Бизнес-процессы с добавленной стоимостью управляются информацией и данными. Без обмена информацией в нашей цифровой экономике ничего не работает. Наши базовые услуги основаны на критически важных инфраструктурах, функциональность которых сильно зависит от обмена информацией и данными. Информационная безопасность распространяется далеко на реальность нашей работы и жизни. Поэтому защита повседневных операций, критически важных данных и интеллектуальной собственности от киберугроз является обязательным требованием для предприятий любого размера. В наш век индустриальных кибератак адаптация к постоянно меняющимся рискам информационной безопасности требует своевременного и гибкого подхода к повышению устойчивости предприятия.

И это именно то место, где новый ISO/IEC 27001:2022 делает акцент на ориентацию на процессы в управлении информационной безопасностью. На протяжении более двух десятилетий стандарт ISO 27001 был устоявшейся, но устаревшей основой для систем управления информационной безопасностью. И, несмотря на свой возраст, согласно Обзору ИСО, стандарт смог вырасти за счет увеличения количества сертификатов на 32% в 2021 году. На фоне растущего спроса на современную систему оценки информационной безопасности новый ISO/IEC 27001:2022 был опубликован 25 октября 2022 г. Что нас ждет?

Обзор новых функций ISO 27001:2022

ISO 27001 описывает основу для системы управления информационной безопасностью (для краткости ISMS) – и для компаний, независимо от организационной структуры, размера или сферы деятельности. Стержнем здесь является управление рисками. Изменяющиеся киберугрозы постоянно используют новые потенциальные уязвимости в компаниях с целью атаки и компрометации информационных потоков и, следовательно, бизнес-процессов. Риски, возникающие из-за этого механизма для трех основных целей защиты информационной безопасности — конфиденциальности, целостности и доступности, — должны быть идентифицированы и управляемы.

Обновление до ISO/IEC 27001:2022 описывает передовой опыт управления этими рисками информационной безопасности. Перечень возможных средств контроля информационной безопасности в нормативном приложении А нового ISO/IEC 27001:2022 точно так же получен из пересмотренного ISO/IEC 27002:2022 руководство. Руководство по внедрению уже было принято в феврале этого года с более простой таксономией и современными средствами безопасности. С новым ISO/IEC 27001:2022 теперь опубликовано, успешный тандем стандарта ISO 27001/27002 с его ценными рекомендуемыми мерами снова является современным.

ISO/IEC 27001:2022-10 – Информационная безопасность, кибербезопасность и защита конфиденциальности – Системы управления информационной безопасностью – Требования

Еще одно существенное изменение в новом ISO/IEC 27001:2022 заключается в том, что с адаптацией к так называемой Гармонизированной структуре давно назревшее требование по ориентации процесса находится в центре внимания эффективной СМИБ. Основой эффективных систем управления являются четкие процессы и их взаимодействия, а также целевые критерии этих процессов для их контроля.

Далее мы более подробно рассмотрим три области изменений новой версии ISO 27001.

Структура высокого уровня становится гармонизированной структурой

По состоянию на май 2021 года предшествующая Структура высокого уровня (HLS) заменяется Гармонизированной структурой (HS). HS является базовой структурой и шаблоном для разработки новых и будущих редакций существующих стандартов ISO на системы менеджмента. ISO/IEC 27001:2022 является одним из первых стандартов системы менеджмента, адаптированных к HS. Различные уточнения, дополнения, а также исключения в HS по сравнению с HLS представляют большой интерес для пользователей, знакомых со стандартом.

Для ISO/IEC 27001:2022, однако, прямо видно существенное отклонение от ГС. В будущем пункт 6.3 потребует внесения изменений в СМИБ в плановом порядке. Это требование знакомо по другим системам управления и выражает ожидание того, что процесс изменений, связанных со СМИБ, освоен. Например, переход от предыдущего ISO/IEC 27001:2013 к новому ISO/IEC 27001:2022 можно понимать как изменение СМИБ, которое должно быть реализовано в плановом порядке со всеми его последствиями и взаимодействиями.

Нормативные изменения в ISO/IEC 27001:2022

Очень существенное изменение добавляется к контексту организации в пункте 4.4 с требованием идентифицировать необходимые процессы и их взаимодействия в СМИБ, необходимые для ее внедрения и обслуживания. Это явное требование приводит ISO/IEC 27001:2022 в соответствии с передовым подходом других систем управления в соответствии с HS (HLS). Система управления информационной безопасностью должна основываться на установленных, отслеживаемых процессах и их взаимодействии. Затем вокруг этих процессов разрабатываются и адаптируются средства управления информационной безопасностью Приложения А.

Следующее соответствующее изменение в разделе 8.1 также подчеркивает важность ориентации на процесс, которая является общей для всех систем менеджмента, основанных на HS. Организации должны реализовать процессы в рамках своего оперативного планирования и контроля для реализации мер по управлению рисками информационной безопасности. Новым является то, что теперь необходимо определить критерии процесса. Управление технологическим процессом должно осуществляться в соответствии с этими критериями.
Кроме того, в следующие пункты были внесены довольно незначительные уточнения и уточнения:

• Пункт 5.3 дополнен явным требованием о том, чтобы обязанности и полномочия для ролей, связанных с информационной безопасностью, были известны внутри организации.
• Пункт 7.4 регулирует необходимость внутренней и внешней коммуникации в отношении СМИБ. В дополнение к все еще применимым положениям о том, что о, когда и с кем, способ общения является действенным упрощением предыдущих требований.
• Пункт 9.2 Внутренний аудит и 9.3 Анализ со стороны руководства были адаптированы к Гармонизированной структуре. Пункт 9.2 теперь подразделяется на 9.2.1 и 9.2.2, пункт 9.3 делится на три подраздела 9.3.1, 9.3.2 и 9.3.3.
• Порядок, в котором структурированы Пункт 10.1 и Пункт 10.2, был адаптирован к Гармонизированной структуре. Аспект предполагаемого непрерывного улучшения теперь предшествует ретроспективной обработке несоответствий и корректирующих действий в пункте 10.2 в пункте 10.1 без каких-либо дальнейших изменений в содержании. Эта корректировка подчеркивает важность процесса непрерывного улучшения (CIP).

