ISO27002:2022 – Що нового
ISO/IEC 27001:2013 (ISO 27001) – це міжнародний стандарт у сфері інформаційної безпеки, розроблений Міжнародною організацією зі стандартизації (ISO) та Міжнародною електротехнічною комісією (IEC). Він визначає вимоги до системи управління інформаційною безпекою (СУІБ).
У стандарті ISO 27001 зібрані передові світові практики у сфері управління інформаційною безпекою. Організації можуть отримати сертифікацію від акредитованих органів згідно з вимогами, зазначеними у документі, для інформаційної безпеки.
Особливості стандарту
ISO 27002 не є стандартом, за яким дозволяється отримати сертифікацію, на відміну від ISO 27001. Він детально розглядає приклади заходів безпеки, згаданих у додатку ISO 27001. Оскільки ISO 27001:2022 ще не оновлено та не опубліковано, компанії, які вже сертифіковані 27001:2022, знаходяться в процесі впровадження або планують пройти сертифікацію за ISO 27001 наступного року, повинні дотримуватись ISO 27001:2013. Тільки після оновлення ISO 27001 у зв’язку з ISO 27002:2022 ви керуватиметеся новими вимогами, передбаченими відповідними заходами інформаційної безпеки.
Які заходи безпеки були змінені
У ISO27002:2022 здійснилися зміни певних заходів безпеки. Тепер там прописані наступні:
- 5.1 – Політика інформаційної безпеки;
- 5.8 – Інформаційна безпека в управлінні проектами;
- 8.1 – Кінцеві пристрої користувача;
- 5.9 – Реєстр інформації та інших пов’язаних активів;
- 5.10 – Допустиме користування інформацією
- 5.15 – Контроль доступу;
- 5.18 – Права доступу тощо.
Крім того, деякі розділи, що були схожі між собою, були об’єднані. Додатково варто знати, що зі стандарту прибраний пункт «Видалення активів» версії 2013 року.
Що нового у розділах
Оновлений документ скорочений що найменше на 20%. У новій версії залишили лише чотири глави:
- Розділ 5, у якому говориться про заходи безпеки експлуатації – загалом 37;
- Розділ 6, де описані заходи безпеки людських ресурсів – усього 8;
- Розділ 7, у який включені фізичні заходи безпеки – їх 14;
- Розділ 8, де вказані технічні заходи безпеки – загальне число – 34.
Для порівняння: у старій версії було прописано чотирнадцять розділів.
Атрибути та зміни в них
Унікальним доповненням в оновленій версії ISO 27002 є запровадження атрибутів, відзначених хештегом (#). Вони дозволяють групувати схожі заходи безпеки та краще зрозуміти, як розподілити відповідальність за них в організації.
В актуальній версії ISO 27002 буде представлено п’ять категорій:
- тип заходу – вказує, коли та в яких ситуаціях захід безпеки буде ефективним;
- властивості інформаційної безпеки – визначає, які групи конфіденційності, цілісності та доступності інформації потребують максимального захисту;
- концепція кібербезпеки – пояснює, який тип активності в області кібербезпеки (згідно з ISO 27101) застосовується;
- операційні можливості – встановлює, до якої галузі операційної діяльності належить захід безпеки;
- сфера безпеки – говорить, до якої групи, пов’язаної з функціонуванням інформаційної безпеки, призначений захід.
Ці атрибути допоможуть більш точно класифікувати та організовувати заходи безпеки відповідно до унікальних потреб вашої організації. Вони сприяють більш ефективному управлінню інформаційною безпекою та підвищують її адаптивність до мінливого середовища.
Тобто тепер атрибути не є описом підпунктів стандарту ISO 27001, якому необхідна обов’язкова сертифікація. Але, якщо є потреба, то допускається їх задіяння саме для таких цілей. У цілому зміни, що внесені до ISO 27002, дуже важливі та своєчасні. Замовити сертифікат можна натиснувши на посилання нижче.