Торі Термонд/11 січня 2024 р.

У жовтні 2022 р. було опубліковано останні редакції стандарту ISO 27001. Хоча ще є час для переходу на оновлену структуру, цей процес може здатися непосильним, а зміни можуть здатися заплутаними. Ось чому ми співпрацюємо з SDG для проведення вебінару, на якому розповідається про те, що вам потрібно знати про оновлену версію ISO 27001.  

Під час вебінару один із наших експертів-аудиторів, Кріс Парадайз, і керуючий директор SDG з кібербезпеки, Джейк Горнрайх, обговорили деякі з ключових змін ISO 27001 і те, як ваша організація може підготуватися до них.  

Примітка. Це огляд високого рівня нашого вебінару «Що вам потрібно знати про версії ISO 27001». Щоб дізнатися більше про зміни та про те, як вони можуть виглядати для вашої організації, не забудьте прослухати повний запис тут.  

Що таке ISO 27001? 

ISO 27001 — це єдиний міжнародно прийнятий стандарт для управління системою управління інформаційною безпекою (ISMS) організації. Стандарт ISO 27001 розповідає організаціям, як створити та запустити ефективну програму інформаційної безпеки за допомогою політик і процедур, а також відповідних юридичних, фізичних і технічних засобів контролю, які підтримують процеси управління інформаційними ризиками в організації.  

Що змінюється і чому?

Від часу останнього оновлення фреймворку ISO у 2013 році відбулися значні зміни в технології, фреймворках, уразливостях і векторах атак. ISO внесла зміни до свого фреймворку, щоб усунути деякі з цих змін.  

Однією з головних цілей цього перегляду було оптимізувати структуру. ISO 27001: 2013 мав деякі складності, які були важкими для користувачів. Структура змінилася зі 114 до 93 елементів керування та тепер групує сфери фокусування, щоб компанії могли легше визначити найбільш релевантні елементи керування.  

Використовуючи простішу мову та чіткішу структуру, ISO 27001: 2022 дозволяє щоб користувачі зосередилися на впровадженні елементів керування замість того, щоб витрачати час, намагаючись з’ясувати, чого вимагають елементи керування.  

Зміни пункту  

Пункт 4.2(c)  

Яким вимогам буде відповідати система управління інформаційною безпекою?  

Пункт 4.2 стосується розуміння потреб і очікувань зацікавлених сторін. Важливим аспектом цього пункту є визначення зацікавлених сторін (клієнтів, співробітників, будь-кого, хто бере участь у вашій СУІБ, регуляторних органів, інвесторів, аудиторів та зацікавлених сторін, які використовують або підтримують ваші послуги). 

Цей новий пункт гарантує, що ви визначаєте вимоги ваших зацікавлених сторін, щоб ви могли визначати пріоритетність вимог, які мають бути розглянуті через СУІБ. Важливо зазначити, які вимоги є найважливішими, навіть якщо це здається логічним.  Визначаючи ці вимоги, ви покращуєте залучення зацікавлених сторін, оскільки вони знають, що до них прислухаються, і знають, що засоби контролю та процеси, які ви встановлюєте, створюють довіру.  

Пункт 4.4

Додано вимогу встановити, впроваджувати, підтримувати та постійно вдосконалювати процеси та їх взаємодію.  

Процеси завжди були критично важливими для ISO, але недостатньо задокументовані. Однак ви хочете переконатися, що розумієте взаємозв’язки між різними процесами. Ви хочете зрозуміти, чи безпечно реалізовано процеси та чи вони відповідають вашим політикам і стандартам. Залежно від того, як розроблено ці процеси, може виникнути додатковий ризик або порушення політики в цих процесах, які потім можуть каскадно поширюватися на всі ваші процеси.  

Це узгодження процесів, політики та стандарти є важливими, оскільки без них можна легко забути про ризик, але ризик повернеться в якийсь момент, якщо його не врахувати належним чином.  

Пункт 6.3

Коли організація визначає необхідності внесення змін до системи управління інформаційною безпекою, зміни проводяться в плановому порядку.  

Управління змінами є важливим для всіх систем безпеки. Для ISO основна увага полягає в тому, щоб переконатися, що коли ви вносите зміни, будь то організаційні зміни чи зміни в безпеці, ви повідомляєте про ці зміни зацікавленим сторонам. Зміни мають бути сплановані, повідомлені та оцінені на предмет ризику. Ви повинні повністю розглянути ризики, пов’язані з будь-якими змінами в усьому вашому середовищі перед впровадженням, включаючи мінімізацію впливу, коли ви запроваджуєте будь-які нові ризики.  

Зміни Додатку А

Елементів керування в Додатку A було зменшено зі 114 до 93, щоб упорядкувати вимоги до групувань, що стосуються хмари, що має більше сенсу в контексті ISO.   

