Новий Додаток А до ISO/IEC 27001:2022
Перелік можливих контролів інформаційної безпеки (ІБ) у нормативному Додатку А стандарту ISO/IEC 27001:2022 ідентично запозичений з ISO/IEC 27002:2022. Каталог загальних засобів контролю безпеки був опублікований у лютому 2022 року. Тому зміни до Додатку А стандарту ISO/IEC 27001:2022 були передбачуваними протягом певного часу. Раніше Додаток А включав загалом 114 засобів контролю, які могли бути використані для усунення ризиків інформаційної безпеки в рамках 35 цілей контролю, об'єднаних у 14 пунктів.
Окрім того, що новий стандарт ISO/IEC 27001:2022 скасовує цілі контролю, засоби контролю інформаційної безпеки в Додатку А були переглянуті, актуалізовані, доповнені та реорганізовані деякими новими засобами контролю.
Колишні 14 пунктів Додатку А тепер зосереджені на 4 наступних темах:
A.5 Організаційні заходи контролю (з 37 заходами контролю).
A.6 Персональні заходи контролю (з 8 заходами контролю)
A.7 Фізичні заходи контролю (з 14 заходами контролю)
A.8 Технічні засоби контролю (з 34 засобами контролю)
Додаток А нової версії ISO/IEC 27001:2022 тепер включає загалом 93 контролі, з яких наступні 11 контролів є новими:
A.5.7 Розвідка загроз
A.5.23 Інформаційна безпека при використанні хмарних сервісів
A.5.30 Готовність інформаційно-комунікаційні технології до забезпечення безперервності діяльності
A.7.4 Моніторинг фізичної безпеки
A.8.9 Управління конфігурацією
A.8.10 Видалення інформації
A.8.11 Маскування даних
A.8.12 Запобігання витоку даних
A.8.16 Моніторинг активності
A.8.23 Веб-фільтрація
A.8.28 Безпечне кодування
У той час як Додаток А до ISO/IEC 27001:2022 обмежується назвою засобів контролю, настанова з впровадження ISO/IEC 27002:2022 надає додаткові можливості для їх класифікації. Там кожному елементу управління присвоюється п'ять атрибутів, які дозволяють різні погляди та перспективи на них. Атрибути або їх значення можуть бути використані для фільтрації, сортування або відображення для різних організаційних поглядів.
До цих п'яти атрибутів відносяться
Тип засобу контролю - атрибут для представлення засобів контролю з точки зору того, коли і як засіб змінює ризик, пов'язаний з виникненням інциденту інформаційної безпеки.
Властивості інформаційної безпеки - атрибут для перегляду засобів контролю з точки зору того, яку мету захисту покликаний підтримувати захід.
Концепції кібербезпеки розглядає засоби контролю з точки зору того, як вони співвідносяться із структурою кібербезпеки, описаною в стандарті ISO/IEC TS 27110.
Операційна спроможність розглядає засоби контролю з точки зору їх операційної спроможності в сфері інформаційної безпеки та підтримує практичний погляд користувача на заходи.
Домени безпеки - це атрибут, який дозволяє розглядати засоби контролю з точки зору чотирьох доменів інформаційної безпеки.