Новое в информационной безопасности: подробный взгляд на ISO 27001 и 27002

Атаки на информационную безопасность продолжают поражать организации по всему миру, и нет никаких признаков того, что частота, разнообразие или масштабы нарушений в ближайшее время уменьшатся. Чтобы справиться с проблемой изменения рисков, недавно был обновлен хорошо известный стандарт соответствия требованиям кибербезопасности, как и предполагалось в течение некоторого времени.

ISO 27001 — это международный стандарт управления информационной безопасностью Международной организации по стандартизации. В настоящее время используются определения из документов 2013 года с обновлениями в 2014 и 2015 годах, это центральная структура для требований внедрения в СМИБ (Система управления информационной безопасностью). Организации могут пройти сертификацию по ISO 27001, используя стандарт управления для достижения соответствия. Новое третье издание стандарта ISO 27002, выпущенное в 2021 году, вводит свод правил для контроля безопасности, который соответствует требованиям ISO 27001.

Внедрение, сертификация и соблюдение стандартов ISO 27001 и 27702 открывают новые возможности для роста доходов. Согласовав безопасность данных со стандартами ISO, ваша организация будет работать в соответствии с передовой международной практикой. Инвесторы, заинтересованные стороны, а также новые и существующие клиенты могут быть уверены, что данные вашей организации защищены с помощью стандартов ISO.

Чтобы было ясно, ISO 27001 — это стандарт, по которому организации сертифицированы. ISO 27002 предоставляет дополнительные сведения для выбора, внедрения и управления средствами контроля информационной безопасности.

Различия указывают на новые и обновленные способы, которыми организация должна заниматься и управлять информационной безопасностью, чтобы в ближайшем будущем получить сертификат ISO 27001. Организации должны проходить повторную сертификацию каждые три года с ежегодным надзорным аудитом, с учетом периода конверсии при выпуске нового стандарта. Если ISO 27002 приведет к новому процессу повторной сертификации в 2021 или 2022 году, у организаций будет возможность повторно пройти сертификацию в соответствии со старым стандартом 2013 года, что даст время для обновления связанных процессов в соответствии с новыми элементами управления ISO 27002. К 2024 или 2025 году все организации будут использовать новый стандарт, но те, кто хочет его обновить, сделают это гораздо раньше.

ISO работает над обеспечением единообразия всех своих стандартов в различных областях бизнеса, таких как производство, цепочка поставок и финансовые услуги. Если ваша организация имеет другие сертификаты ISO, такие как управление рисками, финансовый менеджмент и т. д., Вполне вероятно, что эти стандарты будут обновлены, чтобы сократить старые процессы или добавить новые требования в ISO 27001. Ключом к управлению сертификацией ISO является обращение к нескольким стандартам с помощью взаимосвязанного согласованного процесса для минимизации повторяющихся или конфликтующих процессов между обновлениями.

Поскольку в наши дни информационная безопасность является одной из ключевых бизнес-практик и вызывает серьезную озабоченность у современных предприятий и их исполнительных советов, неудивительно, что стандарт ISO 27002 требует пересмотра.

Но достаточно контекста и самих элементов управления — что изменилось?

Средства управления информационной безопасностью теперь разделены на 4 категории:

  • Раздел 5. Организационный контроль
  • Раздел 6. Управление персоналом
  • Раздел 7. Физический контроль
  • Раздел 8. Технологический контроль

 

Это значительно сокращает текущие 14 категорий и, как отмечалось выше, обеспечивает большую согласованность и общность с другими стандартами ISO.

Общее количество элементов управления в ISO 27002 уменьшилось со 114 до 93, а шестнадцать устаревших элементов управления были удалены.

Отражая постоянно меняющийся ландшафт кибербезопасности, были введены двенадцать новых элементов управления, а именно:

  • Разведка угроз
  • Информационная безопасность при использовании облачных сервисов
  • Предотвращение утечки данных
  • Удаление информации и запутывание или маскирование данных в целях конфиденциальности
  • Готовность к непрерывности бизнеса
  • Управление идентификацией
  • Мониторинг физической безопасности
  • Безопасность конечных точек для пользовательских устройств
  • Управление конфигурацией
  • Веб-фильтрация
  • Безопасное кодирование

 

В рамках дальнейшего развития свойств безопасности конфиденциальности, целостности и доступности новый ISO 27001 детализирует новые атрибуты, упрощающие классификацию и управление. Контролям присваивается такой тип, как Превентивный, Детективный, Корректирующий, со свойствами информационной безопасности CIA, как и раньше.

Идентификация, защита, обнаружение, реагирование и восстановление используются в качестве ключевых концепций информационной безопасности, а операционные возможности определены как непрерывность, физическая безопасность, управление событиями информационной безопасности.



2021-09-27T21:39:37
Безопасность