neue-iso-iec-27001-2022-blog-dqs-projektmanager unterhalten sich bei benutzung eines tablets in einer zentrale

Новий стандарт ISO/IEC 27001:2022 - ключові зміни

Маркус Єгелька

Експерт та аудитор DQS з інформаційної безпеки
вер. 21 , 2023
# Інформаційна безпека та Захист даних

Бізнес-процеси, що створюють додану вартість, керуються інформацією та даними. Без обміну інформацією нічого не працює в нашій цифровій економіці. Наші основні послуги базуються на критично важливих інфраструктурах, функціональність яких сильно залежить від обміну інформацією та даними. Інформаційна безпека простягається далеко в реальність нашої роботи і життя. Тому захист щоденних інформаційних операцій, критично важливих даних та інтелектуальної власності від кіберзагроз є обов'язковим для підприємств будь-якого розміру. У наш час промислових кібератак адаптація до постійно мінливих ризиків інформаційної безпеки вимагає своєчасного і гнучкого підходу для підвищення стійкості підприємства.


І саме тут на допомогу приходить новий стандарт ISO/IEC 27001:2022 з його фокусом на процесній орієнтації в управлінні інформаційною безпекою. Понад два десятиліття стандарт ISO 27001 є усталеною, але нестаріючою основою для систем управління інформаційною безпекою. І незважаючи на свій вік, за даними огляду ISO, стандарт зміг вирости - в минулому 2021 році кількості сертифікатів збільшилися на 32%. На тлі зростаючого попиту на сучасну систему оцінки інформаційної безпеки 25 жовтня 2022 року був опублікований новий стандарт ISO/IEC 27001:2022. Що на нас чекає?

Огляд нових функцій ISO 27001:2022

ISO 27001 описує структуру системи управління інформаційною безпекою (скорочено СУІБ) для компаній незалежно від організаційної структури, розміру або орієнтації. Стрижнем тут є управління ризиками. Мінливі кіберзагрози постійно використовують нові потенційні вразливості в компаніях з метою атаки та компрометації інформаційних потоків, а отже, і бізнес-процесів. Ризики, що виникають внаслідок цього механізму для трьох основних цілей захисту інформаційної безпеки - конфіденційності, цілісності та доступності - повинні бути ідентифіковані та керовані.

В оновленому стандарті ISO/IEC 27001:2022 розглядаються кращі практики управління цими ризиками інформаційної безпеки. Перелік можливих засобів контролю інформаційної безпеки в нормативному Додатку А нового стандарту ISO/IEC 27001:2022 ідентично походить з переглянутого керівництва ISO/IEC 27002:2022. Настанова з впровадження вже була прийнята в лютому цього року з більш простою таксономією та сучасними засобами контролю безпеки. З появою нового стандарту ISO/IEC 27001:2022 успішний тандем стандартів ISO 27001/27002 з його цінними рекомендованими заходами знову відповідає сучасному рівню розвитку.

whitepaper-ISO 27001-faq-dqs-cover picture

ISO/IEC 27001:2022 FAQ

«Новий» для інформаційної безпеки: 38 запитань і відповідей

Що потрібно знати про «нового хлопця» для інформаційної безпеки: 38 відповідей наших експертів на 38 запитань користувачів.

  • Що таке нові елементи керування?
  • Коли ми повинні переходити на новий стандарт?
  • Де я можу знайти список старих і нових листувань?
  • ... а також ще 35!
Завантажте Q&A ISO 27001 і скористайтеся досвідом наших експертів

Ще однією суттєвою зміною в новому стандарті ISO/IEC 27001:2022 є те, що з адаптацією до так званої Гармонізованої структури в центр уваги ефективної СУІБ ставиться давно назріла вимога щодо орієнтації на процеси. Основою ефективних систем менеджменту є чіткі процеси та їх взаємодія, а також цільові критерії для цих процесів для їх контролю.

Далі ми детальніше розглянемо три напрямки змін нової версії стандарту ISO 27001.

 

Структура високого рівня стає гармонізованою структурою

З травня 2021 року на зміну попередній структурі високого рівня (HLS) приходить гармонізована структура (ГС чи HS - Harmonized Structure). ГС є базовою структурою і шаблоном для розробки нових і майбутніх переглядів існуючих стандартів ISO на системи менеджменту. Стандарт ISO/IEC 27001:2022 є одним з перших стандартів на системи менеджменту, який було адаптовано до ГС. Різноманітні уточнення, доповнення, а також вилучення в ГС у порівнянні з HLS є досить цікавими для користувачів, які знайомі зі стандартом.

Для ISO/IEC 27001:2022, однак, значне похідне від ГС безпосередньо видно. У майбутньому п. 6.3 вимагатиме, щоб зміни до СУІБ були впроваджені у плановому порядку. Ця вимога знайома з інших систем менеджменту і виражає очікування, що процес змін, пов'язаних з СУІБ, був освоєний. Наприклад, перехід від попереднього стандарту ISO/IEC 27001:2013 до нового стандарту ISO/IEC 27001:2022 можна розуміти як зміну в СУІБ, яка повинна бути впроваджена в плановому порядку з усіма її наслідками та взаємодіями.

