Нова версія стандарту ISO/IEC 27001:2022: чим IT-компаніям корисний цей стандарт та як його впровадити

Уже багато років для IT-компаній сертифікати ISO — must have, адже саме вони можуть гарантувати надійність бізнесу з точки зору міжнародних стандартів. Під час війни, коли західні замовники стають більш вимогливими до українських компаній, така гарантія — ще важливіша. 

Один з основних для IT-стандартів, система менеджменту інформаційної безпеки ISO/IEC 27001 оновилась 2022 року. У цій статті розповімо про нову версію, а також — як саме стандарт та сертифікат ISO/IEC 27001 допомагає бізнесу, та як його впровадити. 

Навіщо IT-бізнесу сертифікати ISO

Стандарти ISO уже багато років розробляються Міжнародною організацією зі стандартизації, можуть стосуватися найрізноманітніших сервісів та індустрій: від медицини та енергоспоживання і до кібербезпеки. Ці стандарти визнані в усьому світі. Згідно із ними розробляють і сертифікати, які підтверджують відповідність таким стандартам.

Тож якщо певна компанія чи організація має сертифікацію ISO, для її міжнародних клієнтів, замовників, партнерів та інвесторів — це аналог гарантійного талона про якість та надійність її послуг. Якщо коротко, сертифікат — це ознака того, що бізнесу можна довіряти, документ, зрозумілий будь-якою мовою світу. 

Кожна галузь має свої сертифікати ISO. Для IT найголовніші — стандарти, ISO/IEC 27701, ISO 20000-1, ISO/IEC 27001. Останній, що характеризує стан менеджменту інформаційної безпеки, 2022 року отримав оновлення. Про нього ми й розповімо детальніше. 

Що таке стандарт ISO/IEC 27001 

Цей стандарт з’явився ще 1995 року, і весь цей час розвивався, вдосконалювався, та набував популярності. Адже за даними ISO Survey 2021 кількість виданих сертифікатів зросла на 32% порівняно із 2020 роком. Його остання версія ISO/IEC 27001:2022 вийшла нещодавно, 25 жовтня 2022 року. 

Повністю вона називається ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection — Information security management systems — Requirements. І фактично вона характеризує стан інформаційної та кібербезпеки у компанії, а також те, як вона захищає конфіденційні дані. До сімейства безпекових стандартів відносяться ще додаткові, наприклад:

  • ISO 27000 – Огляд і словник.
  • ISO 27002 – Правила по менеджменту інформаційної безпеки.
  • ISO 27003 – Керівництво по впровадженню системи менеджменту інформаційної безпеки.
  • ISO 27004 – Менеджмент інформаційної безпеки.
  • ISO 27005 – Менеджмент ризиків.

Але стандарт ISO/IEC 27001:2022 — основний для оцінки стану безпеки у компанії. Та єдиний з родини ISO 27001, за яким можна пройти сертифікацію.

Для будь-якого банку, дата-центру, IT чи онлайн-бізнесу, а надто для такого, що працює з великими масивами даних клієнтів, такий сертифікат — важлива ознака того, що компанія опікується безпекою та захистом даних.

Що нового в ISO/IEC 27001:2022

ISO/IEC 27001:2022 загалом описує структуру системи управління інформаційною безпекою (СУІБ) для будь-якої компанії. 

Ключовою для СУІБ є система управління ризиками. Адже нові кіберзагрози виникають майже щомиті, старі видозмінюються і стають дедалі небезпечнішими. Компаніям, які хочуть захистити від них бізнес-процеси та інформацію, потрібно вміти ідентифікувати такі ризики та керувати ними. 

У оновленому стандарті якраз розглядають найкращі практики управління ризиками. Перелік засобів контролю інформаційної безпеки в нормативному Додатку А нового стандарту ISO/IEC 27001:2022 повністю походить з переглянутого керівництва ISO/IEC 27002:2022. Каталог засобів контролю безпеки опублікували ще у лютому 2022 року, отже, зміни до переліку в новому стандарті були вже якийсь час передбачувані.

Ці засоби контролю перераховані у Додатку А до стандарту. Які у цьому переліку основні зміни? 

