#27002: Оновлена редакція стандарту зі спрощеною структурою, новим вмістом і сучасною індексацією. У першому кварталі 2022 року було випущено оновлення ISO/IEC 27002 як передвісник перегляду ISO/IEC 27001, який очікується в четвертому кварталі 2022 року. Прочитайте тут, що змінилося з новим ISO 27002:2022 - і що це означає з точки зору майбутнього перегляду ISO 27001:2022.

Loading...
  • ISO 27002 та ISO 27001
  • Нова структура і нові теми
  • Нові заходи безпеки
  • Атрибути та значення атрибутів
  • Зміни в 27002: Висновок
  • Що оновлення означає для вашої сертифікації
  • DQS: Simply leveraging Quality.

ISO 27002 та ISO 27001

ISO 27002 визначає широкий перелік загальних заходів безпеки, які повинні підтримувати компанії у впровадженні вимог Annex A ISO 27001, і зарекомендував себе як практичний стандартний посібник у багатьох відділах ІТ та безпеки як визнаний інструмент. На початку 2022 року ISO 27002 було повністю переглянуто та оновлено – на думку багатьох експертів, це запізнілий крок, враховуючи динамічний розвиток ІТ за останні роки та знаючи, що стандарти переглядаються на актуальність кожні 5 років.

Для компаній із сертифікатом ISO 27001 - або компаній, які хочуть зайнятися сертифікацією в найближчому майбутньому - інновації, які зараз представлені, актуальні в двох аспектах: по-перше, щодо необхідних оновлень власних заходів безпеки; а по-друге, тому що ці зміни вплинуть на оновлення ISO 27001, яке очікується наприкінці року, і, отже, будуть актуальними для всіх майбутніх сертифікацій і повторних сертифікацій. Тому є достатня причина, щоб уважніше розглянути новий стандарт ISO 27002.

Примітка: ISO/IEC 27002:2022 Інформаційна безпека, кібербезпека та захист конфіденційності. Засоби керування інформаційною безпекою. Наразі стандарт опубліковано лише англійською мовою, і його можна замовити на веб-сайті ISO.

Нова структура і нові теми

Першою очевидною зміною в ISO 27002:2022 є оновлена та значно оптимізована структура стандарту: замість попередніх 114 заходів безпеки (контролю) у 14 розділах еталонний набір оновленої версії ISO 27002 тепер містить 93 елементи керування, які чітко розділені та узагальнені в 4 предметних областях:

  • 37 заходів безпеки в розділі «Організаційний контроль»
  • 8 заходів безпеки в зоні «Людський контроль»
  • 14 заходів безпеки в зоні «Фізичного контролю»
  • 34 заходи безпеки в зоні «Технологічний контроль»

Незважаючи на скорочену кількість заходів безпеки, фактично видалено лише елемент керування «Вилучення активів». Оптимізація пов’язана з тим, що 24 заходи безпеки з існуючих засобів контролю були об’єднані та реструктуризовані для більш цілеспрямованого досягнення цілей захисту. Ще 58 заходів безпеки були переглянуті та адаптовані відповідно до сучасних вимог.

Нова редакція ISO 27002 дає менеджерам з інформаційної безпеки точне уявлення про зміни, які стануть новим стандартом сертифікації з новою редакцією ISO 27001.

Маркус Єгелька DQS експерт і аудитор з інформаційної безпеки

Нові заходи безпеки

Крім того, і це, мабуть, найцікавіша частина оновлення, ISO 27002 було розширено 11 додатковими заходами безпеки в новій версії. Жоден із цих заходів не стане несподіванкою для експертів із безпеки, але разом узяті вони надсилають потужний сигнал і допомагають компаніям своєчасно озброїти свої організаційні структури та архітектури безпеки проти поточних і майбутніх сценаріїв загроз.

Нові заходи:

Інтелект загроз

Отримання, консолідація та аналіз поточних даних про загрози дозволяє організаціям залишатися в курсі загроз у середовищі, що стає все більш динамічним і розвивається. У майбутньому аналіз інформації про атаку на основі доказів відіграватиме ключову роль в інформаційній безпеці для розробки найкращих стратегій захисту.

Інформаційна безпека використання хмарних сервісів

Сьогодні багато організацій покладаються на хмарні сервіси. З цим з’являються нові вектори атаки та супутні зміни та значно більші поверхні атаки. У майбутньому компаніям доведеться розглянути відповідні заходи захисту для їх впровадження, використання, адміністрування та зробити їх обов’язковими у своїх договірних правилах із постачальниками хмарних послуг.

