На днях вышло официальное обновление стандарта ISO 27001, ISO/IEC 27001:2013/DAmd 1(en) Information technology — Security techniques — Information security management systems — Requirements — AMENDMENT 1 . Теперь у нас новый список контролей (мер ИБ) в приложении А, теперь он выровнен с обновленным стандартом ISO 27002:2022, который мы также ожидаем со дня на день.
Общее количество контролей сокращено до 93 (в основном путем объединения), добавлено 11 новых:
- 5.7 Threat intelligence
- 5.23 Information security for use of cloud services
- 5.30 ICT readiness for business continuity
- 7.4 Physical security monitoring
- 8.9 Configuration management
- 8.10 Information deletion
- 8.11 Data masking
- 8.12 Data leakage prevention
- 8.16 Monitoring activities
- 8.22 Web filtering
- 8.28 Secure coding
Теперь контроли группируются по 4 разделам:
- Ch5, Organizational controls (37)
- Ch6, People controls (8)
- Ch7, Physical controls (14)
- Ch8, Technological controls (34)
А не как раньше:
- A.5 Information security policies
- A.6 Organization of information security
- A.7 Human resource security
- A.8 Asset management
- A.9 Access control
- A.10 Cryptography
- A.11 Physical and environmental security
- A.12 Operations security
- A.13 Communications security
- A.14 System acquisition, development and maintenance
- A.15 Supplier relationships
- A.16 Information security incident management
- A.17 Information security aspects of business continuity management
- A.18 Compliance
Итоговый список выглядит так ( pdf и doc на Патреоне ):
Но самое интересное нас ожидает в обновлении ISO 27002, там для каждого контроля будут описаны его аттрибуты, что сильно упростит работу с ними и облегчит маппинг на другие стандарты и "лучшие практики", скоро увидим следующие аттрибуты:
- Control types: Preventive, Detective, and Corrective
- Information security properties: Confidentiality, Integrity, and Availability
- Cybersecurity concepts: Identify, Protect, Detect, Respond, and Recover
- Operational capabilities: Governance, Asset management, Information protection, Human resource security, Physical security, System and network security, Application security, Secure configuration, Identity and access management, Threat and vulnerability management, Continuity, Supplier relationships security, Legal and compliance, Information security event management, and Information security assurance
- Security domains: Governance and ecosystem, Protection, Defense, and Resilience
А если вы уже внедрили СУИБ по старой версии 27001, то в ближайшее время вам надо сделать следующее:
1. Обновить План обработки рисков (Risk Treatment Plan, RTP)
2. Обновить Соглашение о применимости контролей (Statement of Applicability, SoA)
3. Пересмотреть частные Политики и Процедуры СУИБ (по необходимости)
Ну, а для любителей СУИБ напоминаю, что на Патреоне я собираю свои рекомендации и шаблоны в ISMS implementation toolkit . Поддержите этот проект, подпишитесь и получите доступ ко всем материалам.