Загалом, більшість елементів керування в ISO 27001: 2022 такі ж, як і у версії 2013 року, але вони представлені більш зрозумілим способом. Деякі елементи керування, які були дуже схожі, було об’єднано. Мета змін ISO полягала в тому, щоб допомогти цілісно зрозуміти ризик і забезпечити більшу гнучкість. Деякі елементи керування можуть не підходити для кожної організації, але, маючи менше елементів керування, ви можете розглядати їх як набір засобів керування для кількох підходів.  

Ось що таке ISO: розуміння вашого бізнесу та ризиків, а потім впровадження засобів контролю, які мають відношення до вашого бізнесу. Він не вимагає від вас впроваджувати ці конкретні елементи керування у ваші робочі процеси та процеси, якщо вони не відповідають вашим цілям і конкретному ризику.  

ISO 27001: 2022 містить 11 нових вимог для кращого вирішення нові виклики безпеці. 

  • 5.7: Розвідка про загрози 
  • 5.23: Інформаційна безпека для використання хмарних служб 
  • 5.30: Готовність ІКТ до безперервності бізнесу 
  • 7.4: Моніторинг фізичної безпеки&nbsp ;
  • 8.9: Безпечне керування конфігурацією 
  • 8.10: Видалення інформації 
  • 8.11: Маскування даних 
  • 8.12: Запобігання витоку даних&nbsp ;
  • 8.16: Моніторинг діяльності 
  • 8.23: Веб-фільтрація 
  • 8.28: Захищене кодування 

Щоб дізнатися більше про кожну з цих вимог, не забудьте прослухати повний запис вебінару.  

5.7: Threat Intelligence  

Організаціям необхідно завчасно збирати інформацію про загрози безпеці та зменшувати цей ризик. Ви повинні збирати інформацію з різних джерел, наприклад державних установ та інших веб-сайтів, пов’язаних із загрозами. Потім ви повинні оцінити вплив цих загроз на ваш конкретний бізнес. Рівень аналізу загроз, необхідний для організації, може значно відрізнятися залежно від галузі та обсягу діяльності. Різним організаціям варто турбуватися про багато речей. 

Ще один важливий аспект аналізу загроз — це обмін цією інформацією з вашими зацікавленими сторонами. Ви повинні мати процеси та політику щодо того, як ви ділитеся висновками та забезпечуєте відповідну та широку обізнаність.  

5.23: Безпека інформації для використання хмарних служб

З моменту останнього перегляду ISO у 2013 році впровадження хмарних технологій значно зросло. ISO хотіла переконатися, що люди мають план впровадження хмарних сервісів і не проходять через цей процес невизначеним способом. Вкрай важливо, щоб організації мали політику та процедури, щоб розуміти, як безпечно залучати не лише великих хмарних постачальників, як-от AWS і Azure, а й менші SaaS-компанії.  

8.28: Безпечне кодування

Хоча розробка завжди була частиною ISO, у минулому вона не була добре визначена, тому безпечні практики кодування є одним із ключових доповнень до ISO 27001: 2022. Очікується, що ви збираєтеся розробляти безпечні коди. Для ISO це означає, що організації хочуть забезпечити безпеку всієї системи розробки додатків, зокрема для безпечного коду.  

Порада аудитору: прочитавши ISO 27002, ви отримаєте чудову інформацію про те, як застосувати деякі з цих засобів керування ISO 27001. ISO 27002 надає стратегії виконання цих вимог. Якщо у вас виникли запитання щодо конкретних елементів керування, це чудовий ресурс, на який можна посилатися, щоб отримати більше інформації про те, чого насправді очікує фреймворк, щоб відповідати цим вимогам.  

Який графік переходу?

Сертифікати на основі ISO 27001: 2013 більше не видаватимуться після 31 травня 2024 року, а сертифікати на основі ISO 27001: 2013 закінчаться 31 жовтня 2025. Організації можуть змінити наявну сертифікацію ISO 27001: 2013 на ISO 27001: 2022 під час наступного наглядового аудиту, але не пізніше 31 жовтня 2025.  

Отже, якщо ви зараз прагнете отримати ISO, ви все одно можете отримати стандарт 2013 року, але це не наша рекомендація. Ми рекомендуємо перейти на найновіший стандарт, щоб у вас не виникло жодних проблем. Перейшовши на новий стандарт зараз, ви матимете все необхідне до настання терміну переходу.   

Корисна порада: перехід на новий стандарт може відчувати себе приголомшливо. З моменту останнього оновлення минуло десять років, тому переконайтеся, що ви співпрацюєте з кимось, хто зможе відповісти на ваші запитання та допомогти вам полегшити цей важливий перехід.  

Очікування від ISO не є не те що ти ідеальна. Очікується, що ви задокументували, де ви не ідеальні, і що у вас є план усунення цих недоліків.  

