Skip to content

System Management

ISO27002:2022 – Что нового

ISO27002:2022 изменения

ISO/IEC 27001:2013 (ISO 27001) – это международный стандарт в сфере информационной безопасности, разработанный Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). Он определяет требования к системе управления информационной безопасностью (СУИБ). 

В стандарте ISO 27001 собраны передовые мировые практики в области управления информационной безопасностью. Организации могут получить сертификацию от аккредитованных органов согласно требованиям, указанным в документе, для информационной безопасности.

Особенности стандарта

ISO 27002 не является стандартом, по которому разрешается получить сертификацию, в отличие от ISO 27001. Он подробно рассматривает примеры мер безопасности, упомянутых в приложении ISO 27001. Поскольку ISO 27001:2022 еще не обновлен и не опубликован, компании, которые уже сертифицированы 27001:2022, находятся в процессе внедрения или планируют пройти сертификацию по ISO 27001 в следующем году, должны придерживаться ISO 27001:2013. Только после обновления ISO 27001 в связи с ISO 27002:2022 вы будете руководствоваться новыми требованиями, предусмотренными соответствующими мерами информационной безопасности.

Какие меры безопасности были изменены

В ISO27002:2022 произошли изменения определенных мер безопасности. Теперь там прописаны следующие:

  • 5.1 – Политика информационной безопасности;стандарт ISO27002:2022
  • 5.8 – Информационная безопасность в управлении проектами;
  • 8.1 – Конечные устройства пользователя;
  • 5.9 – Реестр информации и других связанных активов;
  • 5.10 – Допустимое использование информации
  • 5.15 – Контроль доступа;
  • 5.18 – Права доступа и т.д.

Кроме того, некоторые разделы, похожие между собой, были объединены. Дополнительно следует знать, что из стандарта убран пункт «Удаление активов» версии 2013 года.

Что нового в разделах

Обновленный документ сокращен минимум на 20%. В новой версии оставили всего четыре главы:

  • Раздел 5, в котором говорится о мерах безопасности эксплуатации – в целом 37;
  • Раздел 6, где описаны меры безопасности человеческих ресурсов – всего 8;
  • Раздел 7, в который включены физические меры безопасности – их 14;
  • Раздел 8, где указаны технические меры безопасности – общее число – 34.

Для сравнения: в старой версии было прописано четырнадцать глав. 

Атрибуты и изменения в них

Уникальным дополнением обновленной версии ISO 27002 является введение атрибутов, отмеченных хештегом (#). Они позволяют группировать схожие меры безопасности и лучше понять, как распределить ответственность за них в организации.

В актуальной версии ISO 27002 будут представлены пять категорий:

  • тип мероприятия – указывает, когда и в каких ситуациях мера безопасности будет эффективной; 
  • свойства информационной безопасности – определяет, какие группы конфиденциальности, целостности и доступности информации требуют максимальной защиты;
  • концепция кибербезопасности – объясняет, какой тип активности в области кибербезопасности (согласно ISO 27101) применяется; 
  • операционные возможности – устанавливает, к какой области операционной деятельности принадлежит мера безопасности; 
  • сфера безопасности – говорит, к какой группе, связанной с функционированием информационной безопасности, назначено мероприятие.

Эти атрибуты помогут более точно классифицировать и организовывать меры безопасности в соответствии с уникальными потребностями вашей организации. Они способствуют более эффективному управлению информационной безопасностью и повышают ее адаптивность к изменяющейся среде.

То есть, теперь атрибуты не являются описанием подпунктов стандарта ISO 27001, которому необходима обязательная сертификация. Но, в случае необходимости, то допускается их задействование именно для таких целей. В целом изменения, внесенные в ISO 27002, очень важны и своевременны. Заказать сертификат можно, нажав на ссылку ниже.