Информация — это ценный актив, который необходимо защищать от нежелательного доступа, кражи и манипуляций с помощью подходящих механизмов и структур. Международный стандарт ISO/IEC 27001 поддерживает организации во внедрении надежных систем менеджмента информационной безопасностью (СМИБ). С этой целью в Приложении A стандарта определяется современный, всеобъемлющий и гибкий каталог проверенных мер информационной безопасности («элементов управления»). В рамках третьей редакции стандарта в 2022 году он был существенно пересмотрен и расширен за счет добавления 11 новых элементов управления.

В этой статье вы узнаете об этих 11 новых и 24 объединенных элементах управления и связанных с ними требованиях.

ИСО/МЭК 27001:2022

Элементы управления в новом Приложении А

В современном сетевом деловом мире бизнес-процессы зависят от генерации и обмена информацией и данными, которые классифицируются, хранятся и передаются в рамках договорных и правовых норм. Эта ценная информация представляет собой предопределенную цель для финансово мотивированных или государственных кибератак. Внедряя современную систему управления информационной безопасностью (ISMS) на основе международно-признанного стандарта ISO/IEC 27001, компании устанавливают курс на реализацию трех ключевых целей защиты информационной безопасности: конфиденциальность, целостность и доступность.

В связи с растущей цифровизацией и динамичным ландшафтом угроз стандарт ISO 27001 был существенно пересмотрен и переиздан 25 октября 2022 года. Помимо изменения структуры высокого уровня на гармонизированную структуру, особый интерес для организаций представляет пересмотренное нормативное приложение A. Ранее приложение A содержало в общей сложности 114 элементов управления в 14 разделах, которые можно было использовать для устранения рисков информационной безопасности. Приложение A новой версии ISO/IEC 27001:2022 было расширено на 11 элементов управления и теперь включает 93 элемента управления в следующих четырех категориях безопасности:

• 37 организационных элементов управления в A.5
• 8 элементов управления, связанных с людьми в A.6
• 14 физических элементов управления в A.7
• • Выявлять и контролировать конфиденциальную информацию, подверженную риску несанкционированного раскрытия (например, в неструктурированных данных в системе пользователя)
  • Обнаружение раскрытия конфиденциальных данных (например, когда данные загружаются в ненадежные сторонние облачные сервисы или отправляются по электронной почте)
  • Блокировать действия пользователя или сетевые передачи, которые могут раскрыть важную информацию (например, предотвратить копирование записей базы данных в электронную таблицу)
    • Стратегический анализ угроз дает представление об изменяющемся ландшафте угроз (типы атак, субъекты и т. д.). Квалифицированная информация о возможных угрозах доступна в национальных и международных правительственных агентствах, таких как BSI, ENISA или NIST, или в некоммерческих организациях и на соответствующих форумах.
    • Тактическая оценка данных об угрозах предоставляет информацию о методах, инструментах и ​​технологиях злоумышленников.
    • Оперативный анализ конкретных угроз предоставляет подробную информацию о конкретных атаках, включая технические индикаторы.34 технологических элемента управления в A.8
      

      Информационная безопасность при использовании облачных сервисов (элемент управления 5.23)

      Облачные структуры и облачные сервисы все больше формируют ландшафты ИКТ компаний, организаций и государственных учреждений. Однако риски безопасности, связанные с растущим использованием облаков, сложны — от организованной преступности и неадекватного управления идентификацией и доступом до неправильных конфигураций или неправомерных действий сотрудников, что подтверждается ежегодным отчетом Cloud Security Alliance (CSA) за 2022 год. Отсутствие безопасности также может повлиять на доступность услуг и поставить под угрозу соблюдение правил защиты данных.

      Цель этого элемента управления

      Организационный контроль 5.23 предназначен для определения и управления информационной безопасностью путем систематического внедрения процессов приобретения, использования, управления и вывода из эксплуатации облачных сервисов. Контроль также затрагивает обязанности между поставщиком облачных сервисов и организацией, использующей облако. Большое количество облачных сервисов рассматривается с использованием тематически-специфического подхода, чтобы гарантировать, что политики облачных сервисов соответствуют индивидуальным бизнес-функциям.

