Нормативни промени в ISO/IEC 27001:2022
Много съществена промяна се добавя към контекста на организацията в клауза 4.4 с изискването да се определят необходимите процеси и техните взаимодействия в рамките на ISMS, които са необходими за нейното внедряване и поддържане. Това изрично изискване привежда ISO/IEC 27001:2022 в съответствие с подхода на най-добрите практики на други системи за управление съгласно HS (HLS). Системата за управление на информационната сигурност трябва да се основава на установени, проследими процеси и техните взаимодействия. След това контролите за информационна сигурност по приложение А се проектират и адаптират около тези процеси.
Следващата съответна промяна в клауза 8.1 също подчертава значението на ориентацията към процесите, която е обща за всички системи за управление, основани на HS. Организациите трябва да реализират процесите като част от оперативното си планиране и контрол, за да прилагат мерките за управление на рисковете за информационната сигурност. Новото е, че сега трябва да се определят критерии за процесите. Управлението на процесите трябва да се осъществява в съответствие с тези критерии.
Освен това в следните клаузи са направени по-скоро незначителни пояснения и уточнения:
- Клауза 5.3 е допълнена с изричното изискване отговорностите и правомощията за ролите, свързани със сигурността на информацията, да бъдат известни в рамките на организацията.
- Клауза 7.4 регламентира необходимостта от вътрешна и външна комуникация по отношение на ISMS. В допълнение към все още приложимите разпоредби за това какво, кога и с кого, начинът на комуникация е работещо опростяване спрямо предишните изисквания.
- Клауза 9.2 "Вътрешен одит" и 9.3 "Преглед от ръководството" са адаптирани към хармонизираната структура. Клауза 9.2 сега е разделена на 9.2.1 и 9.2.2, а клауза 9.3 е разделена на три подразделения 9.3.1, 9.3.2 и 9.3.3.
- Редът, по който са структурирани клауза 10.1 и клауза 10.2, е адаптиран към хармонизираната структура. Аспектът на перспективното непрекъснато усъвършенстване сега предхожда ретроспективното разглеждане на несъответствията и коригиращите действия в клауза10.2 в клауза 10.1 без допълнителни промени в съдържанието. Тази корекция подчертава значението на процеса на непрекъснато подобряване.
Ключовите и недвусмислени изисквания в ISO/IEC 27001, които се отнасят до набора от контроли в приложение А са съгласно клауза 6.1.3 в): процесът на сравнение между специфичните за организацията контроли за информационна сигурност с тези в Приложение А и, съгласно клауза 6.1.3 г: изготвянето на декларация за приложимост (SoA). Тези основни изисквания остават непроменени!
Обясненията в информационните (ненормативни) бележки към клауза 6.1.3 в) с препратка към приложение А като списък с възможни мерки за контрол на информационната сигурност посочват възможността за избор на допълнителни мерки от други източници, допълващи Приложение А.
Новото Приложение А към ISO/IEC 27001:2022
Списъкът на възможните контроли за информационна сигурност (ИС) в нормативното Приложение А на ISO/IEC 27001:2022 е получен по идентичен начин от ISO/IEC 27002:2022. Каталогът на общите контроли за сигурност беше публикуван през февруари 2022 г. Следователно промените в Приложение А към ISO/IEC 27001:2022 са били предвидими от известно време. Преди това Приложение А включваше общо 114 контроли, които можеха да се използват за справяне с рисковете за информационната сигурност в рамките на 35 цели на контрола, организирани в 14 клаузи.
Освен факта, че новият ISO/IEC 27001:2022 премахва целите на контрола, контролите за информационна сигурност в Приложение А са преработени, актуализирани и допълнени и реорганизирани с някои нови контроли.
Предишните 14 клаузи на Приложение А сега са съсредоточени върху следните 4 теми:
A.5 Организационни контроли (с 37 контроли).
А.6 Персонални проверки (с 8 проверки)
А.7 Физически контрол (с 14 контроли)
А.8 Технически контрол (с 34 контроли)
Приложение А на новата версия на ISO/IEC 27001:2022 вече включва общо 93 контроли, от които следните 11 контроли са нови:
A.5.7 Разузнаване на заплахите
A.5.23 Сигурност на информацията при използването на облачни услуги
A.5.30 Готовност на ИКТ за осигуряване на непрекъснатост на дейността
A.7.4 Мониторинг на физическата сигурност
A.8.9 Управление на конфигурацията
A.8.10 Изтриване на информация
A.8.11 Маскиране на данни
A.8.12 Предотвратяване на изтичането на данни
A.8.16 Мониторинг на дейността
A.8.23 Филтриране на уебсайтове
A.8.28 Сигурно кодиране
Докато Приложение A към ISO/IEC 27001:2022 се ограничава до посочване на контролите, ръководството за прилагане на ISO/IEC 27002:2022 предоставя допълнителни възможности за тяхното категоризиране. Там на всеки контрол са зададени пет атрибута, които позволяват различни гледни точки и перспективи за тях. Атрибутите или техните стойности могат да се използват за филтриране, сортиране или показване за различни организационни изгледи.
Петте атрибута са:
Вид на контрола е атрибут за разглеждане на контролите от гледна точка на това кога и как дадена мярка променя риска, свързан с възникването на инцидент, свързан със сигурността на информацията.
Свойства на информационната сигурност е атрибут за разглеждане на контролите от гледна точка на това каква цел за защита е предназначена да поддържа мярката.
Концепциите за киберсигурност разглеждат контролите от гледна точка на това как те се съотнасят към рамката за киберсигурност, описана в ISO/IEC TS 27110.
Оперативните възможности разглеждат контролите от гледна точка на техните оперативни възможности за информационна сигурност и подпомагат практическия потребителски поглед върху мерките.
Области на сигурността е атрибут, който позволява контролите да се разглеждат от гледна точка на четири области на информационната сигурност.