25 октября 2022 года был выпущен новый стандарт системы управления информационной безопасностью ISO 27001.
ISO/IEC 27001 является одним из самых известных в мире стандартов управления информационной безопасностью, поскольку он перешёл из сферы кибербезопасности в мир бизнеса.
Стандарт давно нуждался в изменениях, поскольку он не претерпел существенных обновлений с 2013 года. В 2017 году были внесены незначительные поправки, но в основном это были структурные или грамматические обновления.
В 2022 году стандарт получил кардинальные изменения, начиная с названия:
- Старое название:
Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования;
- Новое название:
Информационная безопасность, кибербезопасность и защита конфиденциальности – Системы управления информационной безопасностью – Требования;
Новый стандарт ISO27001 касается 3-ёх вещей: информационной безопасности, кибербезопасности и конфиденциальности. Уже давно ведутся споры о том, является ли кибербезопасность подмножеством информационной безопасности или это одно и то же. Название ISO27001 четко указывает, что компании должны быть обеспокоены тремя аспектами безопасности.
Изменения включают:
- новое требование к планированию изменений в СМИБ (Система менеджмента информационной безопасности) (п. 6.3);
- 114 элементов управления были сокращены до 93 (Приложение А);
- 14 областей управления были сокращены до 4 (организационная, кадровая, физическая, техническая);
- 58 обновленных средств контроля (Приложение А);
- 24 объединенных средств контроля (Приложение А);
- 11 новых средств контроля (Приложения А);
- Новый раздел “атрибуты” в элементах управления (Приложение А).
За исключением одного ключевого элемента, фактический текст СМИБ не сильно изменился. Но даже это изменение весьма существенно. Изменение здесь заключается в п. 6.3 “Планирование изменений”, где требование звучит так: “Когда организация определяет необходимость изменений в системе управления информационной безопасностью, изменения должны выполняться в плановом порядке”.
Это явный признак того, что, если вы планируете изменения в СМИБ, вам необходимо продемонстрировать, что эти изменения структурированы и спланированы, и вы можете представить доказательства этого. Это может быть график, показывающий, где заранее запланированы изменения в СМИБ, или что они являются предметом ваших внутренних процессов управления изменениями, возможно, с комитетом по аудиту или консультативным советом по изменениям, наблюдающим за такими изменениями.
Наиболее существенные изменения коснулись Приложения А.
Приложение А – “Атрибуты”
Новый стандарт получил новый раздел “Атрибуты”, в котором говорится:
“Организация может использовать атрибуты для создания различных представлений – разные категории элементов управления. Атрибуты можно использовать для фильтрации, сортировки или представления элементов управления для разных аудиторий”. (ISO27001:2022 – 4.2 Темы и атрибуты).
Существует 5 атрибутов с соответствующими значениями (перед значениями указан символ “#”, чтобы его можно было легко найти):
- Тип управления (Control Type) #Preventative;
- Свойства информационной безопасности (Information Security Properties) #Confidentiality, #Integrity, #Availability;
- Концепции кибербезопасности (Cybersecurity Concepts) #Identify;
- Операционные возможности (Operational Capabilities) #Governance;
- Домены безопасности (Security Domains) #Governance and Ecosystem, #Resilience.
Использование атрибутов позволяет выборочно использовать элементы управления Приложения А в зависимости от аудитории и потребностей. Атрибуты и их значения позволяют вам ссылаться на элементы управления Приложения А в другие структуры управления, такие как NIST, так же легко, как на них можно ссылаться в бизнес-операциях.
У организаций и консультантов есть время на изучение изменений до 2025 года – потом последуют следующие изменения и обновления стандарта. Сейчас организации могут оценить влияние, которое могут оказать изменения стандарта, и преимущества, которые они приносят.