Лисп-программисту известна ценность всего, но неизвестна цена чего бы то ни было. (Алан.Дж.Перлис)

Новое в информационной безопасности: подробный взгляд на ISO 27001 и 27002

Главное меню » Безопасность в IT » Новое в информационной безопасности: подробный взгляд на ISO 27001 и 27002

27.09.2021

Атаки на информационную безопасность продолжают поражать организации по всему миру, и нет никаких признаков того, что частота, разнообразие или масштабы нарушений в ближайшее время уменьшатся. Чтобы справиться с проблемой изменения рисков, недавно был обновлен хорошо известный стандарт соответствия требованиям кибербезопасности, как и предполагалось в течение некоторого времени.

ISO 27001 — это международный стандарт управления информационной безопасностью Международной организации по стандартизации. В настоящее время используются определения из документов 2013 года с обновлениями в 2014 и 2015 годах, это центральная структура для требований внедрения в СМИБ (Система управления информационной безопасностью). Организации могут пройти сертификацию по ISO 27001, используя стандарт управления для достижения соответствия. Новое третье издание стандарта ISO 27002, выпущенное в 2021 году, вводит свод правил для контроля безопасности, который соответствует требованиям ISO 27001.

Внедрение, сертификация и соблюдение стандартов ISO 27001 и 27702 открывают новые возможности для роста доходов. Согласовав безопасность данных со стандартами ISO, ваша организация будет работать в соответствии с передовой международной практикой. Инвесторы, заинтересованные стороны, а также новые и существующие клиенты могут быть уверены, что данные вашей организации защищены с помощью стандартов ISO.

Чтобы было ясно, ISO 27001 — это стандарт, по которому организации сертифицированы. ISO 27002 предоставляет дополнительные сведения для выбора, внедрения и управления средствами контроля информационной безопасности.

Различия указывают на новые и обновленные способы, которыми организация должна заниматься и управлять информационной безопасностью, чтобы в ближайшем будущем получить сертификат ISO 27001. Организации должны проходить повторную сертификацию каждые три года с ежегодным надзорным аудитом, с учетом периода конверсии при выпуске нового стандарта. Если ISO 27002 приведет к новому процессу повторной сертификации в 2021 или 2022 году, у организаций будет возможность повторно пройти сертификацию в соответствии со старым стандартом 2013 года, что даст время для обновления связанных процессов в соответствии с новыми элементами управления ISO 27002. К 2024 или 2025 году все организации будут использовать новый стандарт, но те, кто хочет его обновить, сделают это гораздо раньше.

Читать Важность информационной безопасности центра обработки данных

ISO работает над обеспечением единообразия всех своих стандартов в различных областях бизнеса, таких как производство, цепочка поставок и финансовые услуги. Если ваша организация имеет другие сертификаты ISO, такие как управление рисками, финансовый менеджмент и т. д., Вполне вероятно, что эти стандарты будут обновлены, чтобы сократить старые процессы или добавить новые требования в ISO 27001. Ключом к управлению сертификацией ISO является обращение к нескольким стандартам с помощью взаимосвязанного согласованного процесса для минимизации повторяющихся или конфликтующих процессов между обновлениями.

Поскольку в наши дни информационная безопасность является одной из ключевых бизнес-практик и вызывает серьезную озабоченность у современных предприятий и их исполнительных советов, неудивительно, что стандарт ISO 27002 требует пересмотра.

Но достаточно контекста и самих элементов управления — что изменилось?

Средства управления информационной безопасностью теперь разделены на 4 категории:

Раздел 5. Организационный контроль
Раздел 6. Управление персоналом
Раздел 7. Физический контроль
Раздел 8. Технологический контроль

Это значительно сокращает текущие 14 категорий и, как отмечалось выше, обеспечивает большую согласованность и общность с другими стандартами ISO.

Общее количество элементов управления в ISO 27002 уменьшилось со 114 до 93, а шестнадцать устаревших элементов управления были удалены.

Отражая постоянно меняющийся ландшафт кибербезопасности, были введены двенадцать новых элементов управления, а именно:

Разведка угроз
Информационная безопасность при использовании облачных сервисов
Предотвращение утечки данных
Удаление информации и запутывание или маскирование данных в целях конфиденциальности
Готовность к непрерывности бизнеса
Управление идентификацией
Мониторинг физической безопасности
Безопасность конечных точек для пользовательских устройств
Управление конфигурацией
Веб-фильтрация
Безопасное кодирование

Читать AAA (Аутентификация, авторизация и учет)

В рамках дальнейшего развития свойств безопасности конфиденциальности, целостности и доступности новый ISO 27001 детализирует новые атрибуты, упрощающие классификацию и управление. Контролям присваивается такой тип, как Превентивный, Детективный, Корректирующий, со свойствами информационной безопасности CIA, как и раньше.

Идентификация, защита, обнаружение, реагирование и восстановление используются в качестве ключевых концепций информационной безопасности, а операционные возможности определены как непрерывность, физическая безопасность, управление событиями информационной безопасности.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Просмотров поста: 42