All about the IT industry

ISO/IEC 27001:2022

Эволюция информационной безопасности: Обзор ключевых изменений в ISO/IEC 27001:2022

Введение нового стандарта ISO/IEC 27001:2022 стало значительным событием в мире информационной безопасности. Хотя основополагающие принципы и структура системы менеджмента информационной безопасности (СМИБ) остались неизменными, стандарт претерпел важные точечные updates, чтобы оставаться актуальным в условиях современных киберугроз. Эта статья подробно разберет, что изменилось при переходе с версии 2013 года на версию 2022.

Ключевой вывод: Революции нет, но есть стратегическая эволюция

Главное, что нужно понять: ISO/IEC 27001:2022 не отменяет принципы версии 2013 года. Организации, чья СМИБ сертифицирована по старому стандарту, имеют переходный период (обычно три года с момента публикации) для приведения ее в соответствие с новыми требованиями. Большинство изменений являются логичным развитием, а не полным пересмотром.

1. Наиболее значимое изменение: Обновление Приложения A (Annex A)

Это самое масштабное и обсуждаемое изменение. Приложение A, содержащее список объектов контроля (мер безопасности), было полностью переработано, чтобы лучше отражать современный ландшафт угроз.

Что было в 2013 году?

  • 114 объектов контроля, сгруппированных в 14 разделов (A.5-A.18).
  • Группировка в основном по тематическим областям (политики, человеческие ресурсы, управление активами и т.д.).

Что стало в 2022 году?

  • 93 объекта контроля, сгруппированных в 4 тематические области.
  • Сокращение числа контролей достигнуто за счет объединения дублирующихся и устранения устаревших.

Новая структура Приложения A:

  1. Организационные controls (A.5 — 37 controls). Фокус на управлении, политиках, атрибуции ролей и ответственности.
  2. Людские controls (A.6 — 8 controls). Управление безопасностью, связанной с персоналом (до найма, во время и после увольнения).
  3. Физические controls (A.7 — 14 controls). Защита физических активов: оборудование, периметр, безопасность помещений.
  4. Технологические controls (A.8 — 34 controls). Технические меры защиты: кибербезопасность, управление доступом, шифрование, резервное копирование.

Примеры новых и измененных контролей:

  • A.5.7 Угрозы информационной безопасности – Появилась необходимость систематического мониторинга и анализа угроз.
  • A.5.23 Безопасность использования облачных сервисов – Прямое указание на необходимость управления рисками при работе с облачными провайдерами.
  • A.5.30 ИТ-аварийное восстановление (IT DR) – Выделение аварийного восстановления ИТ-инфраструктуры в отдельный контроль, с акцентом на регулярное тестирование планов.
  • A.8.9 Безопасность разработки, жизненный цикл – Усилен фокус на безопасности throughout жизненного цикла разработки (DevSecOps).
  • A.8.10 Управление уязвимостями – Более четкие требования к мониторингу, оценке, приоритизации и устранению уязвимостей.
  • A.8.28 Сбор доказательств (Forensics) – Новый контроль, подчеркивающий важность сохранения цифровых доказательств для последующего расследования.
  • A.8.12 Данные о защите (Data Leakage Prevention) – Контроль, направленный на предотвращение утечки конфиденциальных данных.

2. Изменения в основном тексте стандарта (Clauses 4-10)

Хотя структура «HS» (High-Level Structure) осталась прежней, некоторые формулировки были уточнены для лучшего понимания и интеграции с другими стандартами.

  • Пункт 4.2 Понимание потребностей и ожиданий заинтересованных сторон: Требования стали более явными. Организация должна не просто определить заинтересованные стороны, но и проанализировать, какие их требования относятся к СМИБ.
  • Пункт 4.4 и 6.1 Действия по обработке рисков и возможностей: Усилена связь между контекстом организации, рисками и возможностями. Теперь яснее, что процесс управления рисками информационной безопасности должен быть неразрывно связан с общими бизнес-рисками.
  • Пункт 6.3 Планирование изменений: Добавлено явное требование о том, что любые изменения в СМИБ должны планироваться систематически. Это повышает устойчивость системы.
  • Пункт 8.1 Операционное планирование и контроль: Требования к управлению аутсорсингом стали более структурированными. Организация должна гарантировать, что процессы, переданные внешним провайдерам, также соответствуют требованиям СМИБ.

3. Гармонизация с ISO/IEC 27002:2022

ISO/IEC 27001:2022 и ISO/IEC 27002:2022 теперь полностью синхронизированы. Второй стандарт является руководством по внедрению контролей из Приложения A. В нем для каждого контроля представлены:

  • Атрибуты контроля: Это нововведение, которое позволяет фильтровать и структурировать controls по 5 параметрам:
    1. Тип контроля (Предотвращающий, Обнаруживающий, Корректирующий).
    2. Характер контроля (Организационный, Технический, Физический, Правовой).
    3. Концепции информационной безопасности (Конфиденциальность, Целостность, Доступность, Подотчетность).
    4. Сферы операционной деятельности (Защита, Обнаружение, Реагирование, Восстановление).
    5. Кибербезопасные концепции (Идентификация, Защита, Обнаружение, Реагирование, Восстановление — в соответствии с框架 NIST CSF).

Практические шаги для перехода на ISO/IEC 27001:2022

  1. Обучение и осведомленность: Ознакомьте ключевых сотрудников и руководство с новыми требованиями.
  2. Анализ различий (Gap Analysis): Проведите детальный анализ вашей текущей СМИБ на соответствие новой версии стандарта. Особое внимание уделите обновленному Приложению A.
  3. Обновление «Заявления о применимости» (SoA): Пересмотрите и обновите ваш SoA, добавив новые controls и исключив/объединив старые. Обоснуйте их применимость или неприменимость.
  4. Обновление документации: Внесите изменения в политики, процедуры, методики управления рисками, чтобы они отражали обновленные требования (например, управление облачной безопасностью, мониторинг угроз).
  5. Внедрение новых controls: Реализуйте на практике новые необходимые меры безопасности.
  6. Внутренний аудит: Проведите внутренний аудит на соответствие обновленной версии стандарта.
  7. Контакт с органом по сертификации: Согласуйте с вашим органом по сертификации план перехода на новую версию во время следующего надзорного аудита или ресертификации.

Заключение

Переход на ISO/IEC 27001:2022 — это не просто формальность, а возможность укрепить и модернизировать вашу систему информационной безопасности. Новый стандарт делает СМИБ более гибкой, релевантной и интегрированной в общие бизнес-процессы. Он адекватно отвечает на вызовы цифровой трансформации, такие как массовый переход в облака, усиление регулирования и усложнение кибератак.

Своевременное и грамотное обновление СМИБ в соответствии с ISO/IEC 27001:2022 не только позволит сохранить сертификат, но и повысит реальную устойчивость организации к современным угрозам.

smiren

,

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *