- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
ISO/IEC 27001 является одним из самых известных в мире стандартов управления информационной безопасностью, поскольку он перешёл из сферы кибербезопасности в мир бизнеса.
Стандарт давно нуждался в изменениях, поскольку он не претерпел существенных обновлений с 2013 года. В 2017 году были внесены незначительные поправки, но в основном это были структурные или грамматические обновления.
В 2022 году стандарт получил кардинальные изменения, начиная с названия:
- Старое название:
- Новое название:
Новый стандарт ISO27001 касается 3-ёх вещей: информационной безопасности, кибербезопасности и конфиденциальности. Уже давно ведутся споры о том, является ли кибербезопасность подмножеством информационной безопасности или это одно и то же. Название ISO27001 четко указывает, что компании должны быть обеспокоены тремя аспектами безопасности.
Изменения включают:
- новое требование к планированию изменений в СМИБ (Система менеджмента информационной безопасности) (п. 6.3);
- 114 элементов управления были сокращены до 93 (Приложение А);
- 14 областей управления были сокращены до 4 (организационная, кадровая, физическая, техническая);
- 58 обновленных средств контроля (Приложение А);
- 24 объединенных средств контроля (Приложение А);
- 11 новых средств контроля (Приложения А);
- Новый раздел «атрибуты» в элементах управления (Приложение А).
Это явный признак того, что, если вы планируете изменения в СМИБ, вам необходимо продемонстрировать, что эти изменения структурированы и спланированы, и вы можете представить доказательства этого. Это может быть график, показывающий, где заранее запланированы изменения в СМИБ, или что они являются предметом ваших внутренних процессов управления изменениями, возможно, с комитетом по аудиту или консультативным советом по изменениям, наблюдающим за такими изменениями.
Наиболее существенные изменения коснулись Приложения А.
Приложение А – «Атрибуты»
Новый стандарт получил новый раздел «Атрибуты», в котором говорится:
Существует 5 атрибутов с соответствующими значениями (перед значениями указан символ «#», чтобы его можно было легко найти):«Организация может использовать атрибуты для создания различных представлений – разные категории элементов управления. Атрибуты можно использовать для фильтрации, сортировки или представления элементов управления для разных аудиторий». (ISO27001:2022 – 4.2 Темы и атрибуты).
- Тип управления (Control Type) #Preventative;
- Свойства информационной безопасности (Information Security Properties) #Confidentiality, #Integrity, #Availability;
- Концепции кибербезопасности (Cybersecurity Concepts) #Identify;
- Операционные возможности (Operational Capabilities) #Governance;
- Домены безопасности (Security Domains) #Governance and Ecosystem, #Resilience.
У организаций и консультантов есть время на изучение изменений до 2025 года – потом последуют следующие изменения и обновления стандарта. Сейчас организации могут оценить влияние, которое могут оказать изменения стандарта, и преимущества, которые они приносят.