Новото приложение „А“ на стандарта ISO/IEC 27001:2022

Едни от най- съществените промени в публикуваната  трета версия на ISO/IEC 27001:2022 са тези, свързани с АНЕКС/ПРИЛОЖЕНИЕ „А“ на стандарта. Във висока степен тези промени са насочени към постигането на съответствие на ISO/IEC 27001:2022 с новия  ISO/IEC 27002:2022 „Сигурност на информацията, киберсигурност и защита на поверителността. Управление на сигурността на информацията, който дава подробни указания и насоки за внедряване на референтен набор от общи контроли за сигурност на информацията и   насоки за управление на информационната сигурност.

В новата трета версия на ISO 27001, Приложение А вече е с ново заглавие –  Референтни контроли на сигурността на информацията. Промяната в заглавието на  Приложението е изцяло в контекста на  промяната направена в т. 6.1.3 от основния текст, съгласно която контролите за сигурност на информацията, изброени в приложение А, не са изчерпателни и всяка организация би могла да включи допълнителни контроли за сигурност на информацията, при отчитане на  необходимостта от това и своята специфика. Независимо от  референтния характер на контролите, посочени в приложение А, стандартът поставя изискване контролите, избрани от всяка една организация да бъдат сравнени с тези от приложение „А“, за да се провери за евентуални пропуски. Изборът на подходящи контролни механизми е резултат от задълбочен процес на анализ и оценка на рисковете за сигурността на информацията през целия й жизнен цикъл.

Друга съществена промяна е свързана с премахването на референтните цели за всяка една от групите контроли, като съобразно указанията на ISO/IEC 27002:2022 за всяка отделна контрола следва да бъде определена целта, която организацията желае да постигне с прилагането й.

Общият брой на контролите от 114 сега е редуциран на 93, като няма отпаднали контроли, а съществуващите са групирани в по-малко на брой. Общо 24 от старите контроли са обединени, а 58 са преработени. Добавени са и нови 11 контроли.

Всички контроли са разделени в 4 основни групи, от т. 5 до т. 8 и съобразно ISO/IEC 27002:2022:

  • т. 5. Организационни контроли– 37 броя
  • т. 6. Контрол на хората /персонала – 8 броя
  • т. 7. Физически контроли– 14 броя и
  • т. 8. Технологични контроли– 34 броя

В ISO 27002:2022 за първи път е създадено друго нововъведение, имащо за цел да помогне мениджърите по сигурността да се ориентират в широкия набор от мерки.

В приложение А към стандарта за всяка контролна мярка са отразени пет атрибута (attribute).

Тези атрибути /характеристики, свойства/ на контролите, позволяват тяхната по-ясна категоризация, съобразно:

1)  Типа контрол (превантивен, разследващ, коригиращ), определен съобразно способността на контролата да доведе до промяна в риска за сигурността на информацията във връзка с появата на инцидент

2)  Характеристиките на сигурността на информацията (поверителност, цялост, наличност) и способността на контролата да допринесе за тяхното запазване

3) Концепциите за киберсигурност (идентифициране, защита, откриване, реагиране, възстановяване) и способността на контролата да допринесе за  осигуряването на сигурността на цифровата информация.

4) Оперативни възможности (управление на активи, непрекъсваемост, физическа сигурност и др.);

5) Домейни (сфери) на сигурност (управление и екосистема, защита, отбрана, устойчивост).

На всяка от контролите, трябва да бъдат определени съответните характеристики, подбрани от посочените 5 групи /хаштагове/.

Чрез определянето на атрибутите на  всяка контрола се осигурява по- голяма яснота и вникване в предназначението й, което подпомага сертифицираните организации да разгледат по-задълбочено своите системи за управление на сигурността на информацията / СУСИ- ISMS/, в т.ч. и в посока извършване на подобрения.

При определянето на контролите, за всяка от тях следва да се  дефинират:

  • Заглавието на контролата, т.е. съкратеното име на контролата, напр. 8.8 „Управление на техническите уязвимости
  • Таблица с атрибути, показваща стойността на всяка характеристика на избраната контрола;
  • Контрол, т.е. какво представлява контролата;
  • Цел- определяне на необходимостта от прилагането й;
  • Насоки за приложение- как трябва да се осъществява контролата;
  • Друга информация: обяснителен текст или препратки към други свързани документи.