ISO 27001 – провідний світовий стандарт інформаційної безпеки, який включає вимоги для створення системи менеджменту інформаційної безпеки (СМІБ). Наприкінці 2022 року Міжнародна організація зі стандартизації опублікувала нову версію стандарту ISO/IEC 27001:2022. Основна частина змін полягає в тому, що пункти додатка А були згруповані інакше або перейменовані. Також додалися нові елементи.

Основні зміни ISO/IEC 27001:2022:

  • Помірковано змінилися заходи безпеки Додатка А;
  • Кількість органів управління зменшилася зі 114 до 93;
  • Елементи управління розміщені у 4 секціях замість колишніх 14;
  • Додано 11 нових елементів керування, але жоден елемент не був видалений, багато об’єдналися;

Основні зміни ISO/IEC 27001:2022:

Зміни у пунктах 4-10

Основні зміни зачіпають планування та визначення критеріїв процесу, а також моніторингу.

Пункт 4.2. Розуміння потреб та очікувань заінтересованих сторін: З’явився новий підпункт, що вимагає аналізу вимог заінтересованих сторін, які задовольнятимуться за допомогою ЗМІБ.

Пункт 4.4. Система управління інформаційною безпекою: Додано нове формулювання, яке вимагає, щоб ЗМІБ включала процеси, що лежать в основі ЗМІБ. Тобто не лише ті, що вказані у стандарті.

Пункт 6.2. Цілі інформаційної безпеки та планування їх досягнення: Включає додаткові рекомендації щодо цілей інформаційної безпеки. Це дає більше ясності щодо того, як цілі мають контролюватись та документуватися.

Пункт 6.3. Планування змін: Цей пункт додано для встановлення стандарту планування змін. Тобто якщо у ЗМІБ будуть потрібні зміни, вони мають бути правильно сплановані.

Пункт 8.1. Оперативне планування та контроль: З’явився додатковий посібник з оперативного планування та контролю.

Додаткові незначні зміни в цих пунктах включають:

Пункт 5.3. Організаційні ролі, обов’язки та повноваження: Інформація про ролі, що стосуються інформаційної безпеки, повинна повідомлятися всередині організації.

Пункт 7.4. Комунікація: Підпункти D та E були спрощені та об’єднані.

Пункт 9.2. Внутрішній аудит: Він об’єднав те, що вже існувало між пунктами 9.2.1 та 9.2.2 в один розділ.

Пункт 9.3. Аналіз з боку керівництва: Додано новий пункт, який пояснює, що аналіз з боку керівництва організації повинен включати розгляд будь-яких змін у потребах та очікуваннях зацікавлених сторін.

Пункт 10 Поліпшення. Тут відбулися лише структурні зміни: постійне покращення (10.1) перераховують першим, а невідповідність та коригувальні дії (10.2) – другим.

Зміни у структурі управління Додатка А

В ISO 27001:2022 також внесено структурні зміни в елементи управління Додатка А..

  • 11 нових елементів керування
  • 57 елементів керування об’єднані
  • 23 елементи управління перейменовані
  • 3 елементи керування видалені

У новому оновленні елементи керування розміщені у чотирьох темах:

  • Управління людьми (8 елементів)
  • Організаційні засоби контролю (37 елементів)
  • Технологічний контроль (34 елементи)
  • Фізичні елементи керування (14 елементів)

Нові засоби контролю у Додатку A

A.5.7 Аналітика загроз. Цей елемент управління вимагає від організацій збору та аналізу інформації про загрози, щоб вони могли вжити заходів для зниження ризику.

A.5.23 Інформаційна безпека використання хмарних служб. Елемент наголошує на необхідності підвищення інформаційної безпеки у хмарі та вимагає встановлення стандартів безпеки для хмарних служб та наявності процесів та процедур спеціально для хмарних служб.

A.5.30 Готовність ІКТ до безперервності бізнесу. Цей елемент вимагає забезпечення можливості відновлення/використання інформаційних та комунікаційних технологій у разі збоїв.

A.7.4 Моніторинг фізичної безпеки. Тут йдеться про те, що організації повинні контролювати чутливі фізичні галузі (центри обробки даних, виробничі об’єкти тощо), щоб забезпечити доступ до них лише авторизованих людей, щоб організація була обізнана у разі порушення.

A.8.9 Керування конфігурацією. Цей елемент про те, щоб організація керувала конфігурацією своєї технології, щоб забезпечити її безпеку та уникнути несанкціонованих змін.

A.8.10 Видалення інформації. Тут потрібно видалити дані, коли вони більше не потрібні, щоб уникнути витоку конфіденційної інформації та дотримуватися вимог конфіденційності.

A.8.11 Маскування даних. Цей елемент керування вимагає, щоб організації використовували маскування даних відповідно до політики керування доступом організації для захисту конфіденційної інформації.

A.8.12 Запобігання витоку даних. Елемент вимагає від організацій реалізації заходів щодо запобігання витоку даних та розкриття конфіденційної інформації із систем, мереж та інших пристроїв.

A.8.16 Моніторинг дій. Тут йдеться про моніторинг систем щодо незвичайних дій та впровадження відповідних процедур реагування на інциденти.

A.8.23 Веб-фільтрація. Цей елемент керування вимагає, щоб організації керували доступом користувачів до веб-сайтів для захисту систем IT.

A.8.28 Безпечне кодування. Цей елемент про те, що принципи безпечного кодування мають бути встановлені в рамках процесу розробки програмного забезпечення організації, щоб зменшити вразливість безпеки.

Що робити з ISO/IEC 27001:2013?

Підбиваючи підсумки, можна сказати, що зміни в основній частині стандарту невеликі і можуть бути відтворені досить швидко. Зміни у Додатку А – помірні, та його, загалом, можна усунути, додавши нові засоби управління вже існуючу документацію.

Сертифікація ISO 27001:2013 все ще дозволена до 30 квітня 2024 року. Однак, будь-яка компанія, сертифікована на даний час за стандартом, має перейти на нову версію до 31 жовтня 2025 року.