Новая версия стандарта ISO/IEC 27001:2022: почему этот стандарт полезен для ИТ-компаний и как его внедрить

Уже много лет для ИТ-компаний сертификаты ISO являются «must have», ведь именно они могут гарантировать надежность бизнеса с точки зрения международных стандартов. Во время войны, когда западные заказчики становятся более требовательными к украинским компаниям, такая гарантия становится еще более важной.

Один из основных для ИТ-стандартов, система управления информационной безопасностью ISO/IEC 27001, обновилась в 2022 году. В этой статье расскажем о новой версии, а также о том, как именно стандарт и сертификат ISO/IEC 27001 помогают бизнесу и как его внедрить.

Зачем ИТ-бизнесу сертификаты ISO? 

Стандарты ISO уже много лет разрабатываются Международной организацией по стандартизации и могут касаться самых разных услуг и отраслей: от медицины и энергопотребления до кибербезопасности. Эти стандарты признаны во всем мире. Согласно им разрабатываются сертификаты, подтверждающие соответствие этим стандартам.

Таким образом, если конкретная компания или организация имеет сертификацию ISO, для ее международных клиентов, заказчиков, партнеров и инвесторов это аналог гарантийного талона о качестве и надежности ее услуг. Короче говоря, сертификат — это признак того, что бизнесу можно доверять, документ, понятный на любом языке мира.

Каждая отрасль имеет свои сертификаты ISO. Для ИТ самые важные — стандарты ISO/IEC 27701, ISO 20000-1, ISO/IEC 27001. Последний, который характеризует состояние управления информационной безопасностью, в 2022 году был обновлен. О нем мы и расскажем подробнее.

Что такое стандарт ISO/IEC 27001? Этот стандарт появился еще в 1995 году, и все это время развивался, совершенствовался и становился популярнее. Ведь по данным ISO Survey 2021 количество выданных сертификатов выросло на 32% по сравнению с 2020 годом. Его последняя версия ISO/IEC 27001:2022 вышла недавно, 25 октября 2022 года.

Полное название: ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection — Information security management systems — Requirements. И, фактически, она характеризует состояние информационной и кибербезопасности в компании, а также то, как она защищает конфиденциальные данные. К семейству стандартов безопасности относятся также дополнительные, например:

ISO 27000 – Обзор и словарь. ISO 27002 – Правила по управлению информационной безопасностью. ISO 27003 – Руководство по внедрению системы управления информационной безопасностью. ISO 27004 – Управление информационной безопасностью. ISO 27005 – Управление рисками. Но стандарт ISO/IEC 27001:2022 — основной для оценки состояния безопасности в компании. И единственный из семейства ISO 27001, по которому можно пройти сертификацию.

Для любого банка, дата-центра, ИТ или онлайн-бизнеса, особенно для того, который работает с большими массивами данных клиентов, такой сертификат — важный индикатор того, что компания заботится о безопасности и защите данных.

Что нового в ISO/IEC 27001:2022?

ISO/IEC 27001:2022 в общем описывает структуру системы управления информационной безопасностью (СУИБ) для любой компании.

Ключевым для СУИБ является система управления рисками. Ведь новые киберугрозы возникают практически каждый день, старые модифицируются и становятся всё более опасными. Компаниям, которые хотят защитить от них бизнес-процессы и информацию, нужно уметь идентифицировать такие риски и управлять ими.

В обновлённом стандарте как раз рассматриваются лучшие практики управления рисками. Перечень средств контроля информационной безопасности в нормативном Приложении А нового стандарта ISO/IEC 27001:2022 полностью происходит из пересмотренного руководства ISO/IEC 27002:2022. Каталог средств контроля безопасности опубликовали еще в феврале 2022 года, следовательно, изменения к перечню в новом стандарте были предсказуемыми уже некоторое время.

Эти средства контроля перечислены в Приложении А к стандарту. Какие в этом перечне основные изменения?

Ранее Приложение А включало всего 114 средств контроля (которые используют для идентификации и устранения рисков безопасности) в рамках 35 целей контроля, объединённых в 14 пунктах. В новом стандарте ISO/IEC 27001:2022 цели контроля отменили, а средства контроля пересмотрели, модернизировали и дополнили. То есть, перечень средств контроля в Приложении А стал проще и современнее. Прежние 14 пунктов 