ISO/IEC 27001:2022-10 - Інформаційна безпека, кібербезпека та захист конфіденційності - Системи управління інформаційною безпекою - Вимоги
Стандарт доступний англійською мовою на домашній сторінці ISO.

Нормативні зміни в стандарті ISO/IEC 27001:2022

Дуже суттєвою зміною є доповнення контексту організації в п. 4.4 вимогою щодо визначення необхідних процесів та їх взаємодій в рамках СУІБ, які потрібні для її впровадження та підтримки в робочому стані. Ця чітка вимога приводить стандарт ISO/IEC 27001:2022 у відповідність до підходу найкращих практик інших систем управління відповідно до HS (HLS). Система управління інформаційною безпекою повинна ґрунтуватися на встановлених процесах, що відслідковуються, та їх взаємодії. На основі цих процесів розробляються та адаптуються засоби управління інформаційною безпекою, зазначені в Додатку А.

Наступна відповідна зміна в пункті 8.1 також підкреслює важливість орієнтації на процеси, яка є спільною для всіх систем управління, заснованих на HS. Організації повинні впроваджувати процеси як частину свого оперативного планування та контролю для реалізації заходів з управління ризиками інформаційної безпеки. Новим є те, що тепер мають бути визначені критерії процесів. Контроль процесів повинен здійснюватися відповідно до цих критеріїв.

Крім того, досить незначні уточнення та конкретизації зроблені в наступних пунктах:

  • Пункт 5.3 доповнено чіткою вимогою про те, що обов'язки та повноваження для ролей, пов'язаних з інформаційною безпекою, повинні бути доведені до відома в організації.
  • Пункт 7.4 регламентує необхідність внутрішньої та зовнішньої комунікації щодо СУІБ. На додаток до все ще чинних положень щодо того, про що, коли та з ким, спосіб комунікації є практичним спрощенням попередніх вимог.
  • Пункти 9.2 "Внутрішній аудит" та 9.3 "Аналіз з боку керівництва" були адаптовані до Гармонізованої структури. Пункт 9.2 тепер поділено на підпункти 9.2.1 та 9.2.2, а пункт 9.3 поділено на три підпункти 9.3.1, 9.3.2 та 9.3.3.
  • Порядок побудови пунктів 10.1 та 10.2 адаптовано до Гармонізованої структури. Аспект перспективного постійного поліпшення тепер передує ретроспективному розгляду невідповідностей та коригувальних дій у пункті 10.2 у пункті 10.1 без будь-яких подальших змін у змісті. Ця зміна підкреслює важливість процесу безперервного поліпшення (ПБП).

Інше уточнення стосується вибору заходів з управління ризиками інформаційної безпеки п. 6.1.3 в). Вони повинні визначатися з урахуванням результатів оцінки ризиків і порівнюватися з заходами контролю, наведеними в Додатку А. Підхід залишається незмінним. Однак у пояснювальній записці до попереднього стандарту ISO 27001 містилося посилання на Додаток А з досить нав'язливою вимогою, щоб він містив вичерпний перелік цілей контролю та контрольних заходів.

У новому стандарті ISO/IEC 27001:2022 це посилання на Додаток А можна розуміти як перелік можливих засобів контролю інформаційної безпеки, який є більш відкритим, а отже, більш гнучким у застосуванні.

Тобто, Додаток А до ISO/IEC 27001:2022, як і раніше, слід розглядати в цілому як частину обов'язкової вимоги п. 6.1.3 в), але набір окремих заходів захисту інформації, що містяться в ньому, може більш гнучко обиратися, розроблятися та розширюватися користувачем. Нова версія ISO/IEC 27001 підкреслює тут відкритість структури системи менеджменту для специфічних для організації наборів засобів контролю.

ISO 27001 - Система управління інформаційною безпекою

Цілісна система управління відповідно до стандарту ISO ★ Ефективне впровадження процесу управління ризиками ★ Постійне поліпшення рівня безпеки

Більше інформації про ISO 27001

Новий Додаток А до ISO/IEC 27001:2022

Перелік можливих контролів інформаційної безпеки (ІБ) у нормативному Додатку А стандарту ISO/IEC 27001:2022 ідентично запозичений з ISO/IEC 27002:2022. Каталог загальних засобів контролю безпеки був опублікований у лютому 2022 року. Тому зміни до Додатку А стандарту ISO/IEC 27001:2022 були передбачуваними протягом певного часу. Раніше Додаток А включав загалом 114 засобів контролю, які могли бути використані для усунення ризиків інформаційної безпеки в рамках 35 цілей контролю, об'єднаних у 14 пунктів.

Окрім того, що новий стандарт ISO/IEC 27001:2022 скасовує цілі контролю, засоби контролю інформаційної безпеки в Додатку А були переглянуті, актуалізовані, доповнені та реорганізовані деякими новими засобами контролю.

Колишні 14 пунктів Додатку А тепер зосереджені на 4 наступних темах:

A.5 Організаційні заходи контролю (з 37 заходами контролю).