Ключевые и недвусмысленные требования в ISO/IEC 27001, которые ссылаются на набор мер безопасности в Приложении A, являются, согласно Пункту 6.1.3 c), процессом сравнения между специфичными для организации мерами информационной безопасности с мерами безопасности в Приложении A и, согласно Пункту 6.1.3 d) , подготовкой Заявление о применимости (SoA). Эти основные требования остаются неизменными!

Пояснения в информативных (ненормативных) примечаниях к п. 6.1.3 в) со ссылкой на Приложение А как на перечень возможных мер обеспечения информационной безопасности указывают на возможность выбора дополнительных мер из дополнительных источников, дополняющих Приложение А.

Новое приложение А стандарта ISO/IEC 27001:2022

Перечень возможных средств контроля информационной безопасности (ИБ) в нормативном Приложении А ISO/IEC 27001:2022 идентично получено из ISO/IEC 27002:2022. Каталог общих мер безопасности был опубликован в феврале 2022 года. Таким образом, изменения к Приложению A ISO/IEC 27001:2022 были предсказуемы в течение некоторого времени. Ранее Приложение А включало в общей сложности 114 средств контроля, которые можно было использовать для устранения рисков информационной безопасности в рамках 35 целей контроля, объединенных в 14 пунктов.
Помимо того, что новый ISO/IEC 27001:2022 устраняет цели контроля, меры информационной безопасности в Приложении A были пересмотрены, обновлены, дополнены и реорганизованы некоторыми новыми мерами безопасности.
Прежние 14 пунктов Приложения А теперь сосредоточены на 4 следующих темах:

• A.5 Организационные средства контроля (с 37 средствами управления).
• A.6 Персональные элементы управления (с 8 элементами управления)
• A.7 Физические элементы управления (с 14 элементами управления)
• A.8 Технические органы управления (с 34 органами управления)

Приложение А нового ИСО/МЭК 27001:2022 версия теперь включает в общей сложности 93 элемента управления, из которых следующие 11 элементов управления являются новыми:

• A.5.7 Информация об угрозах
• A.5.23 Информационная безопасность при использовании облачных сервисов
• A.5.30 Готовность ИКТ к обеспечению непрерывности бизнеса
• A.7.4 Мониторинг физической безопасности
• A.8.9 Управление конфигурацией
• A.8.10 Удаление информации
• A.8.11 Маскирование данных
• A.8.12 Предотвращение утечки данных
• A.8.16 Мониторинг активности
• A.8.23 Веб-фильтрация
• A.8.28 Безопасное кодирование

В то время как Приложение А к ISO/IEC 27001:2022 ограничивается именованием элементов управления, руководство по внедрению ISO/IEC 27002:2022 предоставляет дополнительные варианты их классификации. Там каждому элементу управления назначается пять атрибутов, которые позволяют использовать различные представления и точки зрения на них. Атрибуты или их значения атрибутов можно использовать для фильтрации, сортировки или отображения для различных организационных представлений.

Пять атрибутов:

Тип элемента управления — это атрибут представления элементов управления с точки зрения того, когда и как мера изменяет риск, связанный с возникновением инцидента информационной безопасности.

Свойства информационной безопасности — это атрибут для просмотра элементов управления с точки зрения цели защиты, которую должна поддерживать мера.

Концепции кибербезопасности рассматривают элементы управления с точки зрения того, как они соотносятся со структурой кибербезопасности, описанной в ISO/IEC TS 27110.

Эксплуатационные возможности рассматривают элементы управления с точки зрения их операционных возможностей информационной безопасности и поддерживают практический пользовательский взгляд на меры.

Домены безопасности — это атрибут, который позволяет рассматривать элементы управления с точки зрения четырех доменов информационной безопасности.

Что обновление означает для вашей сертификации?

Новая и улучшенная версия ISO/IEC 27001 был опубликован 25 октября 2022 г. Это приводит к следующим временным рамкам и срокам перехода для обычных пользователей:

• Готовность к сертификации согласноИСО/МЭК 27001:2022
  -> вероятно, с июня/июля 2023 г.
  (в зависимости от органов по аккредитации)
• Последняя дата первичных/повторных сертификационных аудитов в соответствии с прежнимISO 27001:2013
  -> 18 месяцев после публикации новыхИСО/МЭК 27001:2022
• Переход всех существующих сертификатов на новыеИСО/МЭК 27001:2022
  -> 3 года, относящиеся к последнему дню месяца выпуска
  ИСО/МЭК 27001:2022 (октябрь 2025 г.)

Сроки перехода соответствуют стандарту ISO.

Новый ISO/IEC 27001:2022 – Заключение

Публикация нового ISO/IEC 27001:2022. означает начало 3-летнего переходного периода.

Подводя итог, можно выделить следующие основные новшества:

• Соответствие системы управления Гармонизированной структуре.
• Акцент на ориентации процесса, его взаимодействии и критериях.
• Упрощенная и упорядоченная категоризация элементов управления на тематические блоки.
• Современные меры, согласованные с текущими организационными методами и связанными с ними угрозами.
• Атрибуты для согласования средств контроля с различными методологиями управления рисками, включая глобальные системы кибербезопасности.

[dt_divider style=”thin” /]