Новото ISO/IEC 27001:2022


Изправени сме пред нови предизвикателства за сигурността на информацията и необходимост от осигуряването на все по- ефикасни мерки за защита на нейната поверителност, наличност и цялостност.

В голяма степен бизнес процесите на всяка една организация се основат на активен обмен на данни и информация, чиято защита през целия жизнен цикъл на информацията, е от решаващо значение за устойчивото и успешно развитие на компанията.

Една от възможностите за това е организациите да внедрят система за управление на сигурността на информацията, базирана на изискванията международния стандарт ISO 27001.

От 25.10.2022г. неговата нова трета версия е вече факт, като това ново издание има за цел да осигури по- добра и адекватна защита на информацията, отчитайки ръста на кибератаките и новите рискове за сигурността на информацията.

Основните промени в ISO/IEC 27001:2022  са продиктувани от необходимостта  съдържанието на стандарта да бъде приведено в съответствие:

  • с хармонизираната структура на другите стандарти за системи за управление както и
  • с новото изцяло променено издание на ISO/IEC 27002:2022.

Кои са по- съществените промени в ISO/IEC 27001:2022

ПРОМЯНА В ЗАГЛАВИЕТО НА СТАНДАРТА

В контекста на  изложеното до тук, на първо място извършена е промяна в заглавието на стандарта- „Сигурност на информацията, киберсигурност и защита на поверителността. Системи за управление на сигурността на информацията. Изисквания“. Тази промяна не е само редакционна, тя ясно разграничава две категории информация- аналогова и цифрова, като и двете са обект на защита, с акцент върху сигурността на цифровата информация и данни и на запазването на тяхната поверителност /тайната на информацията/. Промяната в заглавието на стандарта е имплицитно свързана и с въвеждането на нови механизми за контрол съгласно промените в ISO/IEC 27002:2022

На следващо място, новото издание на стандарта поставя акцент върху  интегрирането на изискванията на системата за управление на сигурността на информацията в процесите на организацията, защото крайната цел на една заплаха за информацията са именно бизнес процесите и бизнес репутацията на организацията.  Това дава отговор на въпроса, защо внедряването на система за управление на сигурността на информацията – СУСИ /ISMS/ е от значение за всяка организация – публична или частна и независимо от нейния размер или от вида й.

На значението на бизнес процесите и интегрирането на изискванията на  системата за управление на информационната сигурност към тях, допълнително е акцентирано с изменението на  клауза 4.4 от ISO/IEC 27001:2022, като е даден още по- голям фокус върху процесите и техните взаимодействия. Тяхното прецизно идентифициране е предпоставка за определянето на  механизми за контрол не произволно, а с насоченост именно към тези процеси.

ХАРМОНИЗИРАНЕ НА СТРУКТУРАТА НА СТАНДАРТА

Измененията в новата версия на стандарта за информационна сигурност допринасят за пълното съответствие и хармонизиране на структурата му с тази на останалите ISO стандарти за управление. В този си вид стандартът е много по-съвместим и позволяващ системата за управление на сигурността на информацията да бъде оптимално интегрирана с мениджмънта, базиран на ISO 9001 и други стандарти за управление.

Пример за промяна, в посока хармонизиране на структурата на ISO 27001, е приемането на новата клауза 6.3, въвеждаща изискване измененията в системата за управление на сигурността на информацията да бъдат осъществявани при планирани условия. Това изискване е напълно в контекста на т. 8.1. от стандарта регламентираща контрол върху  измененията, както и на аналогични изисквания, поставени в останалите ISO стандарти /т. 6.3 от ISO 9001,  т. 6.1.2.1 от ISO 45001 и др./. Основавайки се на мисленото, основано на риска, с новата клауза 6.3, ISO/IEC 27001:2022 поставя изискване към организациите за изпреварващ анализ и оценка на предстоящите изменения на СУСИ /ISMS/ и за идентифицирането и оценяването на евентуални нови рискове за системата и за сигурността на информацията, като последица от тези изменения. С оглед това е въведено изискването тези изменения да бъдат осъществявани по планиран начин, т.е. при последователно прилагане на процесите на планиране съгласно клауза 6.1.