A.6 Персональні заходи контролю (з 8 заходами контролю)

A.7 Фізичні заходи контролю (з 14 заходами контролю)

A.8 Технічні засоби контролю (з 34 засобами контролю)

Додаток А нової версії ISO/IEC 27001:2022 тепер включає загалом 93 контролі, з яких наступні 11 контролів є новими:

A.5.7 Розвідка загроз

A.5.23 Інформаційна безпека при використанні хмарних сервісів

A.5.30 Готовність інформаційно-комунікаційні технології до забезпечення безперервності діяльності

A.7.4 Моніторинг фізичної безпеки

A.8.9 Управління конфігурацією

A.8.10 Видалення інформації

A.8.11 Маскування даних

A.8.12 Запобігання витоку даних

A.8.16 Моніторинг активності

A.8.23 Веб-фільтрація

A.8.28 Безпечне кодування

У той час як Додаток А до ISO/IEC 27001:2022 обмежується назвою засобів контролю, настанова з впровадження ISO/IEC 27002:2022 надає додаткові можливості для їх класифікації. Там кожному елементу управління присвоюється п'ять атрибутів, які дозволяють різні погляди та перспективи на них. Атрибути або їх значення можуть бути використані для фільтрації, сортування або відображення для різних організаційних поглядів.

До цих п'яти атрибутів відносяться

Тип засобу контролю - атрибут для представлення засобів контролю з точки зору того, коли і як засіб змінює ризик, пов'язаний з виникненням інциденту інформаційної безпеки.

Властивості інформаційної безпеки - атрибут для перегляду засобів контролю з точки зору того, яку мету захисту покликаний підтримувати захід.

Концепції кібербезпеки розглядає засоби контролю з точки зору того, як вони співвідносяться із структурою кібербезпеки, описаною в стандарті ISO/IEC TS 27110.

Операційна спроможність розглядає засоби контролю з точки зору їх операційної спроможності в сфері інформаційної безпеки та підтримує практичний погляд користувача на заходи.

Домени безпеки - це атрибут, який дозволяє розглядати засоби контролю з точки зору чотирьох доменів інформаційної безпеки.

Дивіться зараз: що зміниться з новим стандартом ISO/IEC 27001:2022

Нова версія ISO/IEC 27001, адаптована до сучасних інформаційних ризиків, була опублікована 25 жовтня 2022 року. Що це означає для користувачів стандарту? У записі нашого безкоштовного вебінару ви дізнаєтесь про

  • Нові функції ISO/IEC 27001:2022 – Фреймвок та Додаток A
  • ISO/IEC 27002:2022-02 - структура, вміст, атрибути та хештеги
  • Графік переходу та наступні кроки
Подивіться запис зараз

Що оновлення означає для вашої сертифікації?

ISO/IEC 27001:2022 було опубліковано 25 жовтня 2022 р. Це призводить до наступних кінцевих термінів і часових рамок для переходу користувачів:

Остання дата первинних/повторних сертифікаційних аудитів відповідно до «старого» ISO 27001:2013

  • Після 30 квітня 2024 року DQS проводитиме первинні та ресертифікаційні аудити лише відповідно до нового стандарту ISO/IEC 27001:2022.

Перехід усіх існуючих сертифікатів за «старим» ISO/IEC 27001:2013 на новий ISO/IEC 27001:2022

  • There is a 3-year transЗ 31 жовтня 2022 року діє 3-річний перехідний період
  • Сертифікати, видані відповідно до ISO/IEC 27001:2013 або DIN EN ISO/IEC 27001:2017, дійсні щонайпізніше до 31 жовтня 2025 року або мають бути відкликані в цю дату.ition period starting from October 31, 2022 

Новий стандарт ISO/IEC 27001:2022 - Висновок

Новий стандарт ISO/IEC 27001:2022 доступний. Це знаменує початок 3-річного перехідного періоду.

Якщо коротко, то основні нововведення полягають у наступному:

  • Відповідність системи менеджменту Гармонізованій структурі.
  • Акцент на орієнтацію на процеси, їх взаємодію та критерії.
  • Спрощена та впорядкована класифікація контролів за тематичними блоками.
  • Сучасні заходи, узгоджені з поточними організаційними методами та пов'язаними з ними загрозами.
  • Атрибути для узгодження контролів з різними методологіями управління ризиками, включаючи глобальні рамки кібербезпеки.
gerber-hermsdorf-werner-korall-audit dqs

Маєте питання?

Зв'яжіться з нами!

Без зобов'язань та безкоштовно.

Надішліть запит зараз

Довіра та досвід

Наші тексти та брошури написані виключно нашими експертами зі стандартів або аудиторами з багаторічним досвідом. Якщо у Вас виникли питання до нашого автора щодо змісту тексту або наших послуг, будь ласка, не соромтеся надсилати нам електронні листи.

Автор
Маркус Єгелька

Експерт DQS із систем управління інформаційною безпекою (ISMS) та багаторічний аудитор стандартів ISO 9001, ISO/IEC 27001 та каталогу безпеки ІТ згідно з параграфом 11.1a Закону про енергетичну промисловість Німеччини (EnWG)

Є питання?

Ми до ваших послуг.
Зв'яжіться з нами