Вплив останніх оновлень ISO 27001 на дотримання вимог

Огляд

Міжнародна організація зі стандартизації (ISO) оголосила про випуск оновленої версії стандарту ISO 27001 25 жовтня 2022 року. Ці зміни відображають зміни в керівництві структури СУІБ, призначене для підвищення рівня безпеки компанії та захисту від постійного зростання кібератак і витоків даних. 

Які ключові зміни?

Основні пункти

Переглядаючи зміни ISO/IEC 27001:2022 внесені до пунктів 4-10, зазначимо наступне:

  • У пункті 4.2 додано нову вимогу «Розуміння потреб та очікувань зацікавлених сторін».
  • Стаття 6.2 «Цілі інформаційної безпеки та планування їх досягнення» вводить дві нові вимоги, які містять моніторинг цілей інформаційної безпеки та забезпечення їхньої доступності у вигляді документованої інформації.
  • Пункт 6.3 «Планування змін» є новою вимогою стандарту ISO/IEC 27001:2022. При визначенні необхідності внесення змін до СУІБ організація повинна здійснити ці зміни в плановому порядку.
  • У пункті 8.1 додано вимогу до організацій планувати, впроваджувати та контролювати процеси, необхідні для виконання вимог, а також виконувати дії, визначені в пункті 6.
Домени

ISO реструктуризував домени, представлені в стандарті ISO 27001, замінивши 14 розділів, які були раніше, наступними чотирма розділами та двома новими додатками. В результаті кількість засобів контролю інформаційної безпеки зменшилася зі 114 до 93.

Нові розділи
  • Організаційний контроль (37) — тепер домен 5
  • Управління персоналом (8) —тепер домен 6
  • Фізичний контроль (14) — тепер домен 7
  • Технологічний контроль (34) — тепер домен 8
Нові додатки
  • Додаток A, стислий виклад вказівок щодо застосування атрибутів до елементів керування, детально описаних у нових доменах 5-8, і
  • Додаток B, забезпечує зворотну сумісність між елементами керування ISO/IEC 27002:2022 та ISO/IEC 27002:2013, щоб допомогти організаціям перейти на поточний стандарт.
Елементи керування

Також були введені наступні 11 контрольних тем. Тепер ці нові засоби контролю, які цілісно класифікуються як людські, фізичні, технологічні або організаційні, містять:

  • Розвідка загроз (5.7)
  • Інформаційна безпека для використання хмарних сервісів (5.23)
  • Готовність Інформаційно-комунікаційних технологій до безперервності бізнесу (5.30)
  • Моніторинг фізичної безпеки (7.4)
  • Управління конфігурацією (8.9)
  • Видалення інформації (8.10)
  • Маскування даних (8.11)
  • Запобігання витоку даних (8.12)
  • Моніторингова діяльність (8.16)
  • Вебфільтрація (8.22)
  • Безпечне кодування (8.28)
Нижче наведено основні висновки з оновлень рівня контролю ISO 27002:
1 11 нових контролів надають організаціям можливість здійснювати конкретний контроль відповідно до технологічного прогресу і у відповідь на збільшення зон ризику, що відображають зміни в галузі безпеки з 2013 року. Раніше ці дії могли бути визнані в зоні, спеціально не призначеній для контролю.
2 Структура 2022 року містить 24 екземпляри контрольної нумерації, які об'єднали кілька елементів керування зі структури 2013 року. Це ефективно зменшило надмірність, об'єднавши подібні елементи керування, спрямовані на певну мету. Приклад: попередні контролі 9.2.4, 9.3.1, 9.4.3 були об'єднані в структурний контроль 2022 року 5.17 (інформація про автентифікацію). Консолідація має сенс, оскільки застарілі елементи керування однаково стосуються аспектів безпеки паролів, які логічно пов'язані.
3

З 2013 року є 58 елементів керування, які були перенумеровані, щоб відповідати 4-м новим темам класифікації 2022 року. Ці елементи керування 2022 року залишаються узгодженими з попередніми інструкціями.
Дати набуття чинності та перехід

Нижче наведено ключові дати перехідного періоду, визначені керівництвом Міжнародного форуму з акредитації (IAF) за серпень 2022 року.  

4/30/2023

Органи з акредитації/аудитори повинні бути готові до оцінки відповідно до стандарту ISO 27001:2022..  

10/31/2023

Організації, які бажають отримати початкову сертифікацію ISO 27001, повинні будуть прийняти новий стандарт.

4/30/2024

Усі наявні сертифіковані клієнти ISO/IEC 27001:2013 повинні пройти аудит (нагляд або ресертифікаційний аудит) на відповідність стандарту ISO/IEC 27001:2022.

10/31/2025

Організації з активною сертифікацією ISO 27001 повинні будуть перейти на новий стандарт. Термін дії всіх сертифікатів ISO 27001:2013, виданих після 31 жовтня 2022 року, закінчується 31 жовтня 2025 року.
Наша перспектива

Оновлення структури ISO 27001 забезпечує найбільш значний вплив завдяки оптимізації та реорганізації знайомих елементів керування Додатку А в чотири загальні категорії — організаційний, людський, фізичний та технологічний контроль.

Для більшості організацій, які мають надійні програми та засоби контролю управління ризиками безпеки, це значною мірою буде питанням оновлення мови контролю, зіставлень, оцінок ризиків, внутрішніх аудитів і документації для розгляду нових оновлень положень та елементів керування Додатку А. Це також може бути гарною можливістю по-новому поглянути на структуру та структуру контролю компанії.

Ті, хто також сертифікує за стандартами ISO 27701, ISO 27017 та ISO 27018, все одно повинні пам'ятати про ISO 27001:2013, оскільки поточні версії цих стандартів все ще посилаються, містять і ґрунтуються на його змісті.

Для організацій, які є новими в ISO або мають менш розвинену програму безпеки, може бути корисно провести повний аналіз прогалин на основі нових контролів Додатку A, перш ніж приступити до сертифікаційного аудиту.

Як сертифікований оцінювач ISO 27001, BDO може допомогти визначити, як ці зміни можуть вплинути на інфраструктуру кібербезпеки вашої компанії, і розробити своєчасний план впровадження, щоб допомогти забезпечити відповідність.

Наші фахівці можуть допомогти на кожному етапі аудиторського процесу, зокрема:

  • Первинна документація та бланки
  • Подання плану аудиту
  • Проведення первинного сертифікаційного аудиту
  • Заповнення аудиторського звіту
  • Рішення про сертифікацію
  • Підтримка сертифікації

Кожен із цих процесів атестації третьою стороною допомагає компанії оцінити та вдосконалити контроль інформаційної безпеки та здатність зменшити ризик кіберзагроз. Крім того, отримані звіти незалежного аудитора можуть бути передані третім сторонам, щоб допомогти вирішити їхні проблеми безпеки.

 

Джерело: BDO USA