ISO27002:2022 – Что нового?

ISO/IEC 27001:2013 (ISO 27001) – международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссии. Стандарт содержит требования в области информационной безопасности для системы управления информационной безопасности (СУИБ).
В стандарте ISO 27001 собрана информация о лучших мировых практиках в области управления информационной безопасностью. Организация может быть сертифицирована аккредитованным органом в соответствии с требованиями обеспечения информационной безопасности, указанными в стандарте.

Список требований ISO 27001 состоит из 114 мер по обеспечению безопасности, которые более подробно описаны в ISO/IEC 27002:2013 (ISO 27002), как практические рекомендации для управления СУИБ.
Последний пересмотр стандарта ISO 27002 был восемь лет назад, в ближайшее время он будет обновлен. Сейчас процесс находится на стадии утверждения и вы можете следить за ним на официальном вебсайте ISO.

ISO 27002 не является стандартом, по которому можно проходить сертифицикацию, в отличие от ISO 27001. В ISO 27002 подробно рассматриваются примеры мер обеспечения безопасности, упомянутые в приложении ISO 27001. Поскольку ISO 27001:2022 еще не обновлен и не опубликован, организации, уже сертифицированные по ISO 27001 :2022, находятся в процессе внедрения или планируют получить сертификацию по ISO 27001 в следующем году, должны соблюдать требования ISO 27001:2013. Только тогда, когда ISO 27001 во взаимосвязи с ISO 27002:2022 будет обновлен, вы должны будете руководствоваться новыми требованиями, предусмотренными соответствующими мерами информационной безопасности.
В этой статье мы даем краткий обзор запланированных обновлений ISO 27002.

Изменения в структуре

Разделы

Практические рекомендации по мерам обеспечения информационной безопасности, указанные в ISO 27002, категоризированы на четырнадцать разделов (раздел 5 – 18). Обновленный стандарт, категоризирует мероприятия только в четыре главы (раздел 5 – 8).

• Раздел 5: Меры по безопасности эксплуатации, 37 мер безопасности
• Раздел 6: Меры по безопасности человеческих ресурсов , 8 мер безопасности
• Раздел 7: Физические меры безопасности, 14 мер безопасности
• Раздел 8: Технические меры безопасности, 34 мероприятия безопасности

Вцелом, обновленный ISO 27002 будет сокращен на 20%.

Атрибуты

Интересным дополнением является введение атрибутов, обозначенных хештегом (#). Эти атрибуты можно использовать для группирования схожих мер безопасности. Также, атрибуты могут использоваться для лучшего понимания, как распределить ответственность за эти меры безопасности в вашей организации.

Обновленный ISO 27002 будет включать пять категорий атрибутов:

1. Тип меры: когда именно мера безопасности будет эффективна?
2. Свойства информационной безопасности : какие категории триады КЦД будут защищены?
3. Концепция кибербезопасности: какой тип активности (ISO 27101) применяется?
4. Операционные возможности: к какому направлению операционной деятельности принадлежит мера?
5. Сфера безопасности: к какой сфере функционирования по информационной безопасности относится?

Таким образом, атрибуты – это не то, чтобы описательные подпункты разделов ISO 27001, однако они могут быть использованы в подобных целях.

Новые меры безопасности

В общем количестве в ISO 27001:2022 входят одиннадцать новых мер.

Разделы       Название меры
5.7                 Аналитика угроз
5.23               Информационная безопасность при использовании облачных сервисов
5.30               Способность ICT к обеспечению непрерывности бизнеса
7.4                  Мониторинг физической безопасности
8.9                 Управление конфигурациями
8.10               Удаление информации
8.11                Маскировка данных
8.12               Предотвращение утечки данных
8.16               Мониторинг активности
8.22              Веб мониторинг
8.22              Безопасное написание кода

Меры безопасности, которые изменены

ISO/IEC 27002:2013     ISO/IEC 27002:2022              Название меры ISO/IEC 27002:2022
5.1.1, 5.1.2                                      5.1                                    Политика информационной безопасности
6.1.5, 14.1.1                                    5.8                                   Информационная безопасность в управлении проектами
6.2.1, 11.2.8                                   8.1                                    Конечные устройства пользователя
8.1.1, 8.1.2                                     5.9                                    Реестр информации и реестр других связанных активов
8.1.3, 8.2.3                                    5.10                                  Допустимое использование информации и других связанных активов
8.3.1, 8.3.2, 8.3.3                         7.10                                 Носитель информации
9.1.1, 9.1.2                                      5.15                                Контроль доступа
9.2.2, 9.2.5, 9.2.6                         5.18                                Права доступа
9.2.4, 9.3.1, 9.4.3                          5.17                                Информация аутентификации
10.1.1, 10.1.2                                  8.24                                Использование криптографии
11.1.2, 11.1.6                                    7.2                                 Меры безопасности физического проникновения
12.1.2, 14.2.2, 14.2.3, 14.2.4        8.32                               Управление изменениями
12.1.4, 14.2.6                                  8.31                               Разделение среды разработки, тестирования и производственной среды
12.4.1, 12.4.2, 12.4.3                     8.15                              Ведение журнала аудита событий
12.5.1, 12.6.2                                  8.19                              Установка программного обеспечения в операционных системах
12.6.1, 18.2.3                                  8.8                               Управление техническими уязвимостями
13.2.1, 13.2.2, 13.2.3                     5.14                             Обмен информацией
14.1.2, 14.1.3                                  8.26                             Требования безопасности приложений
14.2.8, 14.2.9                                 8.29                             Тестирование безопасности при разработке и приемное тестирование
15.2.1, 15.2.2                                  5.22                             Мониторинг, проверка и управление изменениями при взаимоотношениях с поставщиками
16.1.2, 16.1.3                                 6.8                                Отчеты об инцидентах информационной безопасности
17.1.1, 17.1.2, 17.1.3                      5.29                             Информационная безопасность во время сбоя
18.1.1, 18.1.5                                  5.31                             Определение правовых, законодательных, нормативных и договорных требований
18.2.2, 18.2.3                                5.36                             Соответствие с политиками и стандартами информационной безопасности

Многие разделы, которые уже были достаточно схожими, были объединены.

Меры безопасности, которые были убраны
Убрана только одна мера безопасности с ISO/IEC 27002 версии 2013 г. «Удаление активов». Поскольку его дочерная мера, «Безопасность оборудования и активов вне помещений» (11.2.6) уже включает защиту активов за пределами организационных границ.

Прочитать  исходную статью