Новото ISO/IEC 27001:2022
Изправени сме пред нови предизвикателства за сигурността на информацията и необходимост от осигуряването на все по- ефикасни мерки за защита на нейната поверителност, наличност и цялостност.
В голяма степен бизнес процесите на всяка една организация се основат на активен обмен на данни и информация, чиято защита през целия жизнен цикъл на информацията, е от решаващо значение за устойчивото и успешно развитие на компанията.
Една от възможностите за това е организациите да внедрят система за управление на сигурността на информацията, базирана на изискванията международния стандарт ISO 27001.
От 25.10.2022г. неговата нова трета версия е вече факт, като това ново издание има за цел да осигури по- добра и адекватна защита на информацията, отчитайки ръста на кибератаките и новите рискове за сигурността на информацията.
Основните промени в ISO/IEC 27001:2022 са продиктувани от необходимостта съдържанието на стандарта да бъде приведено в съответствие:
- с хармонизираната структура на другите стандарти за системи за управление както и
- с новото изцяло променено издание на ISO/IEC 27002:2022.
Кои са по- съществените промени в ISO/IEC 27001:2022
ПРОМЯНА В ЗАГЛАВИЕТО НА СТАНДАРТА
В контекста на изложеното до тук, на първо място извършена е промяна в заглавието на стандарта- „Сигурност на информацията, киберсигурност и защита на поверителността. Системи за управление на сигурността на информацията. Изисквания“. Тази промяна не е само редакционна, тя ясно разграничава две категории информация- аналогова и цифрова, като и двете са обект на защита, с акцент върху сигурността на цифровата информация и данни и на запазването на тяхната поверителност /тайната на информацията/. Промяната в заглавието на стандарта е имплицитно свързана и с въвеждането на нови механизми за контрол съгласно промените в ISO/IEC 27002:2022
На следващо място, новото издание на стандарта поставя акцент върху интегрирането на изискванията на системата за управление на сигурността на информацията в процесите на организацията, защото крайната цел на една заплаха за информацията са именно бизнес процесите и бизнес репутацията на организацията. Това дава отговор на въпроса, защо внедряването на система за управление на сигурността на информацията – СУСИ /ISMS/ е от значение за всяка организация – публична или частна и независимо от нейния размер или от вида й.
На значението на бизнес процесите и интегрирането на изискванията на системата за управление на информационната сигурност към тях, допълнително е акцентирано с изменението на клауза 4.4 от ISO/IEC 27001:2022, като е даден още по- голям фокус върху процесите и техните взаимодействия. Тяхното прецизно идентифициране е предпоставка за определянето на механизми за контрол не произволно, а с насоченост именно към тези процеси.
ХАРМОНИЗИРАНЕ НА СТРУКТУРАТА НА СТАНДАРТА
Измененията в новата версия на стандарта за информационна сигурност допринасят за пълното съответствие и хармонизиране на структурата му с тази на останалите ISO стандарти за управление. В този си вид стандартът е много по-съвместим и позволяващ системата за управление на сигурността на информацията да бъде оптимално интегрирана с мениджмънта, базиран на ISO 9001 и други стандарти за управление.
Пример за промяна, в посока хармонизиране на структурата на ISO 27001, е приемането на новата клауза 6.3, въвеждаща изискване измененията в системата за управление на сигурността на информацията да бъдат осъществявани при планирани условия. Това изискване е напълно в контекста на т. 8.1. от стандарта регламентираща контрол върху измененията, както и на аналогични изисквания, поставени в останалите ISO стандарти /т. 6.3 от ISO 9001, т. 6.1.2.1 от ISO 45001 и др./. Основавайки се на мисленото, основано на риска, с новата клауза 6.3, ISO/IEC 27001:2022 поставя изискване към организациите за изпреварващ анализ и оценка на предстоящите изменения на СУСИ /ISMS/ и за идентифицирането и оценяването на евентуални нови рискове за системата и за сигурността на информацията, като последица от тези изменения. С оглед това е въведено изискването тези изменения да бъдат осъществявани по планиран начин, т.е. при последователно прилагане на процесите на планиране съгласно клауза 6.1.
