ISO27002:2022 – Что нового
ISO/IEC 27001:2013 (ISO 27001) – это международный стандарт в сфере информационной безопасности, разработанный Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). Он определяет требования к системе управления информационной безопасностью (СУИБ).
В стандарте ISO 27001 собраны передовые мировые практики в области управления информационной безопасностью. Организации могут получить сертификацию от аккредитованных органов согласно требованиям, указанным в документе, для информационной безопасности.
Особенности стандарта
ISO 27002 не является стандартом, по которому разрешается получить сертификацию, в отличие от ISO 27001. Он подробно рассматривает примеры мер безопасности, упомянутых в приложении ISO 27001. Поскольку ISO 27001:2022 еще не обновлен и не опубликован, компании, которые уже сертифицированы 27001:2022, находятся в процессе внедрения или планируют пройти сертификацию по ISO 27001 в следующем году, должны придерживаться ISO 27001:2013. Только после обновления ISO 27001 в связи с ISO 27002:2022 вы будете руководствоваться новыми требованиями, предусмотренными соответствующими мерами информационной безопасности.
Какие меры безопасности были изменены
В ISO27002:2022 произошли изменения определенных мер безопасности. Теперь там прописаны следующие:
- 5.1 – Политика информационной безопасности;
- 5.8 – Информационная безопасность в управлении проектами;
- 8.1 – Конечные устройства пользователя;
- 5.9 – Реестр информации и других связанных активов;
- 5.10 – Допустимое использование информации
- 5.15 – Контроль доступа;
- 5.18 – Права доступа и т.д.
Кроме того, некоторые разделы, похожие между собой, были объединены. Дополнительно следует знать, что из стандарта убран пункт «Удаление активов» версии 2013 года.
Что нового в разделах
Обновленный документ сокращен минимум на 20%. В новой версии оставили всего четыре главы:
- Раздел 5, в котором говорится о мерах безопасности эксплуатации – в целом 37;
- Раздел 6, где описаны меры безопасности человеческих ресурсов – всего 8;
- Раздел 7, в который включены физические меры безопасности – их 14;
- Раздел 8, где указаны технические меры безопасности – общее число – 34.
Для сравнения: в старой версии было прописано четырнадцать глав.
Атрибуты и изменения в них
Уникальным дополнением обновленной версии ISO 27002 является введение атрибутов, отмеченных хештегом (#). Они позволяют группировать схожие меры безопасности и лучше понять, как распределить ответственность за них в организации.
В актуальной версии ISO 27002 будут представлены пять категорий:
- тип мероприятия – указывает, когда и в каких ситуациях мера безопасности будет эффективной;
- свойства информационной безопасности – определяет, какие группы конфиденциальности, целостности и доступности информации требуют максимальной защиты;
- концепция кибербезопасности – объясняет, какой тип активности в области кибербезопасности (согласно ISO 27101) применяется;
- операционные возможности – устанавливает, к какой области операционной деятельности принадлежит мера безопасности;
- сфера безопасности – говорит, к какой группе, связанной с функционированием информационной безопасности, назначено мероприятие.
Эти атрибуты помогут более точно классифицировать и организовывать меры безопасности в соответствии с уникальными потребностями вашей организации. Они способствуют более эффективному управлению информационной безопасностью и повышают ее адаптивность к изменяющейся среде.
То есть, теперь атрибуты не являются описанием подпунктов стандарта ISO 27001, которому необходима обязательная сертификация. Но, в случае необходимости, то допускается их задействование именно для таких целей. В целом изменения, внесенные в ISO 27002, очень важны и своевременны. Заказать сертификат можно, нажав на ссылку ниже.