bga68comp: (Default)
bga68comp ([personal profile] bga68comp) wrote2024-08-28 08:18 pm
  • Add Memory
  • Share This Entry
Entry tags:

Отличия iso 27001:2022 от 27001:2015


ISO/IEC 27001:2022 отличается от ISO/IEC 27001:2015 несколькими важными изменениями и улучшениями.
Ключевые различия

  1. Обновление Приложения A (контроли):
    • Основное изменение касается Приложения A, где перечень контролей был пересмотрен и актуализирован.
    • В новой версии количество контролей сократилось с 114 до 93. Они теперь распределены по 4 категориям вместо 14: организационные меры, меры для защиты людей, меры по защите технологической инфраструктуры, меры по управлению физической средой.
    • Были добавлены новые контроли, такие как "управление угрозами" и "управление конфиденциальностью данных".
  2. Фокус на адаптивность и устойчивость:
    • В новой версии больший акцент сделан на управлении рисками и устойчивостью информационной безопасности, что включает управление инцидентами и возможность адаптации к новым угрозам и изменениям.
  3. Более гибкий подход к документации:
    • ISO/IEC 27001:2022 делает упор на необходимость вести документацию, но при этом оставляет организациям больше свободы в выборе того, как именно она будет вестись.
  4. Обновления терминологии и структуры:
    • Введены обновления в терминологию, чтобы обеспечить большую ясность и соответствие современным требованиям к информационной безопасности.
    • Некоторые разделы стандарта были пересмотрены и переформатированы, чтобы улучшить их понимание и применение на практике.
  5. Процесс сертификации:
    • Переход с ISO/IEC 27001:2015 на ISO/IEC 27001:2022 требует пересмотра системы управления информационной безопасностью (СУИБ) организации, чтобы она соответствовала новым требованиям.

Эти изменения отражают текущие вызовы в области информационной безопасности и адаптируют стандарт к современным условиям и требованиям.

В стандарте ISO/IEC 27001:2022 контроли в Приложении A разделены на 4 категории, каждая из которых охватывает разные аспекты управления информационной безопасностью.

Приложении A. Подробное описание категорий

1. Организационные меры (Organizational controls)

Эта категория включает контроли, связанные с управлением и организацией процессов информационной безопасности внутри компании. Они направлены на обеспечение правильного подхода к управлению информационной безопасностью и включают такие аспекты, как:
  • Управление политиками безопасности: разработка, внедрение и поддержка политик информационной безопасности.
  • Роли и обязанности: определение ролей и ответственности сотрудников в области информационной безопасности.
  • Управление рисками: идентификация, оценка и управление рисками, связанными с информационной безопасностью.
  • Управление ресурсами: эффективное распределение и использование ресурсов для обеспечения информационной безопасности.

2. Меры для защиты людей (People controls)

Эта категория включает контроли, направленные на защиту людей, работающих с информационными активами, и обеспечение их осведомленности и готовности к соблюдению правил безопасности. Основные контроли включают:
  • Обучение и осведомленность: программы обучения сотрудников основам информационной безопасности.
  • Проверка на благонадежность: проверка новых сотрудников на благонадежность перед началом работы с критичными информационными активами.
  • Управление инцидентами с персоналом: реагирование на инциденты, связанные с человеческими факторами, такими как внутренние угрозы.

3. Меры по защите технологической инфраструктуры (Technological controls)

Эта категория охватывает контроли, связанные с техническими аспектами защиты информационных активов, включая защиту систем, сетей и данных. Включает такие меры, как:
  • Управление доступом: контроль доступа к системам и данным для предотвращения несанкционированного использования.
  • Шифрование данных: использование шифрования для защиты конфиденциальной информации.
  • Управление уязвимостями: выявление, оценка и устранение уязвимостей в системах и приложениях.
  • Управление безопасностью сетей: защита сетевой инфраструктуры от угроз, таких как атаки DDoS или вредоносное ПО.

4. Меры по управлению физической средой (Physical controls)

Эта категория включает контроли, направленные на защиту физических активов и среды, в которой обрабатываются информационные активы. Включает следующие аспекты:
  • Физическая безопасность объектов: контроль доступа к помещениям, где хранятся или обрабатываются критические информационные активы.
  • Охрана и контроль за помещениями: использование систем видеонаблюдения, сигнализации и других мер для защиты объектов.
  • Защита от стихийных бедствий: меры для защиты объектов от природных угроз, таких как пожары, наводнения и землетрясения.
  • Управление физическими носителями: контроль за хранением, перемещением и уничтожением физических носителей информации (например, бумажных документов или жестких дисков).

Эти категории помогают структурировать подходы к информационной безопасности, учитывая не только технические аспекты, но и организационные, человеческие и физические факторы.

Обновления терминологии в стандарте ISO/IEC 27001:2022 направлены на улучшение ясности, соответствие современным тенденциям в области информационной безопасности и более точное отражение концепций и процессов.

Информация о ключевых изменениях в терминологии

1. Изменение терминов и определений

Некоторые термины были пересмотрены для улучшения их понимания и согласования с другими международными стандартами. Примеры:
  • "Цель управления" (Control objective) была заменена на "Управленческую цель" (Management objective), чтобы подчеркнуть связь с управленческими процессами и целями организации, а не только с мерами безопасности.
  • Термин "Риск" (Risk) стал более широко применяться с учетом различных контекстов, охватывающих не только информационные, но и бизнес-риски.

2. Введение новых понятий

Новые понятия и термины введены для отражения современных подходов к управлению информационной безопасностью:
  • "Устойчивость" (Resilience): термин подчеркивает способность организации поддерживать свою деятельность на должном уровне, несмотря на потенциальные инциденты или атаки.
  • "Управление угрозами" (Threat management): введен для описания процессов идентификации и противодействия новым и развивающимся угрозам, включая кибератаки и внутренние угрозы.
  • "Конфиденциальность данных" (Data privacy): термин стал важным в контексте защиты персональных данных и выполнения требований законодательств, таких как GDPR.

3. Уточнение и расширение значений существующих терминов

Некоторые существующие термины были уточнены и дополнены, чтобы лучше отражать их значение в текущих условиях:
  • "Инцидент безопасности" (Security incident): расширено значение термина, включив в него более широкий спектр возможных инцидентов, таких как утечка данных, компрометация конфиденциальности, сбой работы систем.
  • "Управление активами" (Asset management): уточнен, чтобы подчеркнуть важность не только технических активов, но и данных, знаний и других нематериальных активов.

4. Согласование с другими стандартами

Терминология ISO/IEC 27001:2022 согласована с другими стандартами серии ISO и международными нормативными актами:
  • Согласование с ISO 31000 (Управление рисками): термины, связанные с рисками, были пересмотрены, чтобы соответствовать подходам и определениям, приведенным в стандарте ISO 31000.
  • Интеграция с GDPR и другими законами о защите данных: термины, касающиеся конфиденциальности и защиты данных, приведены в соответствие с требованиями международных и региональных законодательств, таких как GDPR.

5. Обновление иерархии и структуры терминов

В новой версии стандарта также пересмотрена структура и иерархия терминов для лучшего понимания взаимосвязей между ними. Например, категории и подкатегории контролей были реорганизованы, чтобы сделать их более логичными и удобными для внедрения в различных организациях.

Эти обновления терминологии помогают лучше адаптировать стандарт к современным вызовам в области информационной безопасности, делая его более понятным и удобным для применения на практике.



  • Add Memory
  • Share This Entry
(0 comments)

Post a comment in response:

This account has disabled anonymous posting.
If you don't have an account you can create one now.
HTML doesn't work in the subject.
More info about formatting
 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.