      Организационные обязательства

      Организации должны определить все соответствующие требования, критерии выбора и область применения, связанные с использованием облачного сервиса. Роли и обязанности для внутреннего использования и управления должны быть скоординированы, как и управление мерами безопасности с поставщиком облачного сервиса.

      Предоставление, использование и обзор мер безопасности, предоставляемых поставщиком, должны быть подробно разъяснены. В частности, при использовании нескольких облачных сервисов от разных поставщиков необходимо определить обработку элементов управления, интерфейсов и изменений в сервисах.

      Соответствующие процедуры реагирования, такие как управление инцидентами, должны быть реализованы для потенциального возникновения инцидентов безопасности с облачными сервисами. Чтобы предотвратить эти инциденты, использование облака должно постоянно контролироваться, проверяться и оцениваться. Кроме того, должны быть определены процессы для изменения или прекращения использования сервиса, включая явные стратегии выхода для облачных сервисов.

      Соглашения об обслуживании с поставщиками

      Поскольку соглашения об облачных услугах часто предопределены и не подлежат обсуждению, организациям следует внимательно их изучить. Они также должны учитывать эксплуатационные требования к конфиденциальности, целостности, доступности и обработке информации.

      В договоре необходимо отразить следующие вопросы :

      Решения облачных сервисов должны основываться на признанных архитектурах, иметь безопасный контроль доступа и обеспечивать мониторинг и защиту от вредоносных программ. Обработка и хранение конфиденциальной информации организации должны быть разрешены только в одобренных местах или в пределах определенной юрисдикции.

      Поставщик услуг должен предоставлять поддержку для инцидентов безопасности в среде облачных сервисов и для судебного сбора цифровых доказательств. Если задействованы внешние поставщики услуг, они также должны соответствовать всем требованиям безопасности.

      Если организация хочет отказаться от облачного сервиса, поставщик должен оставаться доступным для запросов на поддержку и обслуживание в течение разумного периода времени. Это включает предоставление резервных копий данных и информации о конфигурации и безопасное управление ими, если это необходимо. Информация, такая как файлы конфигурации, исходный код и данные, принадлежащие организации, должны быть предоставлены по запросу или возвращены после прекращения обслуживания.

      Клиенты, использующие облачные сервисы, должны проверить, обязан ли поставщик облачных сервисов предоставлять информацию — например, в случае соответствующих изменений в технической инфраструктуре, субподрядчиках, географической или правовой юрисдикции.

      11 новых элементов управления в Приложении A
      A.5.23	Информационная безопасность для использования облачных сервисов
      A.5.30	Готовность ИКТ к обеспечению непрерывности бизнеса
      A.5.7	Аналитика угроз
      A.7.4	Мониторинг физической безопасности
      A.8.9	Управление конфигурацией
      A.8.10	Удаление информации
      A.8.11	Маскирование данных
      A.8.12	Предотвращение утечки данных
      A.8.16	Действия по мониторингу
      A.8.23	Веб-фильтрация
      A.8.28	Безопасное кодирование

      Готовность ИКТ к обеспечению непрерывности бизнеса (элемент управления 5.30)

      Современные информационно-коммуникационные технологии (ИКТ) обеспечивают быстрые и эффективные рабочие процессы и стали бесценными инструментами для поддержания бизнес-процессов во всех отраслях. Сбои и перебои, например, вызванные программами-вымогателями, часто приводят к серьезным финансовым потерям. Это означает, что безопасность и доступность ИКТ являются первоочередными задачами и должны систематически контролироваться и защищаться от перебоев с использованием соответствующих мер и процессов для обеспечения бесперебойной обработки и минимизации потенциального ущерба.

      Цель элемента управления

      Организационная мера 5.30 требует от компаний обеспечить доступность ИКТ даже в случае сбоя. Цель состоит в том, чтобы обеспечить целостность и доступность информации и бизнес-процессов до, во время и после сбоя в работе. Это включает в себя комплексное управление непрерывностью бизнеса (BCM) с тщательным анализом воздействия на бизнес (BIA) для определения ключевых процессов и функций в организации, а также их взаимозависимости и критичности бизнес-процессов.

