Нова версія стандарту ISO/IEC 27001:2022: що варто знати?

Нова версія стандарту ISO/IEC 27001:2022: що варто знати?

11.08.2023
Стандарт ISO/IEC 27001 є необхідним для підприємств будь-якого розміру та всіх галузей діяльності, оскільки він служить посібником із розробки, впровадження, підтримки та постійного вдосконалення систем управління інформаційною безпекою.Хто цікавиться цією темою, той вже чув важливу новину – вийшла нова версія стандарту ISO/IEC 27001.
У цій статті ми розповімо про те, що з’явилося в оновленій версії стандарту ISO/IEC 27001:2022, яка вийшла в світ у жовтні 2022 року.Каталог засобів контролю безпеки був опублікований ще в лютому 2022 року, що свідчить про те, що зміни до переліку в новому стандарті були передбачені заздалегідь.
ISO/IEC 27001:2022 загалом описує структуру системи управління інформаційною безпекою (СУІБ) для компаній будь-якого розміру та всіх галузей діяльності.Система управління інформаційною безпекою (СУІБ) набуває ключового значення завдяки актуальності для багатьох компаній питань управління ризиками. З майже щоденною появою нових кіберзагроз та постійними змінами, компаніям, які прагнуть захистити свої бізнес-процеси та інформацію, важливо вміти ідентифікувати такі ризики та ефективно керувати ними.
В оновленому стандарті особлива увага приділяється найкращим практикам управління ризиками. Перелік засобів контролю інформаційної безпеки, який міститься в нормативному Додатку А нової версії ISO/IEC 27001:2022, повністю базується на переглянутому керівництві ISO/IEC 27002:2022.
Що нового в стандарті ISO 27001:2022? Про які зміни варто знати?
Розглянемо основне. І почнемо з того, що були зроблені зміни в системі управління.Текст обов'язкових пунктів із 4 по 10 змінився лише частково, в основному для приведення у відповідність до ISO 9001, ISO 14001 та інших стандартів систем управління. 
Пункти ISO 27001:2022, які зазнали змін:● 4.2 Розуміння потреб та очікувань зацікавлених сторін.Було додано пункт (c), що вимагає аналізу того, які з вимог зацікавлених сторін повинні задовольнятися за допомогою СУІБ.● 4.4 Система управління інформаційною безпекою.Додано фразу, яка потребує планування процесів та їх взаємодії у складі СУІБ.● 5.3 Ролі, обов'язки та повноваження в організації. Було додано фразу, яка пояснює, що обмін ролями здійснюється всередині організації.● 6.2 Мета інформаційної безпеки та планування її досягнення.Додано пункт (d), що вимагає моніторингу цілей.● 6.3 Планування змін.Цей пункт вимагає, щоб будь-які зміни до СУІБ вносилися в плановому порядку.● 7.4 Комунікації.Було вилучено пункт (d), який вимагав процесів для комунікацій.● 8.1 Оперативне планування та контроль.Додані нові вимоги для встановлення критеріїв для процесів безпеки та для реалізації процесів відповідно до цих критеріїв. У цьому ж пункті виключено вимогу щодо реалізації планів щодо досягнення цілей.● 9.3 Перевірка з боку керівництва.Було додано новий пункт 9.3.2 (c), який пояснює, що вхідні дані від зацікавлених сторін мають бути пов'язані з їхніми потребами та очікуваннями та стосуватися СУІБ.● 10 Покращення.Підпункти помінялися місцями, тому перший — «Постійне покращення» (10.1), а другий — «Невідповідність та коригувальні дії» (10.2). Текст цих пунктів не змінився. На перший погляд може здатися, що Додаток А сильно змінився — кількість елементів управління скоротилася зі 114 до 93, і він тепер складається з чотирьох розділів, у порівнянні з 14 розділами у попередній редакції 2013 року. Однак, при ближчому розгляді стає очевидним, що зміни до Додатка А є незначними.Було введено нові елементи - організаційний та фізичний контроль. Хоча жоден елемент керування не був видалений, багато з них було об'єднано, що зменшило загальну кількість елементів керування. Варто зауважити, що тепер хештеги можна використовувати для полегшення пошуку та навігації.
