• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Стандарт ISO/IEC 27001 обновлён. Что нового?

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

25 октября 2022 года был выпущен новый стандарт системы управления информационной безопасностью ISO 27001.

ISO/IEC 27001 является одним из самых известных в мире стандартов управления информационной безопасностью, поскольку он перешёл из сферы кибербезопасности в мир бизнеса.

Стандарт давно нуждался в изменениях, поскольку он не претерпел существенных обновлений с 2013 года. В 2017 году были внесены незначительные поправки, но в основном это были структурные или грамматические обновления.

В 2022 году стандарт получил кардинальные изменения, начиная с названия:
  • Старое название:
Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования;
  • Новое название:
Информационная безопасность, кибербезопасность и защита конфиденциальности – Системы управления информационной безопасностью – Требования;

Новый стандарт ISO27001 касается 3-ёх вещей: информационной безопасности, кибербезопасности и конфиденциальности. Уже давно ведутся споры о том, является ли кибербезопасность подмножеством информационной безопасности или это одно и то же. Название ISO27001 четко указывает, что компании должны быть обеспокоены тремя аспектами безопасности.

Изменения включают:
  • новое требование к планированию изменений в СМИБ (Система менеджмента информационной безопасности) (п. 6.3);
  • 114 элементов управления были сокращены до 93 (Приложение А);
  • 14 областей управления были сокращены до 4 (организационная, кадровая, физическая, техническая);
  • 58 обновленных средств контроля (Приложение А);
  • 24 объединенных средств контроля (Приложение А);
  • 11 новых средств контроля (Приложения А);
  • Новый раздел «атрибуты» в элементах управления (Приложение А).
За исключением одного ключевого элемента, фактический текст СМИБ не сильно изменился. Но даже это изменение весьма существенно. Изменение здесь заключается в п. 6.3 «Планирование изменений», где требование звучит так: «Когда организация определяет необходимость изменений в системе управления информационной безопасностью, изменения должны выполняться в плановом порядке».

Это явный признак того, что, если вы планируете изменения в СМИБ, вам необходимо продемонстрировать, что эти изменения структурированы и спланированы, и вы можете представить доказательства этого. Это может быть график, показывающий, где заранее запланированы изменения в СМИБ, или что они являются предметом ваших внутренних процессов управления изменениями, возможно, с комитетом по аудиту или консультативным советом по изменениям, наблюдающим за такими изменениями.

Наиболее существенные изменения коснулись Приложения А.

Приложение А – «Атрибуты»

Новый стандарт получил новый раздел «Атрибуты», в котором говорится:

«Организация может использовать атрибуты для создания различных представлений – разные категории элементов управления. Атрибуты можно использовать для фильтрации, сортировки или представления элементов управления для разных аудиторий». (ISO27001:2022 – 4.2 Темы и атрибуты).
Существует 5 атрибутов с соответствующими значениями (перед значениями указан символ «#», чтобы его можно было легко найти):
  1. Тип управления (Control Type) #Preventative;
  2. Свойства информационной безопасности (Information Security Properties) #Confidentiality, #Integrity, #Availability;
  3. Концепции кибербезопасности (Cybersecurity Concepts) #Identify;
  4. Операционные возможности (Operational Capabilities) #Governance;
  5. Домены безопасности (Security Domains) #Governance and Ecosystem, #Resilience.
Использование атрибутов позволяет выборочно использовать элементы управления Приложения А в зависимости от аудитории и потребностей. Атрибуты и их значения позволяют вам ссылаться на элементы управления Приложения А в другие структуры управления, такие как NIST, так же легко, как на них можно ссылаться в бизнес-операциях.

У организаций и консультантов есть время на изучение изменений до 2025 года – потом последуют следующие изменения и обновления стандарта. Сейчас организации могут оценить влияние, которое могут оказать изменения стандарта, и преимущества, которые они приносят.
 
Сверху