      Для этого процесс BIA должен определить типы и критерии воздействия, из которых выводятся приоритетные операционные действия. Этим приоритетным действиям назначается обязательная цель времени восстановления (RTO) и необходимые ресурсы. Кроме того, цели точек восстановления (RPO) и их интервалы должны быть определены для приоритетных ИКТ-ресурсов. Организации могут использовать результат BIA для более точной расстановки приоритетов в своих стратегиях реагирования на сбои и управления рисками, таких как планы обеспечения непрерывности бизнеса (BCP).

      Что организациям нужно сделать сейчас?

      Во-первых, компании должны убедиться, что их организационная структура адекватно подготовлена ​​к потенциальному инциденту, например, с точки зрения квалифицированного персонала, сдерживания и мер реагирования. Кроме того, обязательные планы обеспечения непрерывности ИКТ, включая процедуры реагирования и восстановления, должны быть составлены в консультации с высшим руководством и подробно описывать, как организация будет справляться с нарушением услуг ИКТ. Эти планы должны регулярно оцениваться с помощью учений и тестов.

      Планы обеспечения непрерывности должны определять, как будут реализованы требования и цели, определенные в BIA, для поддержания непрерывности бизнеса. В частности, должны быть указаны RTO каждой из приоритетных ИКТ-услуг и RPO приоритетных ИКТ-ресурсов, а также процедура их восстановления.

       Обнаружение и профилактика (элементы управления 5.7, 8.16, 8.23)

      Сегодняшние динамические ландшафты киберугроз быстро меняются, и все более сложные методы атак наносят огромный экономический и репутационный ущерб. Учитывая высокую ценность информации и данных, организации должны больше, чем когда-либо, сосредоточиться на информационной безопасности и инвестировать в систематическую защиту своих цифровых активов. Раннее обнаружение потенциальных и реальных векторов атак играет жизненно важную роль в ограничении их бокового вектора в корпоративных сетях и минимизации количества систем, которые могут быть скомпрометированы. Согласно отчету IBM Cost of a Data Breach Report 2023 , в 2023 году на обнаружение атаки в среднем уходило 204 дня, а на ее сдерживание — еще 73 дня.

      Цель элемента управления

      Организационный контроль 5.7 «Разведка угроз», а также два технологических контроля 8.16 «Мониторинг активности» и 8.23 ​​«Веб-фильтрация» помогают организациям предотвращать и обнаруживать кибератаки на ранних стадиях. Постоянно обновляя и анализируя доступную информацию об угрозах, всесторонне контролируя действия в собственных ИТ-инфраструктурах и защищая собственные системы от сомнительных веб-сайтов, компании могут устойчиво укреплять свою защиту от вторжения опасных вредоносных программ и позволять группам безопасности оперативно инициировать соответствующие меры реагирования.

      Разведка угроз (5.7)

      Эта организационная мера направлена на то, чтобы организации знали об их ситуации угроз и активно минимизировали риски. Информация об угрозах должна систематически собираться и анализироваться структурированным образом в соответствии с тремя аспектами: стратегическим, тактическим и оперативным.

    Организации могут интегрировать данные об угрозах в свой процесс управления рисками, использовать их для тестирования своих средств киберзащиты (межсетевой экран, защита от вредоносного ПО и т. д.) и обновлять их в соответствии с постоянно меняющимися требованиями.

    Качество данных организационного контроля 5.7 напрямую влияет на два новых технических элемента контроля: мониторинг активности (8.16) и веб-фильтрацию (8.23).

    Мониторинговые мероприятия (8.16)

    Мониторинговые мероприятия направлены на постоянное обнаружение аномального поведения как метода предотвращения угроз: сети, системы и приложения обычно ведут себя в соответствии с ожидаемыми шаблонами. Организация должна определить это нормальное поведение, чтобы идентифицировать отклонения от него как аномалии. Аномальное поведение может включать перегрузку, несанкционированный доступ или попытки доступа к системам и информации или незапланированное завершение процессов или приложений.

