Обновленная версия ISO 27000:2022. Что поменялось и что необходимо предпринять?

28 октября 2022 года была опубликована новая улучшенная версия серии стандартов ISO/IEC 27000:2022, а именно ISO/IEC 27001:2022 – «Информационные технологии, кибербезопасность и защита конфиденциальности. Системы менеджмента информационной безопасности. Требования», ISO/IEC 27002:2022 – «Информационная безопасность, кибербезопасность и защита конфиденциальности. Управление информационной безопасностью».

Прежде всего хотелось бы отметить, что обновлённая версия ИСО 27001:2022 существенно не отличается от предыдущей 2013 г., однако все же есть некоторые заметные поправки, которые мы рассмотрим ниже.

новая версия стандарта iso iec 27001:2022

Начнем с того, что в новом издании ИСО 27001 35 элементов управления остались без изменений, 23 – были переименованы, 56 – объединены в 24 и только 1 (18.2.3. Анализ технического соответствия) был разделен на два: управление техническими уязвимостями; соответствие политикам и стандартам информационной безопасности (сокр. ИБ) организации, в которую добавлены еще 11 новых элементов контроля (оценка угроз, информ. безопасность для облачных сервисов, готовность информационно-коммуникационных технологий (англ. ICT - information and communications technology) к обеспечению непрерывности бизнеса, мониторинг физ. безопасности и др.).

Модернизированный ИСО 27002 сократился примерно на 20%, мероприятия по безопасности в нем объединены в 4 главы вместо прежних 14, а число средств управления уменьшилось до 93:

  • Глава 5 – Организационные (37 ср-в упр-ия)
  • Глава 6 – Кадровые (8)
  • Глава 7 – Физические (14)
  • Глава 8 – Технологические (34)

Благодаря объединению и добавлению новых компонентов контроля вводится концепция атрибутов (#), которая упрощает их группировку. ISO 27002:2022 включает 5 категорий атрибутов:

  • Тип управления (превентивный, детективный, корректирующий)
  • Свойства ИБ (конфиденциальность, целостность, доступность)
  • Концепции кибербезопасности (выявлять, защищать, распознавать, реагировать, восстанавливать)
  • Операционные возможности (регулирование активов, защита информации, безопасность человеческих ресурсов, физ. безопасность и др.)
  • Сфера безопасности (регулирование и экосистема, противодействие, защита, устойчивость)

Ниже представлен пример разбора на атрибуты нового элемента контроля 8.11 – «Маскировка данных», предлагающий методы воздействия на риск, которые способны защитить актив и помочь организации соответствовать требованиям нормативных документов и заинтересованных сторон:

  • Тип - #превентивный
  • Свойства - #конфиденциальность
  • Концепция - #защищать
  • Возможности - #защита информации
  • Область - #защита

Одним из преимуществ атрибутов является возможность быстрого согласования элемента с общепринятым отраслевым языком и стандартами.

iso 27001:2022 и iso 27002:2022

Каковы следующие шаги?

Если Ваша организация уже сертифицирована по версии ISO 27001:2013, то Вам пока предпринимать ничего не нужно, Ваш сертификат остается действительным до окончания переходного периода, который длится 3 года, в течении этого времени Вы должны пересмотреть внутренние политики, оценки, планы и внести все необходимые изменения в свою систему управления информационной безопасностью (сокр. СУИБ).

Компаниям, находящимся в процессе внедрения и на стадии сертификации ИСО 27001:2013, не стоит беспокоиться о том, что та работа, которую они уже проделали, была сделана зазря. В настоящее время Вы сможете получить сертификат согласно старым требованиям, так как сертифицирующим органам потребуется как минимум 6 месяцев для того, чтобы получить аккредитацию для проведения сертификации по новым. Тем не менее будьте готовы к тому, что первый инспекционный контроль, который осуществляется ежегодно, будет проходить уже в соответствии с новыми требованиями.

Остались вопросы? Звоните! Наши эксперты помогут совершить легкий переход на новую версию стандарта с минимальными усилиями с Вашей стороны: оценим пробелы и устраним их, предоставим подробный план по переходу, обучим новым требованиям и сопроводим сертификацию/ресертификацию.

А для тех, кто только планирует разрабатывать и внедрять в свой бизнес систему менеджмента информационной безопасности (сокр. СМИБ), советуем сразу обратиться к нам напрямую: не только расскажем о всех особенностях и нюансах, но и подберем для Вас самое выгодное предложение!

Спасибо, Вам перезвонят в течение 15 минут!
Спасибо, Вам пришлют КП в течение 15 минут!