neue-iso-iec-27001-2022-blog-dqs-projektmanager unterhalten sich bei benutzung eines tablets in einer zentrale

Новият стандарт ISO/IEC 27001:2022 - основни промени

Markus Jegelka

Експерт и одитор на DQS по информационна сигурност
сеп 21 , 2023
# Информационна сигурност и защита на данните

Бизнес процесите с добавена стойност се управляват от информация и данни. Без обмен на информация нищо не работи в нашата дигитална икономика. Основните ни услуги се основават на критични инфраструктури, чиято функционалност зависи до голяма степен от обмена на информация и данни. Информационната сигурност се простира далеч в реалността на нашата работа и живот. Ето защо защитата на ежедневните операции, основани на информацията, критичните данни и интелектуалната собственост от киберзаплахи е наложителна за предприятия от всякакъв мащаб. В епохата на индустриализираните кибератаки адаптирането към постоянно променящите се рискове за информационната сигурност изисква своевременен и гъвкав подход към изграждането на устойчивост на предприятието.


И точно тук се появява новият стандарт ISO/IEC 27001:2022 с неговия фокус върху ориентацията към процесите в управлението на информационната сигурност. В продължение на повече от две десетилетия стандартът ISO 27001 е утвърдена, но остаряваща основа за системите за управление на информационната сигурност. И въпреки възрастта си, според проучване на ISO, стандартът е успял да се разрасне с увеличение от 32% на сертификатите през 2021 г. На фона на нарастващото търсене на съвременна рамка за оценка на информационната сигурност, на 25 октомври 2022 г. беше публикуван новият стандарт ISO/IEC 27001:2022. Какво предстои?

Преглед на новите характеристики на ISO 27001:2022

ISO 27001 описва рамката за система за управление на информационната сигурност (накратко СУИС) - и то за компании, независимо от организационната структура, размера или ориентацията. Основната опорна точка тук е управлението на риска. Променящите се киберзаплахи постоянно използват нови потенциални уязвимости в компаниите с цел да атакуват и компрометират информационните потоци и по този начин бизнес процесите. Рисковете, произтичащи от този механизъм върху трите основни цели на защита на информационната сигурност - поверителност, цялостност и наличност - трябва да бъдат идентифицирани и управлявани.

Актуализацията на ISO/IEC 27001:2022 разглежда най-добрите практики за управление на тези рискове за информационната сигурност. Списъкът на възможните контроли за информационна сигурност в нормативното приложение А на новия ISO/IEC 27001:2022 е идентично извлечен от преработеното ръководство ISO/IEC 27002:2022. Ръководството за прилагане вече беше прието през февруари тази година с по-опростена таксономия и съвременни контроли за сигурност. След като новият ISO/IEC 27001:2022 вече е публикуван, успешният тандем от стандарти ISO 27001/27002 с неговите ценни препоръчителни мерки отново е на съвременно ниво.

ISO/IEC 27001:2022-10 - Информационна сигурност, киберсигурност и защита на личните данни - Системи за управление на информационната сигурност - Изисквания
Стандартът е достъпен на английски език на началната страница на ISO.

Друга съществена промяна в новия ISO/IEC 27001:2022 е, че с адаптирането към т.нар. хармонизирана структура отдавна закъснялото изискване за ориентация към процесите е поставено във фокуса на ефикасната ISMS. Основата на ефикасните системи за управление са ясно определените процеси и техните взаимодействия, както и целево ориентирани критерии за тези процеси за тяхното управление.

По-долу ще разгледаме по-подробно трите области на промяна в новата версия на ISO 27001.

 

Структурата на високо ниво става Хармонизирана структура

От май 2021 г. предишната структура на високо ниво (High Level Structure - HLS) се заменя от хармонизираната структура (Harmonized Structure - HS). HS е основната структура и шаблон за разработване на нови и бъдещи ревизии на съществуващите стандарти за системи за управление на ISO. ISO/IEC 27001:2022 е един от първите стандарти за системи за управление, които ще бъдат адаптирани към HS. Различните пояснения, допълнения, но и заличавания в HS в сравнение с HLS са доста интересни за потребителите, които са запознати със стандарта.

За ISO/IEC 27001:2022 обаче е пряко видимо значително съответствие с HS. В бъдеще клауза 6.3 ще изисква промените в ISMS да се прилагат по планиран начин. Това изискване е познато от други системи за управление и изразява очакването, че се управлява процесът на промени, свързани с ISMS. Например преходът от предишния ISO/IEC 27001:2013 към новия ISO/IEC 27001:2022 може да се разбира като промяна в ISMS, която трябва да се приложи по планиран начин с всички нейни ефекти и взаимодействия.