У новому стандарті ISO/IEC 27001:2022 цілі контролю скасували, а засоби контролю переглянули, осучаснили та доповнили. Тобто, перелік засобів контролю у Додатку А став простішим, сучаснішим та згрупованим у чотири основні домени:1. Організаційні заходи контролю (Process and Policies) (включає 37 заходів);2. Персональні заходи контролю (People) (включає 8 заходів);3. Фізичні заходи контролю (Physical) (включає 14 заходів);4. Технічні заходи контролю (Technological) (включає 34 заходи). 
Загалом у Додатку А нової версії ISO 27001:2022 тепер є 93 заходи контролю, до яких додали 11 нових, зокрема:1. Аналітика загроз2. Інформаційна безпека під час використання хмарних сервісів3. Готовність ІТС до забезпечення безперервності бізнесу4. Моніторинг фізичної безпеки5. Управління конфігурацією6. Видалення інформації7. Маскування даних8. Запобігання витоку даних9. Моніторинг активності10. Веб-фільтрація11. Безпечне кодування 
Додаток А обмежується переліком засобів контролю. Але настанова з впровадження ISO/IEC 27002:2022 дає можливості для їхньої класифікації. Кожному засобу контролю дають п’ять атрибутів, які можна використовувати для фільтрування або сортування:Тип засобу контролю. Атрибут, що представляє засоби контролю з тієї точки зору, як вони впливають на ризики для інформаційної безпеки.Властивості інформаційної безпеки. Атрибут для засобу контролю з точки зору того, яка в нього мета. Концепції кібербезпеки. Атрибут, що розглядає засоби контролю по тому, як вони співвідносяться зі структурою кібербезпеки, яку описує стандарт ISO/IEC TS 27110.Операційна спроможність. Атрибут засобів контролю з точки зору їхньої спроможності у сфері інформаційної безпеки. Домени безпеки. Атрибут, що розглядає засоби контролю з точки зору чотирьох доменів інформаційної безпеки. 
Усього чотири основні кроки необхідно зробити, щоб відповідати новим вимогам ISO 27001:2022:● Крок перший - Перегляньте реєстр ризиків та застосовані методи обробки ризиків, щоб забезпечити відповідність переглянутому стандарту.● Крок другий - Перегляньте Заяву про застосування (SoA), щоб привести її у відповідність до оновленого Додатку A.● Крок третій - Перегляньте та оновіть документацію, включаючи політики та процедури, щоб вони відповідали новим вимогам контролю.● Крок четвертий - Пройдіть аудит на відповідність до нової версії стандарту ISO 27001:2022. 
Сертифікація ISO дійсна протягом 3 років, при цьому наглядові аудити потрібні на 2-й та 3-й роки. Наглядові аудити, на відміну від повних системних аудитів, є власне міні-аудитами, які оцінюють, чи залишається система управління сертифікованого клієнта сумісною з ISO 27001.
Що буде з тими компаніями, які вже пройшли сертифікацію за старою версією ISO27001:2013?
Немає приводу для занепокоєння, оскільки стару версію стандарту можна використовувати до 31 жовтня 2025 року. Після цієї дати будь-який аудит ISO 27001 повинен базуватися на новій версії.Усі, хто планують сертифікуватися найближчим часом, можуть отримувати сертифікат за старим стандартом до 30.04.2024, але в перший рік вони зобов'язані перейти на нову версію ISO/IEC 27002:2022. Технічний нагляд також проходить за вже новою версією.Ми радимо своїм клієнтам проходити підготовку та сертифікацію за новим стандартом. Якщо є бажання пройти сертифікацію за старим стандартом, то фактично підготовку та аудит потрібно буде проводити 2 рази.  
Запрошуємо на ділову зустріч, на якій ми побудуємо план із сертифікації за стандартом ISO/IEC 27002:2022 саме для вашої компанії.