ОНЛАЙН-ЗАПРОС
ОНЛАЙН-ЗАПРОС
ОНЛАЙН-ЗАПРОС

ГРУППА ДКС –
ведущий международный
сертификационный холдинг

Новый стандарт ISO/IEC 27001:2022 — ключевые изменения

  • 16.11.2022

Бизнес-процессы с добавленной стоимостью управляются информацией и данными. Без обмена информацией в нашей цифровой экономике ничего не работает. Наши базовые услуги основаны на критически важных инфраструктурах, функциональность которых сильно зависит от обмена информацией и данными. Информационная безопасность распространяется далеко на реальность нашей работы и жизни. Поэтому защита повседневных операций, критически важных данных и интеллектуальной собственности от киберугроз является обязательным требованием для предприятий любого размера. В наш век индустриальных кибератак адаптация к постоянно меняющимся рискам информационной безопасности требует своевременного и гибкого подхода к повышению устойчивости предприятия.

И именно здесь на помощь приходит новый стандарт ISO/IEC 27001:2022, в котором основное внимание уделяется процессуальной ориентации в управлении информационной безопасностью. Уже более двух десятилетий стандарт ISO 27001 является установленной, но устаревшей основой для систем управления информационной безопасностью. И, несмотря на свой возраст, согласно опросу ISO, стандарт смог вырасти благодаря увеличению числа сертификатов на 32% в прошлом 2021 году. На фоне растущего спроса на современную систему оценки информационной безопасности новый стандарт ISO/IEC 27001:2022 был опубликован 25 октября 2022 г. Что нас ждет?

Обзор новых функций ISO 27001:2022

ISO 27001 описывает структуру системы управления информационной безопасностью (сокращенно ISMS) — и для компаний, независимо от организационной структуры, размера или ориентации. Стержнем здесь является управление рисками. Изменяющиеся киберугрозы постоянно используют новые потенциальные уязвимости в компаниях с целью атаки и компрометации информационных потоков и, следовательно, бизнес-процессов. Риски, возникающие из-за этого механизма для трех основных целей защиты информационной безопасности — конфиденциальности, целостности и доступности, — должны быть идентифицированы и управляемы.

В обновлении ISO/IEC 27001:2022 рассматриваются передовые методы управления этими рисками информационной безопасности. Список возможных средств управления информационной безопасностью в нормативном Приложении А к новому стандарту ИСО/МЭК 27001:2022 точно так же получен из пересмотренного руководства ИСО/МЭК 27002:2022. Руководство по внедрению уже было принято в феврале этого года с более простой таксономией и современными мерами безопасности. После публикации нового стандарта ISO/IEC 27001:2022 успешный тандем стандартов ISO 27001/27002 с его ценными рекомендуемыми мерами снова стал современным.

Еще одно существенное изменение в новом стандарте ISO/IEC 27001:2022 заключается в том, что с адаптацией к так называемой Гармонизированной структуре давно назревшее требование по ориентации процесса находится в центре внимания эффективной СМИБ. Основой эффективных систем управления являются четкие процессы и их взаимодействия, а также целевые критерии этих процессов для их контроля.

Далее мы более подробно рассмотрим три области изменений новой версии ISO 27001.

Структура высокого уровня становится гармонизированной структурой

С мая 2021 года на смену предыдущей Структуре высокого уровня (HLS) приходит Гармонизированная структура (HS). ГС является базовой структурой и шаблоном для разработки новых и будущих редакций существующих стандартов ISO на системы менеджмента. ISO/IEC 27001:2022 является одним из первых стандартов системы менеджмента, адаптированных к ГС. Различные уточнения, дополнения, а также исключения в ГС по сравнению с ЗОЖ представляют большой интерес для пользователей, знакомых со стандартом.

Однако для ISO/IEC 27001:2022 сразу видно существенное отклонение от ГС. В будущем пункт 6.3 потребует внесения изменений в СМИБ в плановом порядке. Это требование знакомо по другим системам управления и выражает ожидание того, что процесс изменений, связанных со СМИБ, освоен. Например, переход от предыдущего ИСО/МЭК 27001:2013 к новому ИСО/МЭК 27001:2022 можно понимать как изменение СМИБ, которое следует внедрять планомерно со всеми его последствиями и взаимодействиями.

