Стандарт ISO/IEC 27001 обновлён. Что нового?

25 октября 2022 года был выпущен новый стандарт системы управления информационной безопасностью ISO 27001.

ISO/IEC 27001 является одним из самых известных в мире стандартов управления информационной безопасностью, поскольку он перешёл из сферы кибербезопасности в мир бизнеса.

Стандарт давно нуждался в изменениях, поскольку он не претерпел существенных обновлений с 2013 года. В 2017 году были внесены незначительные поправки, но в основном это были структурные или грамматические обновления.

В 2022 году стандарт получил кардинальные изменения, начиная с названия:

• Старое название:

Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования;

• Новое название:

Информационная безопасность, кибербезопасность и защита конфиденциальности – Системы управления информационной безопасностью – Требования;

Новый стандарт ISO27001 касается 3-ёх вещей: информационной безопасности, кибербезопасности и конфиденциальности. Уже давно ведутся споры о том, является ли кибербезопасность подмножеством информационной безопасности или это одно и то же. Название ISO27001 четко указывает, что компании должны быть обеспокоены тремя аспектами безопасности.

Изменения включают:

• новое требование к планированию изменений в СМИБ (Система менеджмента информационной безопасности) (п. 6.3);
• 114 элементов управления были сокращены до 93 (Приложение А);
• 14 областей управления были сокращены до 4 (организационная, кадровая, физическая, техническая);
• 58 обновленных средств контроля (Приложение А);
• 24 объединенных средств контроля (Приложение А);
• 11 новых средств контроля (Приложения А);
• Новый раздел «атрибуты» в элементах управления (Приложение А).

За исключением одного ключевого элемента, фактический текст СМИБ не сильно изменился. Но даже это изменение весьма существенно. Изменение здесь заключается в п. 6.3 «Планирование изменений», где требование звучит так: «Когда организация определяет необходимость изменений в системе управления информационной безопасностью, изменения должны выполняться в плановом порядке».

Это явный признак того, что, если вы планируете изменения в СМИБ, вам необходимо продемонстрировать, что эти изменения структурированы и спланированы, и вы можете представить доказательства этого. Это может быть график, показывающий, где заранее запланированы изменения в СМИБ, или что они являются предметом ваших внутренних процессов управления изменениями, возможно, с комитетом по аудиту или консультативным советом по изменениям, наблюдающим за такими изменениями.

Наиболее существенные изменения коснулись Приложения А.

Приложение А – «Атрибуты»

Новый стандарт получил новый раздел «Атрибуты», в котором говорится:

«Организация может использовать атрибуты для создания различных представлений – разные категории элементов управления. Атрибуты можно использовать для фильтрации, сортировки или представления элементов управления для разных аудиторий». (ISO27001:2022 – 4.2 Темы и атрибуты).

Существует 5 атрибутов с соответствующими значениями (перед значениями указан символ «#», чтобы его можно было легко найти):

1. Тип управления (Control Type) #Preventative;
2. Свойства информационной безопасности (Information Security Properties) #Confidentiality, #Integrity, #Availability;
3. Концепции кибербезопасности (Cybersecurity Concepts) #Identify;
4. Операционные возможности (Operational Capabilities) #Governance;
5. Домены безопасности (Security Domains) #Governance and Ecosystem, #Resilience.

Использование атрибутов позволяет выборочно использовать элементы управления Приложения А в зависимости от аудитории и потребностей. Атрибуты и их значения позволяют вам ссылаться на элементы управления Приложения А в другие структуры управления, такие как NIST, так же легко, как на них можно ссылаться в бизнес-операциях.

У организаций и консультантов есть время на изучение изменений до 2025 года – потом последуют следующие изменения и обновления стандарта. Сейчас организации могут оценить влияние, которое могут оказать изменения стандарта, и преимущества, которые они приносят.