Атаки на информационную безопасность продолжают поражать организации по всему миру, и нет никаких признаков того, что частота, разнообразие или масштабы нарушений в ближайшее время уменьшатся. Чтобы справиться с проблемой изменения рисков, недавно был обновлен хорошо известный стандарт соответствия требованиям кибербезопасности, как и предполагалось в течение некоторого времени.
ISO 27001 — это международный стандарт управления информационной безопасностью Международной организации по стандартизации. В настоящее время используются определения из документов 2013 года с обновлениями в 2014 и 2015 годах, это центральная структура для требований внедрения в СМИБ (Система управления информационной безопасностью). Организации могут пройти сертификацию по ISO 27001, используя стандарт управления для достижения соответствия. Новое третье издание стандарта ISO 27002, выпущенное в 2021 году, вводит свод правил для контроля безопасности, который соответствует требованиям ISO 27001.
Внедрение, сертификация и соблюдение стандартов ISO 27001 и 27702 открывают новые возможности для роста доходов. Согласовав безопасность данных со стандартами ISO, ваша организация будет работать в соответствии с передовой международной практикой. Инвесторы, заинтересованные стороны, а также новые и существующие клиенты могут быть уверены, что данные вашей организации защищены с помощью стандартов ISO.
Чтобы было ясно, ISO 27001 — это стандарт, по которому организации сертифицированы. ISO 27002 предоставляет дополнительные сведения для выбора, внедрения и управления средствами контроля информационной безопасности.
Различия указывают на новые и обновленные способы, которыми организация должна заниматься и управлять информационной безопасностью, чтобы в ближайшем будущем получить сертификат ISO 27001. Организации должны проходить повторную сертификацию каждые три года с ежегодным надзорным аудитом, с учетом периода конверсии при выпуске нового стандарта. Если ISO 27002 приведет к новому процессу повторной сертификации в 2021 или 2022 году, у организаций будет возможность повторно пройти сертификацию в соответствии со старым стандартом 2013 года, что даст время для обновления связанных процессов в соответствии с новыми элементами управления ISO 27002. К 2024 или 2025 году все организации будут использовать новый стандарт, но те, кто хочет его обновить, сделают это гораздо раньше.
ISO работает над обеспечением единообразия всех своих стандартов в различных областях бизнеса, таких как производство, цепочка поставок и финансовые услуги. Если ваша организация имеет другие сертификаты ISO, такие как управление рисками, финансовый менеджмент и т. д., Вполне вероятно, что эти стандарты будут обновлены, чтобы сократить старые процессы или добавить новые требования в ISO 27001. Ключом к управлению сертификацией ISO является обращение к нескольким стандартам с помощью взаимосвязанного согласованного процесса для минимизации повторяющихся или конфликтующих процессов между обновлениями.
Поскольку в наши дни информационная безопасность является одной из ключевых бизнес-практик и вызывает серьезную озабоченность у современных предприятий и их исполнительных советов, неудивительно, что стандарт ISO 27002 требует пересмотра.
Но достаточно контекста и самих элементов управления — что изменилось?
Средства управления информационной безопасностью теперь разделены на 4 категории:
- Раздел 5. Организационный контроль
- Раздел 6. Управление персоналом
- Раздел 7. Физический контроль
- Раздел 8. Технологический контроль
Это значительно сокращает текущие 14 категорий и, как отмечалось выше, обеспечивает большую согласованность и общность с другими стандартами ISO.
Общее количество элементов управления в ISO 27002 уменьшилось со 114 до 93, а шестнадцать устаревших элементов управления были удалены.
Отражая постоянно меняющийся ландшафт кибербезопасности, были введены двенадцать новых элементов управления, а именно:
- Разведка угроз
- Информационная безопасность при использовании облачных сервисов
- Предотвращение утечки данных
- Удаление информации и запутывание или маскирование данных в целях конфиденциальности
- Готовность к непрерывности бизнеса
- Управление идентификацией
- Мониторинг физической безопасности
- Безопасность конечных точек для пользовательских устройств
- Управление конфигурацией
- Веб-фильтрация
- Безопасное кодирование
В рамках дальнейшего развития свойств безопасности конфиденциальности, целостности и доступности новый ISO 27001 детализирует новые атрибуты, упрощающие классификацию и управление. Контролям присваивается такой тип, как Превентивный, Детективный, Корректирующий, со свойствами информационной безопасности CIA, как и раньше.
Идентификация, защита, обнаружение, реагирование и восстановление используются в качестве ключевых концепций информационной безопасности, а операционные возможности определены как непрерывность, физическая безопасность, управление событиями информационной безопасности.