     

    Для надежного выявления аномального поведения необходимо отслеживать все соответствующие действия, а любые аномалии следует сравнивать с существующими данными об угрозах из элемента управления 5.7. Основные требования к эффективным действиям по мониторингу включают в себя чистую и прозрачную инфраструктуру ИТ/ОТ и правильно функционирующие сети ИТ/ОТ.

     

    В систему мониторинга должны быть включены следующие аспекты:

    • Входящий и исходящий сетевой, системный и прикладной трафик
    • Доступ к системам, серверам, сетевым устройствам, системам мониторинга, критически важным приложениям и т. д.
    • Файлы конфигурации системы и сети на административном или критическом для бизнеса уровне
    • Журналы инструментов безопасности, включая антивирусы, системы обнаружения вторжений (IDS), системы предотвращения вторжений (IPS), веб-фильтры, брандмауэры, системы предотвращения утечки данных и т. д.
    • Журналы событий системной и сетевой активности
    • Проверка целостности и авторизации исполняемого кода в системе
    • Использование ресурсов, таких как производительность процессора, емкость диска, использование памяти, пропускная способность

     

    Веб-фильтрация (8.23)

    Эта мера защищает системы организации от проникновения вредоносного ПО через Интернет и предотвращает доступ к несанкционированным веб-ресурсам. Организации должны установить правила для безопасного и надлежащего использования онлайн-ресурсов, включая обязательные ограничения доступа к нежелательным или ненадлежащим веб-сайтам и веб-приложениям.

     

    В частности, организации должны блокировать доступ к известным серверам управления и контроля и веб-сайтам, которые считаются вредоносными (или были идентифицированы как таковые в соответствии с контролем 5.7), предоставляют незаконный контент или имеют функцию загрузки информации. Исключением из последнего могут быть законные деловые причины.

     

    Управление конфигурацией (элемент управления 8.9)

     

    Ключ к высокопроизводительной и безопасной работе современных ИТ-ландшафтов заключается в безошибочной настройке всех задействованных систем, компонентов и приложений. С другой стороны, неправильные настройки и конфигурации безопасности представляют неисчислимые риски для информационной безопасности: в исследовании, проведенном Arctic Wolf в 2022 году, 81% менеджеров по безопасности заявили, что уязвимости и неизвестные неправильные конфигурации вызывают самые серьезные проблемы безопасности в их инфраструктурах.

     

    Цель элемента управления

    Поэтому технологический элемент управления 8.9 предусматривает, что (безопасность) конфигураций оборудования и программного обеспечения (безопасность), сервисов и сетей должна быть систематически определена и постоянно документирована, внедрена, отслеживается и проверяется. Это гарантирует, что все ИТ-компоненты функционируют правильно со всеми необходимыми настройками безопасности, и предотвращает изменение критических настроек посредством несанкционированных или неправильных корректировок.

     

    Что организациям нужно сделать сейчас?

    Организации должны обеспечить соблюдение определенных конфигураций как для новых, так и для существующих систем на протяжении всего жизненного цикла с использованием подходящих процедур. Для обеспечения надежного управления изменениями необходимо внедрить соответствующие роли, обязанности и методы обработки.

     

    Определение стандартных шаблонов помогает организациям систематизировать управление конфигурацией. Они учитывают общедоступные руководства по передовой практике, требуемые уровни защиты, внутренние требования безопасности и пригодность конфигураций для организации. Затем стандартные шаблоны должны регулярно пересматриваться и обновляться. Это должно включать деактивацию ненужных или небезопасных идентификаторов и минимизацию идентификаторов с обширными правами доступа.

     

    Все конфигурации и их изменения должны быть задокументированы и сохранены в базах данных конфигураций или шаблонах. Для лучшей прослеживаемости записи конфигурации должны содержать актуальную информацию о владельце, последнем изменении, версии шаблона и взаимосвязи с конфигурациями других активов.

     

    Инструменты управления системой, такие как программы обслуживания, удаленная поддержка, инструменты управления предприятием и программное обеспечение для резервного копирования и восстановления, помогают менеджерам проверять параметры конфигурации, оценивать надежность паролей и оценивать выполненные действия. Когда фактические данные отклоняются от целевых шаблонов, ответом должно быть автоматическое применение определенной целевой конфигурации или ручной анализ и последующее исправление. Автоматизированное решение, такое как Infrastructure as Code, часто более эффективно.