Нормативные изменения в ISO/IEC 27001:2022

Очень существенное изменение добавляется к контексту организации в пункте 4.4 с требованием идентифицировать необходимые процессы и их взаимодействия в СМИБ, необходимые для ее внедрения и обслуживания. Это явное требование приводит ISO/IEC 27001:2022 в соответствие с передовым подходом других систем менеджмента в соответствии с HS (HLS). Система управления информационной безопасностью должна основываться на установленных, отслеживаемых процессах и их взаимодействии. Затем вокруг этих процессов разрабатываются и адаптируются средства управления информационной безопасностью Приложения А.

Следующее соответствующее изменение в разделе 8.1 также подчеркивает важность ориентации на процесс, которая является общей для всех систем менеджмента, основанных на HS. Организации должны реализовать процессы в рамках своего оперативного планирования и контроля для реализации мер по управлению рисками информационной безопасности. Новым является то, что теперь необходимо определить критерии процесса. Управление технологическим процессом должно осуществляться в соответствии с этими критериями.

Кроме того, в следующие пункты были внесены довольно незначительные уточнения и уточнения:

Пункт 5.3 дополнен явным требованием, чтобы обязанности и полномочия для ролей, связанных с информационной безопасностью, были известны внутри организации.

Пункт 7.4 регулирует необходимость внутренней и внешней коммуникации в отношении СМИБ. В дополнение ко все еще применимым положениям о том, что, когда и с кем, способ общения является действенным упрощением предыдущих требований.

Пункт 9.2 Внутренний аудит и 9.3 Анализ со стороны руководства были адаптированы к Гармонизированной структуре.

Пункт 9.2 теперь подразделяется на 9.2.1 и 9.2.2, пункт 9.3 делится на три подраздела 9.3.1, 9.3.2 и 9.3.3.

Порядок, в котором структурированы Пункт 10.1 и Пункт 10.2, был адаптирован к Гармонизированной структуре. Аспект предполагаемого непрерывного улучшения теперь предшествует ретроспективной обработке несоответствий и корректирующих действий в пункте 10.2 в пункте 10.1 без каких-либо дальнейших изменений в содержании. Эта корректировка подчеркивает важность процесса непрерывного улучшения (CIP).

Ключевыми и недвусмысленными требованиями в ИСО/МЭК 27001, которые ссылаются на набор средств управления в Приложении А, являются, в соответствии с пунктом 6.1.3 с), процесс сравнения между средствами обеспечения информационной безопасности, характерными для организации, и средствами, указанными в Приложении А, и, согласно Пункт 6.1.3 d), подготовка заявления о применимости (SoA). Эти основные требования остаются неизменными!

Пояснения в информативных (ненормативных) примечаниях к п. 6.1.3 в) со ссылкой на Приложение А как на перечень возможных мер обеспечения информационной безопасности указывают на возможность выбора дополнительных мер из дополнительных источников, дополняющих Приложение А.

Новое приложение А стандарта ISO/IEC 27001:2022

Список возможных средств управления информационной безопасностью (ИБ) в нормативном Приложении А стандарта ИСО/МЭК 27001:2022 идентично получен из ИСО/МЭК 27002:2022. Каталог общих мер безопасности был опубликован в феврале 2022 года. Таким образом, изменения в Приложении А стандарта ISO/IEC 27001:2022 можно было предвидеть в течение некоторого времени. Ранее Приложение А включало в общей сложности 114 средств контроля, которые можно было использовать для устранения рисков информационной безопасности в рамках 35 целей контроля, объединенных в 14 пунктов.

Помимо того факта, что новый ISO/IEC 27001:2022 исключает цели контроля, средства контроля информационной безопасности в Приложении A были пересмотрены, обновлены, дополнены и реорганизованы некоторыми новыми средствами контроля.

