Новото приложение „А“ на стандарта ISO/IEC 27001:2022
Едни от най- съществените промени в публикуваната трета версия на ISO/IEC 27001:2022 са тези, свързани с АНЕКС/ПРИЛОЖЕНИЕ „А“ на стандарта. Във висока степен тези промени са насочени към постигането на съответствие на ISO/IEC 27001:2022 с новия ISO/IEC 27002:2022 „Сигурност на информацията, киберсигурност и защита на поверителността. Управление на сигурността на информацията“, който дава подробни указания и насоки за внедряване на референтен набор от общи контроли за сигурност на информацията и насоки за управление на информационната сигурност.
В новата трета версия на ISO 27001, Приложение А вече е с ново заглавие – Референтни контроли на сигурността на информацията. Промяната в заглавието на Приложението е изцяло в контекста на промяната направена в т. 6.1.3 от основния текст, съгласно която контролите за сигурност на информацията, изброени в приложение А, не са изчерпателни и всяка организация би могла да включи допълнителни контроли за сигурност на информацията, при отчитане на необходимостта от това и своята специфика. Независимо от референтния характер на контролите, посочени в приложение А, стандартът поставя изискване контролите, избрани от всяка една организация да бъдат сравнени с тези от приложение „А“, за да се провери за евентуални пропуски. Изборът на подходящи контролни механизми е резултат от задълбочен процес на анализ и оценка на рисковете за сигурността на информацията през целия й жизнен цикъл.
Друга съществена промяна е свързана с премахването на референтните цели за всяка една от групите контроли, като съобразно указанията на ISO/IEC 27002:2022 за всяка отделна контрола следва да бъде определена целта, която организацията желае да постигне с прилагането й.
Общият брой на контролите от 114 сега е редуциран на 93, като няма отпаднали контроли, а съществуващите са групирани в по-малко на брой. Общо 24 от старите контроли са обединени, а 58 са преработени. Добавени са и нови 11 контроли.
Всички контроли са разделени в 4 основни групи, от т. 5 до т. 8 и съобразно ISO/IEC 27002:2022:
- т. 5. Организационни контроли– 37 броя
- т. 6. Контрол на хората /персонала – 8 броя
- т. 7. Физически контроли– 14 броя и
- т. 8. Технологични контроли– 34 броя
В ISO 27002:2022 за първи път е създадено друго нововъведение, имащо за цел да помогне мениджърите по сигурността да се ориентират в широкия набор от мерки.
В приложение А към стандарта за всяка контролна мярка са отразени пет атрибута (attribute).
Тези атрибути /характеристики, свойства/ на контролите, позволяват тяхната по-ясна категоризация, съобразно:
1) Типа контрол (превантивен, разследващ, коригиращ), определен съобразно способността на контролата да доведе до промяна в риска за сигурността на информацията във връзка с появата на инцидент
2) Характеристиките на сигурността на информацията (поверителност, цялост, наличност) и способността на контролата да допринесе за тяхното запазване
3) Концепциите за киберсигурност (идентифициране, защита, откриване, реагиране, възстановяване) и способността на контролата да допринесе за осигуряването на сигурността на цифровата информация.
4) Оперативни възможности (управление на активи, непрекъсваемост, физическа сигурност и др.);
5) Домейни (сфери) на сигурност (управление и екосистема, защита, отбрана, устойчивост).
На всяка от контролите, трябва да бъдат определени съответните характеристики, подбрани от посочените 5 групи /хаштагове/.
Чрез определянето на атрибутите на всяка контрола се осигурява по- голяма яснота и вникване в предназначението й, което подпомага сертифицираните организации да разгледат по-задълбочено своите системи за управление на сигурността на информацията / СУСИ- ISMS/, в т.ч. и в посока извършване на подобрения.
При определянето на контролите, за всяка от тях следва да се дефинират:
- Заглавието на контролата, т.е. съкратеното име на контролата, напр. 8.8 „Управление на техническите уязвимости“
- Таблица с атрибути, показваща стойността на всяка характеристика на избраната контрола;
- Контрол, т.е. какво представлява контролата;
- Цел- определяне на необходимостта от прилагането й;
- Насоки за приложение- как трябва да се осъществява контролата;
- Друга информация: обяснителен текст или препратки към други свързани документи.
Оставете коментар