Аналогични, в посока уеднаквяване на структурата на стандарта със структурата от висока ниво – ANNEX SL на Директиви ISO/IEC, Част 1, са промените и в клауза 9.2 Internal audit /вътрешен одит/, кл. 9.3 Management Review /преглед на системата от ръководството/ и клауза 10 Improvement /подобряване/
ДЕКЛАРАЦИЯ ЗА ПРИЛОЖИМОСТ И ВЪЗМОЖНИ КОНТРОЛНИ МЕХАНИЗМИ
Т. 6.1.3 Третиране на риска за сигурността на информацията
Промените в тази точка са както редакционни, така и от гледна точка на формулирането на ясни изисквания по отношение на избора на механизмите за контрол и на съдържанието на Декларацията за приложимост.
По съществена е промяната, въведена в Забележка 2 към тази клауза, с която се акцентира на това, че Приложение А съдържа само списък с възможни контролни механизми, а не изчерпателен такъв, каквото беше съдържанието на забележката в ISO 27001:2013. И в новата версия обаче остава задължението на организацията да сравни своите механизми за контрол с тези от Анекс А на ISO/IEC 27001:2022 , за да се увери, че не е пропуснала някои от необходимите контроли за сигурност на информацията.
Аналогичен е смисълът на промяната, направена в последната Забележка № 3, в която е посочено, че контролите за сигурност на информацията, изброени в приложение А, не са изчерпателни и могат да бъдат включени допълнителни контроли за сигурност на информацията, ако е необходимо. Тази промяна намира опора и в направеното изменение на ISO/IEC 27006:2015 с AMD 1/2020 съгласно, което сертификатът, удостоверяващ съответствие на системата за управление на сигурността на информацията /ISO 27001/ може да удостоверява, че контроли или набор от контроли, определени от организацията в Декларацията й за приложимост имат за източник други национални и/или международни стандарти.
ИЗИСКВАНИЯ КЪМ ДЕКЛАРАЦИЯТА ЗА ПРИЛОЖИМОСТ
Промените в б. „г“ на т. 6.1.3 изцяло възпроизвеждат направената промяна в ISO/IEC 27001:2013, Cor 2:2015, като поставят ясно изискване относно структурата и съдържанието на Декларацията за приложимост, която трябва да съдържа:
- необходимите контроли
- обосновка за включването им;
- дали са внедрени необходимите контроли или не и
- обосновката за изключване на която и да е от контролите от приложение А.
ОПЕРАТИВНО ПЛАНИРАНЕ И КОНТРОЛ
В т. 8.1., регламентираща планиране, внедряване и контролиране на процесите, са въведени 2 бр. промени.
Първата от тях касае отпадане на текста, свързан с това че организацията трябва да изпълнява плановете за реализация на своите цели по сигурност на информацията съгласно т. 6.2, като същото е заместено от нов текст, поставящ изискване организацията да изпълнява всички действия, определени в клауза 6, чрез:
– установяване на критерии за процесите;
– осъществяване на контрол на процесите в съответствие с критериите
Промяната от една страна води до хармонизиране на изискванията на ISO 27001 с тези на останалите стандарти за управление, но по-съществената промяна е насочена към това, че процесът на оперативно планиране и контрол е насочен към реализирането на всички планирани мерки на организацията съгласно т.6, а именно: за справяне с рисковете и възможностите за СУСИ, за третиране на рисковете за информационната сигурност и за реализация на целите по сигурност на информацията.
Втората промяна, е свързана с управлението и контрола върху процесите, възлагани на външни изпълнители /outsourcing/, като настоящата редакция не променя по същество това изискване, но акцентира на това, че обект на контрол следва да са процесите, продуктите и услугите, които имат значение за системата за управление на сигурността на информацията.
ПРОМЕНИ В АНЕКС/ПРИЛОЖЕНИЕ А към ISO/IEC 27002:2022
Промените в Приложение „А“ са едни от най съществените, касаещи структурата на анекса, групирането на механизмите за контрол, въвеждането на нови контролни механизми, отпадане на целите на контролите, но обвързването им с атрибутите на контролите или т.нар. хаштагове /hashtags/.
Промените в ПРИЛОЖЕНИЕ А към ISO/IEC 27002:2022 са насочени към постигането на съответствие на стандарта с новия ISO/IEC 27002:2022.
Оставете коментар