Готовність ICT до безперервності бізнесу

Наявність інформаційно-комунікаційних технологій (ІКТ - ICT) та їх інфраструктури має важливе значення для ведення бізнесу в компаніях. Основою стійких організацій є заплановані цілі забезпечення безперервності бізнесу та вимоги до безперервності діяльності ІКТ, отримані, реалізовані та перевірені з них. Вимоги до своєчасного технічного відновлення ІКТ після збою встановлюють життєздатні концепції безперервності бізнесу.

Моніторинг фізичної безпеки

Зломи, під час яких конфіденційні дані або носії даних викрадаються з компанії або скомпрометовані, становлять значний ризик для компаній. Системи технічного контролю та моніторингу довели свою ефективність у стримуванні потенційних зловмисників або негайному виявленні їх вторгнення. У майбутньому це будуть стандартні компоненти цілісних концепцій безпеки для виявлення та запобігання несанкціонованому фізичному доступу.

Управління конфігурацією

Зловмисники можуть використовувати неправильно налаштовані системи, щоб отримати доступ до критичних ресурсів. Хоча раніше систематичне керування конфігурацією було недостатньо представлене як підмножина керування змінами, зараз зосереджено на ньому як на самостійному заході безпеки. Воно вимагає від організацій контролювати правильну конфігурацію апаратного забезпечення, програмного забезпечення, послуг і мереж, а також відповідним чином посилювати свої системи.

Видалення інформації

Оскільки Загальний регламент захисту даних (General Data Protection Regulation) набув чинності, організації повинні мати відповідні механізми для видалення персональних даних за запитом і гарантувати, що вони не зберігаються довше, ніж це необхідно. Ця вимога поширюється на всю інформацію в ISO 27002. Конфіденційну інформацію не слід зберігати довше, ніж це необхідно, щоб уникнути ризику небажаного розголошення.

Loading...

Керівництво з аудиту DQS для ISO 27001

Цінний досвід

Наше керівництво з аудиту ISO 27001 - Додаток A було створено провідними експертами як практична допомога в застосуванні та ідеально підходить для кращого розуміння вибраних стандартних вимог. Настанова ще не посилається на переглянуту версію ISO 27001, опубліковану 25 жовтня 2022 року.

Маскування даних

Метою цього заходу безпеки є захист конфіденційних даних або елементів даних (наприклад, персональних даних) шляхом маскування, псевдонімізації або анонімізації. Основу для належного впровадження цих технічних заходів забезпечується юридичними, законодавчими, нормативними та договірними вимогами.

Запобігання витоку даних

Потрібні превентивні заходи безпеки, щоб зменшити ризик неавторизованого розголошення та вилучення конфіденційних даних із систем, мереж та інших пристроїв. Потенційні канали неконтрольованого витоку цієї ідентифікованої та секретної інформації (наприклад, електронна пошта, передача файлів, мобільні пристрої та портативні пристрої зберігання даних) слід відстежувати та, якщо необхідно, технічно підтримувати активними запобіжними заходами (наприклад, карантин електронної пошти).

Моніторингова діяльність

Системи моніторингу аномалій у мережах, системах і програмах тепер є частиною стандартного репертуару ІТ-відділів. Подібним чином вимога використовувати системи для виявлення атак знайшла свій шлях до чинних правових і нормативних вимог. Постійний моніторинг, автоматичний збір і оцінка відповідних параметрів і характеристик поточних ІТ-операцій є обов’язковими для проактивного кіберзахисту і розвиток технології в цій галузі буде продовжено.

Web-фільтрація

Багато ненадійних веб-сайтів заражають відвідувачів шкідливим програмним забезпеченням або зчитують їхні особисті дані. Розширене фільтрування URL-адрес можна використовувати для автоматичного фільтрування потенційно небезпечних веб-сайтів для захисту кінцевих користувачів. Заходи безпеки та рішення для захисту від шкідливого вмісту на зовнішніх веб-сайтах є важливими в глобальному діловому світі.

Безпечне кодування

Уразливості у власно розробленому коді або компонентах з відкритим кодом є небезпечною точкою атаки, що дозволяє кіберзлочинцям легко отримати доступ до критично важливих даних і систем. Сучасні інструкції з розробки програмного забезпечення, автоматизовані процедури тестування, процедури випуску змін коду, управління знаннями для розробників, а також добре продумані стратегії виправлення та оновлення значно підвищують рівень захисту.

Атрибути та значення атрибутів

Ще одне нововведення було вперше впроваджено в ISO 27002:2022, щоб допомогти менеджерам із безпеки орієнтуватися в широкому наборі заходів: у додатку A стандарту п’ять атрибутів із пов’язаними значеннями атрибутів зберігаються для кожного показника.