Аналогични, в посока уеднаквяване на структурата на стандарта със структурата от висока ниво – ANNEX SL на Директиви ISO/IEC, Част 1,  са промените и в клауза 9.2 Internal audit /вътрешен одит/, кл. 9.3 Management Review /преглед на системата от ръководството/ и клауза 10 Improvement /подобряване/

ДЕКЛАРАЦИЯ ЗА ПРИЛОЖИМОСТ И ВЪЗМОЖНИ КОНТРОЛНИ МЕХАНИЗМИ

Т. 6.1.3 Третиране на риска за сигурността на информацията

Промените в тази точка са както редакционни, така и от гледна точка на формулирането на ясни изисквания по отношение на избора на механизмите за контрол и на съдържанието на Декларацията за приложимост.

По съществена е промяната, въведена в Забележка 2 към тази клауза, с която се акцентира на това, че Приложение А съдържа само списък с възможни контролни механизми, а не изчерпателен такъв, каквото беше съдържанието на забележката в ISO 27001:2013. И в новата версия обаче остава задължението на организацията да сравни своите механизми за контрол с тези от Анекс А на ISO/IEC 27001:2022 , за да се увери, че не е пропуснала някои от необходимите контроли за сигурност на информацията.

Аналогичен е смисълът на промяната, направена в последната Забележка № 3, в която е посочено, че контролите за сигурност на информацията, изброени в приложение А, не са изчерпателни и могат да бъдат включени допълнителни контроли за сигурност на информацията, ако е необходимо. Тази промяна намира опора и в направеното изменение на ISO/IEC 27006:2015 с AMD 1/2020 съгласно, което сертификатът, удостоверяващ съответствие на системата за управление на  сигурността на информацията /ISO 27001/ може да удостоверява, че контроли или набор от контроли, определени от организацията в Декларацията й за приложимост имат за източник  други национални и/или международни стандарти.

ИЗИСКВАНИЯ КЪМ ДЕКЛАРАЦИЯТА ЗА ПРИЛОЖИМОСТ

Промените в б. „г“ на т. 6.1.3 изцяло възпроизвеждат направената промяна в ISO/IEC 27001:2013, Cor 2:2015, като поставят ясно изискване относно структурата и съдържанието на Декларацията за приложимост, която трябва да съдържа:

  • необходимите контроли
  • обосновка за включването им;
  • дали са внедрени необходимите контроли или не и
  • обосновката за изключване на която и да е от контролите от приложение А.

ОПЕРАТИВНО ПЛАНИРАНЕ И КОНТРОЛ

В т. 8.1., регламентираща планиране, внедряване и контролиране на процесите, са въведени 2 бр. промени.

Първата от тях касае отпадане на текста, свързан с това че организацията трябва да изпълнява плановете за реализация на своите цели по сигурност на информацията съгласно т. 6.2, като същото е заместено от нов текст, поставящ изискване  организацията да изпълнява всички действия, определени в клауза 6, чрез:

–           установяване на критерии за процесите;

–           осъществяване на контрол на процесите в съответствие с критериите

Промяната от една страна води до хармонизиране на изискванията на ISO 27001 с тези на останалите стандарти за управление, но по-съществената промяна е насочена към това, че процесът на оперативно планиране и контрол е насочен към реализирането на всички планирани мерки на организацията съгласно т.6, а именно: за справяне с рисковете и възможностите за  СУСИ, за третиране на рисковете за информационната сигурност и за реализация на целите по сигурност на информацията.

Втората промяна, е свързана с управлението и контрола върху процесите, възлагани на външни изпълнители /outsourcing/, като настоящата редакция не променя по същество това изискване, но акцентира на това, че обект на контрол следва да са процесите, продуктите и услугите, които имат значение за системата за управление на сигурността на информацията.

ПРОМЕНИ В АНЕКС/ПРИЛОЖЕНИЕ А към  ISO/IEC 27002:2022

Промените в Приложение „А“  са едни от най съществените, касаещи структурата на анекса, групирането на механизмите за контрол, въвеждането на нови контролни механизми, отпадане на целите на контролите, но обвързването им с атрибутите на контролите или т.нар. хаштагове /hashtags/.

Промените в ПРИЛОЖЕНИЕ А към  ISO/IEC 27002:2022  са насочени към постигането на съответствие на стандарта с новия  ISO/IEC 27002:2022.