     

    Защита информации (элементы управления 8.10 – 8.12)

    Конфиденциальная корпоративная информация является желанной целью для финансово мотивированных киберпреступников, а также для спонсируемых государством экономических шпионов. Согласно немецкому исследованию « Wirtschaftsschutz 2023 », проведенному отраслевой ассоциацией Bitkom, 41% опрошенных компаний уже пострадали от кражи цифровых данных. Еще 29% серьезно подозревают это. Ущерб, причиненный вымогательством, нарушением патентных прав и потерей продаж, напрямую связанным с кражей данных, составляет сотни миллиардов долларов в год.

     

    Цель элемента управления

    Три новых технологических элемента управления 8.10–8.12 играют ключевую роль в повышении защиты конфиденциальных данных. Постоянно отслеживая потоки данных и информации, маскируя конфиденциальную информацию и применяя строгие политики удаления данных, организации могут значительно улучшить свою защиту от утечки и потери данных и предотвратить случайный выпуск критически важной информации. Кроме того, эти методы помогают усилить корпоративную кибербезопасность и минимизировать подверженность атакам хакеров и промышленных шпионов.

     

    Удаление информации (8.10)

    Удаление данных, которые больше не требуются, предотвращает нежелательное раскрытие. Должны использоваться соответствующие процедуры удаления, такие как электронная перезапись или криптографическое удаление. Если поставщики услуг используются для удаления информации, процесс должен быть задокументирован или проверяем. Если для хранения данных от имени компании используются третьи лица, удаление данных (в том числе на период после прекращения предоставления услуг) должно быть предусмотрено контрактом.

     

    Для обеспечения надежного удаления конфиденциальной информации стандарт предусматривает следующие процедуры, услуги и технологии:

    • Создание специализированных систем для безопасного уничтожения информации
    • Удаление устаревших версий, копий и временных файлов, независимо от места их хранения
    • Исключительное использование одобренного и безопасного программного обеспечения для удаления
    • Удаление одобренными и сертифицированными поставщиками услуг по утилизации
    • Использование механизмов утилизации, соответствующих носителям информации

     

    При использовании облачных сервисов также важно проверить законность предлагаемых процедур удаления или напрямую обратиться к поставщику облачных услуг с просьбой удалить информацию.

     

    Чтобы избежать раскрытия информации при возврате или утилизации устройств, необходимо извлечь всю память, использовать внутренние функции, такие как сброс к заводским настройкам, или уничтожить само устройство.

    Процедуры удаления должны быть задокументированы для обеспечения возможности отслеживания в зависимости от их конфиденциальности.

    Маскировка данных (8.11)

    Для защиты конфиденциальной информации, такой как персональные данные, следует использовать маскировку данных, анонимизацию или несколько более слабую псевдонимизацию. Эти методы позволяют скрывать персональные данные, маскировать истинные данные и скрывать ссылки на другую информацию. В ходе внедрения, в дополнение к любым юридическим или нормативным требованиям, важно гарантировать, что пользователи могут видеть только те данные, которые им действительно нужны. При необходимости оставшиеся данные в наборе данных следует маскировать, а в некоторых случаях маскировку следует сделать неузнаваемой.

    При маскировке, псевдонимизации или анонимизации данных необходимо учитывать ряд факторов: от степени маскировки, предоставленного доступа к данным и соглашений об использовании данных до запрета сопоставления данных для идентификации и отслеживания предоставления и получения данных.

     

    Предотвращение утечки данных (8.12)

    Элемент управления 8.12 предназначен для предотвращения и обнаружения утечек данных и формулирует меры, которые следует применять ко всем системам, сетям и другим устройствам, которые обрабатывают, хранят или передают конфиденциальную информацию.

     

    Чтобы свести к минимуму потерю конфиденциальных данных, организациям следует идентифицировать и классифицировать конфиденциальную информацию, контролировать внешние каналы передачи данных и принимать соответствующие меры против непреднамеренной утечки данных.