Уебинар: Промените в новия ISO 27001М2022

Новата версия на стандарт ISO/IEC 27001, съобразена със съвременните рискове по отношение на информацията, бе публикуван на 25 октомври 2022 г. Какво означава това за потребителите на стандарта. В нашия безплатен уебинар на английски език Вие ще научите за 

  • Новите моменти в ISO/IEC 27001:2022 - рамка и Приложение A
  • ISO/IEC 27002:2022-02 - структура, съдържание, атрибути и hashtags
  • Преходен период и необходимите действия от Вас
Гледайте уебинар за промените в ISO 27001:2022

Нормативни промени в ISO/IEC 27001:2022

Много съществена промяна се добавя към контекста на организацията в клауза 4.4 с изискването да се определят необходимите процеси и техните взаимодействия в рамките на ISMS, които са необходими за нейното внедряване и поддържане. Това изрично изискване привежда ISO/IEC 27001:2022 в съответствие с подхода на най-добрите практики на други системи за управление съгласно HS (HLS). Системата за управление на информационната сигурност трябва да се основава на установени, проследими процеси и техните взаимодействия. След това контролите за информационна сигурност по приложение А се проектират и адаптират около тези процеси.

Следващата съответна промяна в клауза 8.1 също подчертава значението на ориентацията към процесите, която е обща за всички системи за управление, основани на HS. Организациите трябва да реализират процесите като част от оперативното си планиране и контрол, за да прилагат мерките за управление на рисковете за информационната сигурност. Новото е, че сега трябва да се определят критерии за процесите. Управлението на процесите трябва да се осъществява в съответствие с тези критерии.

Освен това в следните клаузи са направени по-скоро незначителни пояснения и уточнения:

  • Клауза 5.3 е допълнена с изричното изискване отговорностите и правомощията за ролите, свързани със сигурността на информацията, да бъдат известни в рамките на организацията.
  • Клауза 7.4 регламентира необходимостта от вътрешна и външна комуникация по отношение на ISMS. В допълнение към все още приложимите разпоредби за това какво, кога и с кого, начинът на комуникация е работещо опростяване спрямо предишните изисквания.
  • Клауза 9.2 "Вътрешен одит" и 9.3 "Преглед от ръководството" са адаптирани към хармонизираната структура. Клауза 9.2 сега е разделена на 9.2.1 и 9.2.2, а клауза 9.3 е разделена на три подразделения 9.3.1, 9.3.2 и 9.3.3.
  • Редът, по който са структурирани клауза 10.1 и клауза 10.2, е адаптиран към хармонизираната структура. Аспектът на перспективното непрекъснато усъвършенстване сега предхожда ретроспективното разглеждане на несъответствията и коригиращите действия в клауза10.2 в клауза 10.1 без допълнителни промени в съдържанието. Тази корекция подчертава значението на процеса на непрекъснато подобряване.

Ключовите и недвусмислени изисквания в ISO/IEC 27001, които се отнасят до набора от контроли в приложение А са съгласно клауза 6.1.3 в): процесът на сравнение между специфичните за организацията контроли за информационна сигурност с тези в Приложение А и, съгласно клауза 6.1.3 г: изготвянето на декларация за приложимост (SoA). Тези основни изисквания остават непроменени!

Обясненията в информационните (ненормативни) бележки към клауза 6.1.3 в) с препратка към приложение А като списък с възможни мерки за контрол на информационната сигурност посочват възможността за избор на допълнителни мерки от други източници, допълващи Приложение А.

 

Новото Приложение А към ISO/IEC 27001:2022

Списъкът на възможните контроли за информационна сигурност (ИС) в нормативното Приложение А на ISO/IEC 27001:2022 е получен по идентичен начин от ISO/IEC 27002:2022. Каталогът на общите контроли за сигурност беше публикуван през февруари 2022 г. Следователно промените в Приложение А към ISO/IEC 27001:2022 са били предвидими от известно време. Преди това Приложение А включваше общо 114 контроли, които можеха да се използват за справяне с рисковете за информационната сигурност в рамките на 35 цели на контрола, организирани в 14 клаузи.

Освен факта, че новият ISO/IEC 27001:2022 премахва целите на контрола, контролите за информационна сигурност в Приложение А са преработени, актуализирани и допълнени и реорганизирани с някои нови контроли.

Предишните 14 клаузи на Приложение А сега са съсредоточени върху следните 4 теми:

A.5 Организационни контроли (с 37 контроли).