  • Раніше Додаток А включав загалом 114 засобів контролю (які використовують для ідентифікації та усунення ризиків безпеки) в рамках 35 цілей контролю, поєднаних у 14 пунктів.
  • У новому стандарті ISO/IEC 27001:2022 цілі контролю скасували, а засоби контролю переглянули, осучаснили та доповнили. Тобто, перелік засобів контролю у Додатку А став простішим та сучаснішим. 
  • Колишні 14 пунктів Додатку тепер зосереджені на чотирьох основних темах:
    • А.5 Організаційні заходи контролю (Process and Policies) (включає 37 заходів);
    • А.6 Персональні заходи контролю (People) (включає 8 заходів);
    • А.7 Фізичні заходи контролю (Physical) (включає 14 заходів);
    • А.8 Технічні заходи контролю (Technological) (включає 34 заходи). 
  • Загалом у Додатку А нової версії тепер є 93 заходи контролю, до яких додали 11 нових, зокрема:
    • А.5.7 Розвідка загроз (Threat intelligence (cyber/cloud/DP));
    • А.5.23 Інформаційна безпека при використанні хмарних сервісів (Information security for cloud services (cloud));
    • А.5.30 Готовність інформаційно-комунікаційних технологій до забезпечення безперервної діяльності (ICT readiness for business continuity);
    • А.7.4 Моніторинг фізичної безпеки (Physical security monitoring (physical));
    • А.8.9 Управління конфігурацією (Configuration management);
    • А.8.10 Видалення інформації (Information deletion (Data protection));
    • А.8.11 Маскування даних (Data masking (DP));
    • А.8.12 Запобігання витоку даних (Data leakage prevention (DP/Cyber));
    • А.8.16 Моніторинг активності (Monitoring activities);
    • А.8.23 Веб-фільтрація (Web filtering (cyber));
    • А.8.28 Безпечне кодування (Secure coding (Cyber & Application security)). 

Додаток А обмежується переліком засобів контролю. Але настанова із впровадження ISO/IEC 27002:2022 дає можливості для їхньої класифікації. Кожному засобу контролю дають п’ять атрибутів, які можна використовувати для фільтрування або сортування. Зокрема:

  • Тип засобу контролю. Атрибут, що представляє засоби контролю з тієї точки зору, як вони впливають на ризики для інформаційної безпеки.
  • Властивості інформаційної безпеки. Атрибут для засобу контролю з точки зору того, яка в нього мета. 
  • Концепції кібербезпеки. Атрибут, що розглядає засоби контролю по тому, як вони співвідносяться зі структурою кібербезпеки, яку описує стандарт ISO/IEC TS 27110.
  • Операційна спроможність. Атрибут засобів контролю з точки зору їхньої спроможності у сфері інформаційної безпеки. 
  • Домени безпеки. Атрибут, що розглядає засоби контролю з точки зору чотирьох доменів інформаційної безпеки. 

Чим сертифікат ISO/IEC 27001 може бути корисний бізнесу 

Щороку кіберзлочинність набирає обертів, як у кількості атак, так і в їхній складності та потенційній шкоді для жертв. За даними Всесвітнього економічного форуму, 2021 року обсяги кібератак зросли на 125% по всьому світі, і цей тред продовжується у 2022 році. Тому компаніям варто стратегічно підходити до питань безпеки свого бізнесу, захисту від кіберзагроз та персональних даних. 

Нову версію ISO/IEC 27001 розробляли саме з урахуванням цих нових та динамічних загроз. Це — найвідоміший у світі безпековий стандарт, і він уже десятки років допомагає компаніям захистити свої інформаційні ресурси. 

ISO/IEC 27001 допомагає:

  • Захистити інформацію в усіх формах: паперовій, цифровій або у хмарі. 
  • Збільшити стійкість бізнесу до кібератак. 
  • Захищатись від загроз, які постійно вдосконалюються.
  • Запровадити центральний фреймворк для захисту усієї інформації у компанії. 
  • Знизити витрати на неефективні технології захисту. 

Як отримати або ж оновити цей сертифікат ISO 27001:

Якщо компанія збирається впровадити систему менеджменту інформаційної безпеки за нову версією стандарту, їй варто вжити таких кроків:

  • Ознайомитись з новою версією стандарту. Офіційну версію стандарту можна купити на офіційному сайті ISO.
  • Пройти навчання по оновленому курсу стандарту ISO 27001 та навчити команду, щоб допомогти їй зрозуміти зміни та впровадити їх у роботу. 
  • Розробити політики та процедури, необхідні для стандарту (наприклад, політики та цілі інформаційної безпеки, реєстр активів, оцінку інформаційних ризиків компанії, політику управління персоналом, політику забезпечення фізичної безпеки, операційні процедури для управління ІТ та багато інших);
  • Обов’язково провести внутрішний аудит.