     

    Для предотвращения утечки данных организациям также необходимы подходящие инструменты для:

  Компании должны пересмотреть и, при необходимости, ограничить возможности и разрешения пользователей копировать, вставлять или загружать данные извне. Для особо конфиденциальной информации также следует принять меры, чтобы запутать злоумышленников, например, подставляя ложную информацию или используя ловушки для привлечения злоумышленников.

   

  При использовании средств наблюдения важно сбалансировать уровень наблюдения с широким спектром законов о конфиденциальности, защите данных, занятости, наблюдении за данными и телекоммуникациях.

  Безопасное кодирование (элемент управления 8.28)

  Без программного обеспечения обработка данных и информации была бы невозможна. Однако из-за ограничений по времени или отсутствия осведомленности о безопасности часто игнорируются существенные аспекты информационной безопасности. Об этом свидетельствуют многочисленные уязвимости безопасности, которые некоммерческая корпорация MITRE ежегодно публикует в своем списке CVE (Common Vulnerabilities and Exposures). Некоторые проблемы безопасности, которые может вызвать плохо написанный код, включают плохой контроль доступа, SQL-инъекции, плохое управление сеансами и аутентификацию, а также межсайтовый скриптинг.

   

  Цель контроля

  Технологический контроль 8.28 для безопасного кодирования предназначен для проактивной защиты программного обеспечения во время разработки: Надежный минимальный уровень безопасности устанавливается во время программирования на основе процедурных правил для минимизации количества потенциальных уязвимостей безопасности в программном обеспечении. Правила для безопасной генерации кода должны применяться целостно как к внутреннему коду, так и к стороннему и открытому программному обеспечению.

  Мера затрагивает несколько принципов безопасного кодирования, которые должны применяться к любой новой разработке или повторному использованию кода. В качестве руководящих принципов могут служить «Практики безопасного кодирования» OWASP Foundation, «Стандарты кодирования SEI CERT» или « Каталог мер по безопасности веб-приложений » немецкого BSI.

  Что организациям нужно сделать сейчас?

  Специфические для организации ожидания и принятые принципы безопасного кодирования должны быть установлены во время планирования и предварительного кодирования. Кроме того, общие и исторические практики кодирования и ошибки должны быть известны и должны быть исключены с самого начала. Конфигурация инструментов разработки должна обеспечивать создание безопасного кода в интегрированных средах разработки (IDE) на основе правил. Квалификация разработчика имеет решающее значение для внедрения стандартов и архитектур безопасного программирования, включая моделирование угроз.

  Практики кодирования и безопасные методы программирования, такие как парное программирование, рефакторинг или экспертная оценка, играют важную роль в текущем процессе разработки. Небезопасные методы проектирования, такие как жестко закодированные пароли, должны последовательно предотвращаться.

  Код должен быть документирован и постоянно проверяться, например, с помощью статических тестов безопасности приложений (SAST). Кроме того, элемент управления 8.28 требует оценки поверхности атаки и реализации принципа наименьших привилегий, а также анализа наиболее распространенных ошибок программирования и документирования их устранения при вводе программного обеспечения в эксплуатацию. После развертывания программного обеспечения необходимы безопасные обновления и проверки кода на известные уязвимости. Ошибки и предполагаемые атаки должны быть документированы для улучшения реагирования, чтобы можно было быстро внести необходимые корректировки. Несанкционированный доступ к исходному коду должен быть надежно предотвращен с помощью соответствующих инструментов управления конфигурацией.

  Компоненты кода из внешних источников, таких как с открытым исходным кодом, должны быть тщательно оценены на предмет удобства использования перед использованием, а также должны управляться, обновляться и содержаться в инвентарных списках, таких как спецификация программного обеспечения (SBOM).

  Мониторинг физической безопасности (элемент управления 7.4)

  Даже в цифровую эпоху организации на своих объектах по-прежнему подвергаются риску физических атак и краж со стороны злоумышленников, мотивированных преступными или государственными интересами. Согласно немецкому исследованию «Wirtschaftsschutz 2023», проведенному отраслевой ассоциацией Bitkom, саботаж, прослушивание телефонных разговоров на местах и ​​кража конфиденциальных физических документов или устройств по-прежнему широко распространены. Кража ИТ-оборудования и телекоммуникационного оборудования возглавляет список: 35% организаций сталкивались с этим, а еще 32% ожидают, что это произойдет.