Атрибути та значення атрибутів:

Типи контролю

  • Тип елемента керування — це атрибут для перегляду елементів керування з точки зору того, коли та як засіб керування змінює ризик, пов’язаний із виникненням інциденту інформаційної безпеки.
  • #preventive #detective #corrective

Властивості захисту інформації

  • Властивості інформаційної безпеки — це атрибут, який можна використовувати для перегляду елементів керування з точки зору того, яку ціль захисту призначений для підтримки елемента керування.
  • #Confidentiality #Integrity #Availability

Концепції кібербезпеки

  • Концепції кібербезпеки розглядають елементи керування з точки зору відображення засобів керування структурою кібербезпеки, описаною в ISO/IEC TS 27110.
  • #Identify Protect Detect Respond Recover

Оперативні можливості

  • Операційні можливості розглядають елементи керування з точки зору їх можливостей безпеки операційної інформації та підтримують практичний погляд користувача на елементи керування.
  • #Application security #Asset management #Continuity #Data protection #Governance #Human resource security #Identity and access management #Information security event management #Legal and compliance #Physical security #Secure configuration #Security assurance #Supplier relationships security #System and network security #Threat and vulnerability management

Безпека доменів

  • Домени безпеки — це атрибут, який можна використовувати для перегляду елементів керування в перспективі чотирьох доменів інформаційної безпеки
  • #Governance_and_Ecosystem #Protection #Defence #Resilience

 

Значення атрибутів, позначені хеш-тегами, призначені для того, щоб менеджерам із безпеки було легше зорієнтуватися в широкому каталозі заходів у стандартному посібнику, а також здійснювати їх цілеспрямований пошук і оцінку.

Зміни в ISO 27002: Висновок

Нова редакція ISO 27002 надає менеджерам з інформаційної безпеки точне уявлення про зміни, які стануть новим стандартом сертифікації з новою редакцією ISO 27001. У той же час інновації залишаються в керованих рамках: реструктуризація каталогу заходів робить стандарт більш прозорим і, безсумнівно, є кроком у правильному напрямку з огляду на зростання складності та зменшення прозорості архітектур безпеки. Нещодавно включені заходи також не будуть несподіванкою для досвідчених експертів з безпеки та значно модернізують застарілий стандарт ISO.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Сертифікація згідно ISO 27001

Скільки зусиль потрібно докласти, щоб отримати сертифікацію СУІБ відповідно до ISO 27001? Отримайте інформацію безкоштовно та без зобов'язань.

Ми з нетерпінням чекаємо на спілкування з вами.

Що оновлення означає для вашої сертифікації


ISO/IEC 27001:2022 було опубліковано 25 жовтня 2022 р. Це призводить до наступних кінцевих термінів і часових рамок для користувачів для переходу:

Остання дата первинних/повторних сертифікаційних аудитів відповідно до «старого» ISO 27001:2013

  • Після 30 квітня 2024 року DQS проводитиме первинні та ресертифікаційні аудити лише відповідно до нового стандарту ISO/IEC 27001:2022.

Перехід усіх існуючих сертифікатів за «старим» ISO/IEC 27001:2013 на новий ISO/IEC 27001:2022

  • З 31 жовтня 2022 року діє 3-річний перехідний період
  • Сертифікати, видані відповідно до ISO/IEC 27001:2013 або DIN EN ISO/IEC 27001:2017, дійсні щонайпізніше до 31 жовтня 2025 року або мають бути відкликані в цю дату.

DQS: Simply leveraging Quality

Наші сертифікаційні аудити дають вам ясність. Цілісний, нейтральний погляд ззовні на людей, процеси, системи та результати показує, наскільки ефективною є ваша система управління, як вона реалізована та освоєна. Для нас важливо, щоб ви сприймали наш аудит не як перевірку, а як збагачення вашої системи управління.

Наша претензія завжди починається там, де закінчуються контрольні списки перевірок. Ми конкретно запитуємо «чому», тому що хочемо зрозуміти мотиви, які спонукали вас обрати певний шлях реалізації. Ми зосереджуємося на потенціалі для вдосконалення та заохочуємо змінити погляд. Таким чином ви можете визначити варіанти дій, за допомогою яких ви зможете постійно вдосконалювати свою систему управління.

Автор
Андре Секель

Менеджер з продуктів у DQS з управління інформаційною безпекою. Як експерт із стандартів у сфері інформаційної безпеки та каталогу ІТ-безпеки (критичні інфраструктури), Андре Секель відповідає за такі стандарти та галузеві стандарти, серед іншого: ISO 27001, ISIS12, ISO 20000-1, KRITIS та TISAX (інформаційна безпека в автомобільній промисловості). Він також є членом робочої групи ISO/IEC JTC 1/SC 27/WG 1 як національний делегат Німецького інституту стандартизації DIN.

Loading...