Эти основные требования остаются неизменными!

Пояснения в информационных (ненормативных) примечаниях к пункту 6.1.3 c) со ссылкой на Приложение A как на список возможных элементов управления информационной безопасностью указывают на возможность выбора дополнительных мер из дополнительных источников, дополняющих Приложение A.

Новое Приложение A к ISO/IEC 27001:2022

Список возможных средств управления информационной безопасностью (ИБ) в нормативном Приложении A к ISO/IEC 27001:2022 получен идентично из ISO/IEC 27002:2022. Каталог общих средств управления безопасностью был опубликован в феврале 2022 года. Таким образом, изменения в Приложении A к ISO/IEC 27001:2022 были предсказуемы в течение некоторого времени. Ранее Приложение A включало в общей сложности 114 средств управления, которые могли использоваться для устранения рисков информационной безопасности в рамках 35 целей управления, организованных в 14 пунктов.

Помимо того, что новый ISO/IEC 27001:2022 исключает цели управления, средства управления информационной безопасностью в Приложении A были пересмотрены, обновлены, дополнены и реорганизованы некоторыми новыми средствами управления.

Бывшие 14 пунктов Приложения A теперь сосредоточены на 4 следующих темах:

• A.5 Организационный контроль (с 37 контролями).
• A.6 Элементы управления персоналом (с 8 элементами управления)
• A.7 Физические элементы управления (с 14 элементами управления)
• A.8 Технические элементы управления (с 34 элементами управления)

Приложение A новой версии ISO/IEC 27001:2022 теперь включает в себя в общей сложности 93 элемента управления, из которых следующие 11 элементов управления являются новыми:

• A.5.7 Анализ угроз
• A.5.23 Информационная безопасность для использования облачных сервисов
• A.5.30 Готовность ИКТ к непрерывности бизнеса
• A.7.4 Мониторинг физической безопасности
• A.8.9 Управление конфигурацией
• A.8.10 Удаление информации
• A.8.11 Маскирование данных
• A.8.12 Предотвращение утечки данных
• A.8.16 Мониторинг активности
• A.8.23 Веб-фильтрация
• A.8.28 Безопасное написание программного кода

 

В то время как Приложение A ISO/IEC 27001:2022 ограничивается наименованием элементы управления, руководство по внедрению ISO/IEC 27002:2022 предоставляет дополнительные возможности для их категоризации. Там каждому элементу управления назначается пять атрибутов, которые позволяют использовать различные представления и перспективы для них. Атрибуты или их значения атрибутов могут использоваться для фильтрации, сортировки или отображения для различных организационных представлений.

Пять атрибутов:

Тип элемента управления — атрибут для представления элементов управления с точки зрения того, когда и как мера изменяет риск, связанный с возникновением инцидента информационной безопасности.

Свойства информационной безопасности — атрибут для просмотра элементов управления с точки зрения того, какую цель защиты должна поддерживать мера.

Концепции кибербезопасности рассматривают элементы управления с точки зрения того, как они сопоставляются с фреймворком кибербезопасности, описанным в ISO/IEC TS 27110.

Операционные возможности рассматривают элементы управления с точки зрения их операционных возможностей информационной безопасности и поддерживают практическое представление мер пользователем.

Домены безопасности — атрибут, который позволяет рассматривать элементы управления с точки зрения четырех доменов информационной безопасности.

Что означает обновление для вашей сертификации?

ISO/IEC 27001:2022 был опубликован 25 октября 2022 года. Это приводит к следующим срокам и временным рамкам для перехода пользователей:

Последняя дата для первоначальных/повторных сертификационных аудитов в соответствии со «старым» ISO 27001:2013

После 30 апреля 2024 года DQS будет проводить первоначальные и повторные сертификационные аудиты только в соответствии с новым стандартом ISO/IEC 27001:2022

Переход всех существующих сертификатов в соответствии со «старым» ISO/IEC 27001:2013 на новый ISO/IEC 27001:2022

С 31 октября 2022 года начинается 3-летний переходный период

Сертификаты, выданные в соответствии с ISO/IEC 27001:2013 или DIN EN ISO/IEC 27001:2017, действительны до октября 31, 2025 не позднее, или должны быть отозваны в эту дату.

Новый ISO/IEC 27001:2022 – Заключение

Новый ISO/IEC 27001:2022 опубликован Это знаменует начало 3-летнего переходного периода.

Подводя итог, можно сказать, что основными нововведениями являются следующие:

• Соответствие системы управления Гармонизированной структуре.
• Акцент на ориентации процесса, его взаимодействии и критериях.
• Упрощенная и оптимизированная категоризация элементов управления по тематическим блокам.
• Современные меры, соответствующие текущим организационным методам и связанным с ними угрозам.
• Атрибуты для согласования элементов управления с различными методологиями управления рисками, включая глобальные структуры кибербезопасности.