Якщо ж компанія хоче оновити сертифікат 2013 року, спочатку варто:

  • Провести аналіз прогалин у тих засобах контролю ризиків, які вона застосовує, на основі даних з ISO/IEC 27002:2022. 
  • Переглянути оцінку ризиків: чи узгоджена вона із цілями компанії, а також з останніми трендами у кіберзагрозах.
  • Поглянути на докази та обґрунтування включення або виключення необхідних засобів контролю та відповідно оновити свій SOA (Statement of applicability). Впровадити відповідні зміни на основі плану управління ризиками та нових контролів.
  • Підтвердити зміни за допомогою внутрішнього аудиту, та переконатись, що їх впровадили ефективно. 

На цьому етапі можна оновлювати свій сертифікат ISO/IEC 27001. Для цього потрібно зв’язатися з представником сертифікаційного органу та запланувати аудит переходу на новий стандарт. За результатами аудиту можна отримувати оновлений сертифікат ISO/IEC 27001:2022.

Впровадження стандарту ISO 27001 допомагає бізнесу моніторити та керувати усіма ризиками, пов’язаними із кіберзагрозами та захистом даних. А клієнтам, партнерам та інвесторам компанії підтверджений сертифікат сигналізуватиме про те, що вона дотримується найвищих стандартів безпеки, прийнятих у світі. 

Чи можна отримати перейти на версію нового стандарту та пройти сертифікацію ISO/IEC 27001:2022 в Україні?

Звичайно, є сертифікаційні органи й в Україні – і їх вибір чималий. Найкраще довірити цей процес компанії, яка має велику кількість партнерів та репутацію на ринку. 

Група компаній BALTUM – саме така. Наші основні переваги:

  • BALTUM працює з кількома сертифікаційними органами і є партнером міжнародних компаній, таких як UNICERT (Німецька акредитація DAkkS), Swiss Approval (Швейцарія, Американська акредитація IAS), URS (Акредитація Великої Британії (UKAS)) та інші. 
  • Велика лінія сертифікаційних органів, з якими ми працюємо напряму в кожній локальній країні, дозволяє нам запропонувати клієнту можливість вибору як сертифікаційного органу, так і підготовки компанії до сертифікації.
  • Ми організовуємо сертифікацію по всьому світі, незалежно від локації чи реєстрації компанії. Адже часто буває так, що операційний ІТ-бізнес знаходиться в Україні, але є також представники в інших країнах. Компанія Baltum покриває всі офіси в різних світових локаціях.
  • Велика команда з різноманітними експертизами в різних стандартах (ISO/IEC 27001, ISO/IEC 27701, ISO/IEC 20000-1, ISO 9001) дозволяє закрити будь-які потреби клієнта, у тому числі специфічні.
  • Свій навчальний центр, який дозволяє отримати кваліфікацію менеджера або аудітори по системах менеджменту.
  • Консультанти BALTUM допоможуть визначитися, який стандарт буде оптимальним саме для вашої компанії. Тож не зволікайте, інвестуйте в ISO – це запорука майбутнього вашого бізнесу.

У цій статті ми постаралися максимально повно розповісти все, що потрібно знати про оновлений стандарт ISO/IEC 27001:2022. Якщо у вас ще залишились питання, наш провідний аудитор Кирило Проскурня проаналізує ваш бізнес та з радістю пояснить усі деталі. Кирило має багаторічний досвід у сфері ISO 27001, ISO 27701, ISO 9001 сертифікації та допоміг десяткам ІТ-компаній успішно пройти через цей непростий процес.

Також якщо ви та ваша компанія плануєте пройти навчання по нової версії стандарту, розробити та оновити документацію ISO 27001, або пройти сертифікацію залишайте заявку вже зараз – спеціалісти BALTUM зроблять вам особисту пропозицію та будуть супроводжувати вас аж до успішної сертифікації. 

Залишити коментар

Коментарі | 0

Пошук