Прежние 14 пунктов Приложения А теперь сосредоточены на 4 следующих темах:

  • A.5 Организационные средства контроля (с 37 средствами контроля).
  • A.6 Персональные элементы управления (с 8 средствами контроля)
  • A.7 Физические элементы управления (с 14 средствами контроля)
  • A.8 Технические органы управления (с 34 средствами контроля)

Приложение A новой версии ISO/IEC 27001:2022 теперь включает в общей сложности 93 средства контроля, из которых следующие 11 средств управления являются новыми:

  • A.5.7 Информация об угрозах
  • A.5.23 Информационная безопасность при использовании облачных сервисов
  • A.5.30 Готовность ИКТ к обеспечению непрерывности бизнеса
  • A.7.4 Мониторинг физической безопасности
  • A.8.9 Управление конфигурацией
  • A.8.10 Удаление информации
  • A.8.11 Маскирование данных
  • A.8.12 Предотвращение утечки данных
  • A.8.16 Мониторинг активности
  • A.8.23 Веб-фильтрация
  • A.8.28 Безопасное кодирование

В то время как Приложение А стандарта ISO/IEC 27001:2022 ограничено наименованием средств управления, руководство по внедрению ISO/IEC 27002:2022 предоставляет дополнительные варианты их классификации. Там каждому элементу управления назначается пять атрибутов, которые позволяют использовать различные представления и точки зрения на них. Атрибуты или их значения атрибутов можно использовать для фильтрации, сортировки или отображения для различных организационных представлений.

Пять атрибутов:

Тип элемента управления — это атрибут представления элементов управления с точки зрения того, когда и как мера изменяет риск, связанный с возникновением инцидента информационной безопасности.

Свойства информационной безопасности — это атрибут для просмотра элементов управления с точки зрения цели защиты, которую должна поддерживать мера.

Концепции кибербезопасности рассматривают элементы управления с точки зрения того, как они соотносятся со структурой кибербезопасности, описанной в ISO/IEC TS 27110.

Эксплуатационные возможности рассматривают элементы управления с точки зрения их операционных возможностей информационной безопасности и поддерживают практический пользовательский взгляд на меры.

Домены безопасности — это атрибут, который позволяет рассматривать элементы управления с точки зрения четырех доменов информационной безопасности.

Что обновление означает для вашей сертификации?

Новая и улучшенная версия ISO/IEC 27001 была опубликована 25 октября 2022 г. Это приводит к следующим временным рамкам и срокам перехода для стандартных пользователей:

Готовность к сертификации в соответствии с ISO/IEC 27001:2022

  • вероятно с февраля по апрель 2023 г. (в зависимости от органа по аккредитации)
    Последняя дата первичного/повторного сертификационного аудита в соответствии с прежним стандартом ISO 27001:2013
  • 18 месяцев после публикации нового стандарта ISO/IEC 27001:2022
    Переход всех существующих сертификатов на новый ISO/IEC 27001:2022
  • 3 года, относящиеся к последнему дню месяца выпуска
    ИСО/МЭК 27001:2022 (октябрь 2025 г.)

Вывод

Доступен новый стандарт ISO/IEC 27001:2022. Это знаменует собой начало 3-летнего переходного периода.

Подводя итог, можно выделить следующие основные новшества:

  • Соответствие системы менеджмента Гармонизированной структуре.
  • Акцент на ориентации на процессы, их взаимодействии и критериях.
  • Упрощенная и упорядоченная категоризация элементов управления на тематические блоки.
  • Современные меры, согласованные с текущими организационными методами и связанными с ними угрозами.
  • Атрибуты для согласования средств контроля с различными методологиями управления рисками, включая глобальные системы кибербезопасности.

<< Все новости

Запрос коммерческого предложения

Подготовим индивидуальное коммерческое предложение по Вашему запросу

Запросить

8-800-777-53-46

Подготовим для Вас индивидуальное коммерческое предложение по Вашему запросу

Запрос коммерческого предложения

Подготовим индивидуальное коммерческое предложение по Вашему запросу

 

Запросить

8-800-777-53-46

Мы в социальных сетях

Группа компаний ДКС
ООО ССУ «ДЭКУЭС»
ООО «ДКС РУС»

Телефон: +7 4852 69 50 21
8-800-777-53-46 (Бесплатно по России)
Email: dqs@dqs-russia.ru
Адрес: ул. Республиканская, д. 3, 150003, Ярославль, Российская Федерация