А.6 Персонални проверки (с 8 проверки)

А.7 Физически контрол (с 14 контроли)

А.8 Технически контрол (с 34 контроли)

Приложение А на новата версия на ISO/IEC 27001:2022 вече включва общо 93 контроли, от които следните 11 контроли са нови:

A.5.7 Разузнаване на заплахите

A.5.23 Сигурност на информацията при използването на облачни услуги

A.5.30 Готовност на ИКТ за осигуряване на непрекъснатост на дейността

A.7.4 Мониторинг на физическата сигурност

A.8.9 Управление на конфигурацията

A.8.10 Изтриване на информация

A.8.11 Маскиране на данни

A.8.12 Предотвратяване на изтичането на данни

A.8.16 Мониторинг на дейността

A.8.23 Филтриране на уебсайтове

A.8.28 Сигурно кодиране

Докато Приложение A към ISO/IEC 27001:2022 се ограничава до посочване на контролите, ръководството за прилагане на ISO/IEC 27002:2022 предоставя допълнителни възможности за тяхното категоризиране. Там на всеки контрол са зададени пет атрибута, които позволяват различни гледни точки и перспективи за тях. Атрибутите или техните стойности могат да се използват за филтриране, сортиране или показване за различни организационни изгледи.

Петте атрибута са:

Вид на контрола е атрибут за разглеждане на контролите от гледна точка на това кога и как дадена мярка променя риска, свързан с възникването на инцидент, свързан със сигурността на информацията.

Свойства на информационната сигурност е атрибут за разглеждане на контролите от гледна точка на това каква цел за защита е предназначена да поддържа мярката.

Концепциите за киберсигурност разглеждат контролите от гледна точка на това как те се съотнасят към рамката за киберсигурност, описана в ISO/IEC TS 27110.

Оперативните възможности разглеждат контролите от гледна точка на техните оперативни възможности за информационна сигурност и подпомагат практическия потребителски поглед върху мерките.

Области на сигурността е атрибут, който позволява контролите да се разглеждат от гледна точка на четири области на информационната сигурност.

Какво означава ревизията на стандарта за Вашата сертификация?

Новият ISO/IEC 27001:2022 е публикуван на 25 октомври 2022 г. Това води до следните времеви рамки и крайни срокове за преход за потребителите на стандарта:

  • Последна дата за първоначални/ресертификационни одити по предходния ISO 27001:2013 -> След 30 април 2024 г., DQS ще провежда първоначални и ресертификационни одити вече само по новия стандарт ISO/IEC 27001:2022.
  • Преминаване на всички съществуващи сертификати към новия ISO/IEC 27001:2022
    -> 3 годишен преходен период от 31 октомври 2022 г. 
    -> Сертификатите, издадени по стандарти ISO/IEC 27001:2013 или DIN EN ISO/IEC 27001:2017 ще бъдат валидни най-късно до 31 октомври 2025 г., или ще бъдат прекратени на тази дата.

ISO 27001 - Система за управление на информационната сигурност

Цялостна система за управление в съответствие със стандарта ISO ★ Ефикасно прилагане на процеса за управление на риска ★ Непрекъснато подобряване на нивото на сигурност

Повече информация за ISO 27001

Новият стандарт ISO/IEC 27001:2022 - Заключение

Новият стандарт ISO/IEC 27001:2022 е налице. Това бележи началото на 3-годишния преходен период.

В обобщение, основните нововъведения са следните:

  • Съответствие на системата за управление с Хармонизираната структура.
  • Акцент върху ориентацията към процесите, техните взаимодействия и критерии.
  • Опростена и рационализирана категоризация на контрола в тематични блокове.
  • Съвременни мерки, съобразени с актуалните организационни методи и свързаните с тях заплахи.
  • Атрибути за привеждане на контролите в съответствие с различни методологии за управление на риска, включително глобални рамки за киберсигурност.
gerber-hermsdorf-werner-korall-audit dqs

Имате ли въпроси?

Свържете се с нас!

Без задължения и безплатно.

Изпратете Вашето запитване сега

Доверие и експертен опит

Нашите текстове и брошури са написани изключително от нашите експерти по стандартизация или дългогодишни одитори. Ако имате въпроси относно съдържанието на текстовете или услугите, които предоставяме на нашия автор, моля, не се колебайте да ни изпратите имейл.

Автор
Markus Jegelka

DQS експерт по системи за информационна сигурност (ISMS) и дългогодишен одитор по стандарти ISO 9001, ISO/IEC 27001 каталог за ИТ сигурност съгласно параграф 11.1а от германския Закон за енергийната индустрия (EnWG)

Имате ли въпроси?

Ние сме на Ваше разположение.
Контакт с нас