Узнать правду
Image

Наука безумнее, чем фантастика

Мы нашли ответы на вопросы, о которых вы даже не задумывались. Факты, которые заставят ваш мозг работать на 101%.

Обновился стандарт ISO 27001, новый список контролей

Обновился стандарт ISO 27001, новый список контролей

На днях вышло официальное обновление стандарта ISO 27001,  ISO/IEC 27001:2013/DAmd 1(en) Information technology — Security techniques — Information security management systems — Requirements — AMENDMENT 1. Теперь у нас новый список контролей (мер ИБ) в приложении А, теперь он выровнен с обновленным стандартом ISO 27002:2022, который мы также ожидаем со дня на день.

Общее количество контролей сокращено до 93 (в основном путем объединения), добавлено 11 новых:

  • 5.7 Threat intelligence
  • 5.23 Information security for use of cloud services
  • 5.30 ICT readiness for business continuity
  • 7.4 Physical security monitoring
  • 8.9 Configuration management
  • 8.10 Information deletion
  • 8.11 Data masking
  • 8.12 Data leakage prevention
  • 8.16 Monitoring activities
  • 8.22 Web filtering
  • 8.28 Secure coding

Теперь контроли группируются по 4 разделам:
  • Ch5, Organizational controls (37)
  • Ch6, People controls (8)
  • Ch7, Physical controls (14)
  • Ch8, Technological controls (34)

А не как раньше:
  • A.5 Information security policies
  • A.6 Organization of information security 
  • A.7 Human resource security
  • A.8 Asset management
  • A.9 Access control
  • A.10 Cryptography
  • A.11 Physical and environmental security
  • A.12 Operations security
  • A.13 Communications security
  • A.14 System acquisition, development and maintenance
  • A.15 Supplier relationships
  • A.16 Information security incident management
  • A.17 Information security aspects of business continuity management
  • A.18 Compliance
Итоговый список выглядит так ( pdf и doc на Патреоне):
Но самое интересное нас ожидает в обновлении ISO 27002, там для каждого контроля будут описаны его аттрибуты, что сильно упростит работу с ними и облегчит маппинг на другие стандарты и "лучшие практики", скоро увидим следующие аттрибуты:
  • Control types: Preventive, Detective, and Corrective
  • Information security properties: Confidentiality, Integrity, and Availability
  • Cybersecurity concepts: Identify, Protect, Detect, Respond, and Recover
  • Operational capabilities: Governance, Asset management, Information protection, Human resource security, Physical security, System and network security, Application security, Secure configuration, Identity and access management, Threat and vulnerability management, Continuity, Supplier relationships security, Legal and compliance, Information security event management, and Information security assurance
  • Security domains: Governance and ecosystem, Protection, Defense, and Resilience

А если вы уже внедрили СУИБ по старой версии 27001, то в ближайшее время вам надо сделать следующее:
1. Обновить План обработки рисков (Risk Treatment Plan, RTP)
2. Обновить Соглашение о применимости контролей (Statement of Applicability, SoA)
3. Пересмотреть частные Политики и Процедуры СУИБ (по необходимости)

Ну, а для любителей СУИБ напоминаю, что на Патреоне я собираю свои рекомендации и шаблоны в ISMS implementation toolkit. Поддержите этот проект, подпишитесь и получите доступ ко всем материалам.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

ИЛЛЮМИНАТЫ, 5G И ВАША ГЛУПОСТЬ

Думаете, что «видите скрытые связи»? На самом деле ваш мозг просто сломался под весом интернета. Пока вы ищете масонские знаки в цифрах на чеке, вы теряете связь с реальностью. Разберитесь, почему ваш интеллект проигрывает битву с картинками из соцсетей и как не стать цифровым психопатом.

 Включить критическое мышление
article-title

Andrey Prozorov

Информационная безопасность в России и мире