Рекомендації щодо найбільших змін

Ми знаємо, що всі ці зміни можуть здатися приголомшливими. Ось наші рекомендації щодо найбільших змін, які супроводжують це оновлення:  

Аналіз загроз

Хоча вам, можливо, не доведеться робити значні інвестиції в технології моніторингу загроз, вам все ж потрібно мати процеси та персонал, щоб ефективно керувати загрозами, виявляти їх і бути в курсі останніх. Вам потрібно щодня постійно оновлювати інформацію про загрози, бути в курсі нових загроз і переконатися, що ви документуєте ці загрози, оскільки вони стосуються ваших послуг і вашого бізнесу.  

Безпечна розробка програм

Переконайтеся, що у вас є чітка та лаконічна політика безпечного розвитку. Він має визначити обов’язки користувачів і встановити вказівки щодо безпечного кодування, розгортання тестування та керування інцидентами.  

Навчання є важливою частиною безпечного кодування, тому переконайтеся, що ваші розробники в курсі останніх найкращих методів розробки безпеки. Також важливо, щоб ви могли інтегрувати безпеку в увесь процес розробки. Ви можете зробити це, провівши перевірку безпеки, аналіз розгортання, перевірку коду та автоматизоване тестування та інструменти сканування, де це необхідно.  

Інформаційна безпека для хмарних служб

Визначте свої вимоги до безпеки під час використання хмарної служби. Ви повинні розуміти, що вони пропонують і що вам потрібно. Вибираючи постачальника хмарних послуг, переконайтеся, що він відповідає вимогам безпеки вашої організації. Переконайтеся, що ви проводите загальну належну перевірку так само, як і з будь-яким іншим постачальником засобів безпеки.  

Партнерство з KirkpatrickPrice для успішного переходу на ISO 27001: 2022

Ми розуміємо, що перегляд сертифікації ISO 27001 сам по собі може бути страшним, але додатковий тиск переходу на нову структуру може здатися абсолютно непосильним. Ось для чого ми тут! KirkpatrickPrice буде радий співпрацювати з вами під час переходу від ISO 27001: 2013 до ISO 27001: 2022. Ми тут, щоб відповісти на ваші запитання та допомогти вам підготуватися. Якщо ви хочете поспілкуватися з одним із наших експертів або готові розпочати аудит ISO 27001, зв’яжіться з нами сьогодні.  

Поділитися Твіт Поділитися Електронна пошта

Пов’язані публікації

  • Сертифікація ISO 27001 проти аудиту ISO 27001: у чому різниця?

    Ви хочете продемонструвати свою відданість безпеці глобальним діловим партнерам? ISO…

  • ISO 27001: вступ

    Цікаєте, що таке ISO 27001? Це вебінар для вас! На цьому занятті Джессі…

  • Risky Business: Думки про ISO 27001 і управління ризиками

    Ласкаво просимо до вступного блогу Risky Business! Метою тут є надати освіту про…

Читайте також:
  1. Податкова кампанія IRS SECA: що потрібно знати товариствам з обмеженою відповідальністю
  2. Що потрібно знати перед початком власного бізнесу
  3. Зробіть податки цифровими: що вам потрібно знати
  4. Все, що вам потрібно знати про самооцінку
  5. RetirePath: Що потрібно знати власникам бізнесу та адміністраторам планів
  6. Можливо, поки що вам потрібно поміркувати над тим, щоб поділитися відповідями на іспитах
  7. Як працюють податкові категорії: усе, що вам потрібно знати у 2020 році
  8. Податок на Різдво, що потрібно знати
  9. IRIS 1099: Що потрібно знати про систему повернення інформації
  10. Що потрібно знати про тендер на проектні роботи
  11. Молочна кислота – Що потрібно знати про молочну кислоту?
  12. Чому ваші майбутні клієнти можуть сильно відрізнятися від ваших поточних клієнтів – і що вам потрібно з цим робити
  13. ᐈ Пікапи – все, що потрібно знати про траки
  14. Singapore Employment Pass: усе, що вам потрібно знати
  15. P11D – що це таке і що вам потрібно зробити
  16. Де купити картку “Онай” і що потрібно знати про користування нею
  17. Все включено: що потрібно знати про відпочинок All inclusive
  18. Гніздова алопеція – Що вам потрібно знати про гніздову алопецію?
  19. Все, що вам потрібно знати про програму збереження роботи
  20. Шахрайство IRS – що потрібно знати
  21. Що вам потрібно знати про федеральний податок на подарунки
  22. Дитячий манікюр: що про нього потрібно знати
  23. Трудові пенсії в 2017 році – що потрібно знати
  24. Усе, що вам потрібно знати про грошові потоки
  25. Що вам потрібно знати про OSSTMM
  26. Апероль шприц: усе, що потрібно знати про наймодніший коктейль цього літа
  27. Дубай: що потрібно знати туристу про перлину Арабських Еміратів і що там подивитися
  28. Коли змінюють гуму на автомобілі та що про це потрібно знати
  29. Що вам потрібно знати про податкові пільги та повернення після пандемії
  30. COVID-19: усе, що вам потрібно знати про доступну допомогу для самозайнятих осіб