  Цель элемента управления

  Физический контроль 7.4 призван помочь защитить все помещения компании — от заводского цеха до офисного здания и территории компании. Он обеспечивает безопасность оборудования, торговых секретов и сотрудников от физических вторжений. Для достижения этого необходимо принять меры по обнаружению или предотвращению несанкционированного физического доступа.

  Что организациям необходимо сделать сейчас?

  Системы наблюдения, такие как системы обнаружения вторжений, видеонаблюдение или традиционные охранники, обеспечивают непрерывный мониторинг физических помещений. Поставщик услуг может осуществлять внутренний или внешний мониторинг.

  Особенно важно бесперебойно контролировать помещения с критическими системами. Обычно для этого требуются системы видеонаблюдения, которые отслеживают и регистрируют доступ как внутри, так и снаружи чувствительной зоны. Также рекомендуется устанавливать контактные датчики на окнах, дверях или объектах для срабатывания (тревожной) сигнализации при установлении или прерывании контакта. То же самое относится к установке инфракрасных и акустических датчиков для обнаружения движения или необычных шумов, таких как разбитое оконное стекло. Эти системы сигнализации должны быть установлены на всех внешних дверях и доступных окнах.

  Информация об инфраструктуре наблюдения должна храниться в строгой конфиденциальности. В том же ключе сами системы наблюдения должны быть защищены от несанкционированного доступа, как с точки зрения доступа к данным наблюдения, таким как каналы камер, так и с точки зрения возможного отключения систем. Панель управления сигнализацией и детекторы должны быть защищены от несанкционированного доступа и регулярно проверяться, особенно для компонентов системы с питанием от батареек. Центральная панель управления сигнализацией должна располагаться в зоне, защищенной от сигнализации.

  Системы мониторинга должны использоваться в соответствии с действующим законодательством, например, законами о защите данных. Основное внимание здесь уделяется мониторингу персонала и срокам хранения записанных видео.

  Объединенные элементы управления в Приложении А

  В нормативном приложении A к стандарту ISO/IEC 27001:2022 перечислены меры информационной безопасности, с которыми организации могут сравнивать полноту своих определенных мер обработки рисков в соответствии с требованием 6.1.3 c). Ключевым результатом этого обзора является Заявление о применимости (SoA).

  В предыдущей версии стандарта ISO/IEC 27001:2013 Приложение A содержало 114 мер или элементов управления, разделенных на 14 разделов с 35 основными категориями безопасности, охватывающими широкий спектр тем, таких как контроль доступа, криптография, физическая безопасность и управление инцидентами.

  После публикации ISO/IEC 27002:2022 «Информационная безопасность, кибербезопасность и защита конфиденциальности — Средства управления информационной безопасностью» 15 февраля 2022 года пересмотр ISO/IEC 27001:2022 адаптировал меры информационной безопасности Приложения A к этой ссылке. По сравнению со старой редакцией количество мер управления в ISO/IEC 27002:2022 было сокращено со 114 мер в 14 разделах до 93 мер информационной безопасности в 4 разделах. Однако было добавлено 11 новых мер управления.

  Это сжатие до 93 элементов управления обусловлено введением 11 новых элементов управления информационной безопасностью и объединением 24 элементов управления из существующих элементов управления в предыдущем издании. 24 «объединенных элемента управления» представляют собой комбинацию из двух-четырех элементов управления из издания 2013 года. Они были объединены для отражения текущей среды кибербезопасности и информационной безопасности.

  Сравнение на следующих страницах наглядно показывает, какие элементы управления из старой версии 2013 года были объединены в обновленный элемент управления информационной безопасностью в Приложении A нового стандарта ISO/IEC 27001:2022.

  Это сравнение помогает сопоставить существующую Декларацию о применимости (SoA) с набором элементов управления в ISO/IEC 27001:2022.