Приложения теперь сосредоточены на четырех основных темах:
А.5 Организационные меры контроля (Process and Policies) (включает 37 мер);
А.6 Персональные меры контроля (People) (включает 8 мер);
А.7 Физические меры контроля (Physical) (включает 14 мер);
А.8 Технические меры контроля (Technological) (включает 34 меры).
В общем в Приложении А новой версии теперь 93 меры контроля, к которым добавили 11 новых, в частности: А.5.7 Разведка угроз (Threat intelligence (cyber/cloud/DP)); А.5.23 Информационная безопасность при использовании облачных сервисов (Information security for cloud services (cloud)); А.5.30 Готовность информационно-коммуникационных технологий к обеспечению непрерывной деятельности (ICT readiness for business continuity); А.7.4 Мониторинг физической безопасности (Physical security monitoring (physical)); А.8.9 Управление конфигурацией (Configuration management); А.8.10 Удаление информации (Information deleting (Data protection)); А.8.11 Маскировка данных (Data masking (DP)); А.8.12 Предотвращение утечки данных (Data leakage prevention (DP/Cyber)); А.8.16 Мониторинг активности (Monitoring activities); А.8.23 Веб-фильтрация (Web filtering (cyber)); А.8.28 Безопасное кодирование (Secure coding (Cyber & Application security)). Приложение А ограничивается перечнем средств контроля. Но руководство по внедрению ISO/IEC 27002:2022 предоставляет возможности для их классификации. Каждому средству контроля дают пять атрибутов, которые можно использовать для фильтрации или сортировки. В частности:

Тип средства контроля. Атрибут, представляющий средства контроля с той точки зрения, как они влияют на риски для информационной безопасности. Свойства информационной безопасности. Атрибут для средства контроля с точки зрения его цели. Концепции кибербезопасности. Атрибут, рассматривающий средства контроля по тому, как они соотносятся со структурой кибербезопасности, описанной в стандарте ISO/IEC TS 27110. Операционная способность. Атрибут средств контроля с точки зрения их способности в области информационной безопасности. Домены безопасности. Атрибут, рассматривающий средства контроля с точки зрения четырех доменов информационной безопасности.

Как сертификат ISO/IEC 27001 может быть полезен бизнесу

Ежегодно киберпреступность набирает обороты как в количестве атак, так и в их сложности и потенциальном ущербе для жертв. По данным Всемирного экономического форума, в 2021 году объемы кибератак увеличились на 125% по всему миру, и этот тренд продолжается в 2022 году. Поэтому компаниям следует стратегически подходить к вопросам безопасности своего бизнеса, защите от киберугроз и персональных данных.

Новую версию ISO/IEC 27001 разрабатывали именно с учетом этих новых и динамичных угроз. Это — самый известный в мире стандарт безопасности, и он уже десятилетия помогает компаниям защищать свои информационные ресурсы.

ISO/IEC 27001 помогает:

• Защитить информацию во всех формах: бумажной, цифровой или в облаке.
• Увеличить устойчивость бизнеса к кибератакам.
• Защищаться от угроз, которые постоянно совершенствуются.
• Внедрить центральный фреймворк для защиты всей информации в компании.
• Сократить расходы на неэффективные технологии защиты. Как получить или обновить этот сертификат ISO 27001: Если компания собирается внедрить систему управления информационной безопасностью по новой версии стандарта, ей следует предпринять следующие шаги:
• Ознакомиться с новой версией стандарта. Официальную версию стандарта можно купить на официальном сайте ISO.
• Пройти обучение по обновленному курсу стандарта ISO 27001 и обучить команду, чтобы помочь ей понять изменения и внедрить их в работу.
• Разработать политики и процедуры, необходимые для стандарта (например, политики и цели информационной безопасности, реестр активов, оценку информационных рисков компании, политику управления персоналом, политику обеспечения физической безопасности, операционные процедуры для управления ИТ и многие другие);
• Обязательно провести внутренний аудит. Если же компания хочет обновить сертификат 2013 года, сначала следует:
• Провести анализ пробелов в тех средствах контроля рисков, которые она применяет, на основе данных из ISO/IEC 27002:2022.
• Пересмотреть оценку рисков: соответствует ли она целям компании, а также последним трендам в киберугрозах.
• Посмотреть на доказательства и обоснования включения или исключения необходимых средств контроля и соответственно обновить свой SOA (Statement of applicability). Внедрить соответствующие изменения на основе плана управления рисками и новых контролей.
• Подтвердить изменения с помощью внутреннего аудита и убедиться, что их внедрили эффективно. На этом этапе можно обновлять свой сертификат ISO/IEC 27001. Для этого нужно связаться с представителем сертификационного органа и запланировать аудит перехода на новый стандарт. По результатам аудита можно получать обновленный сертификат ISO/IEC 27001:2022.

Внедрение стандарта ISO 27001 помогает бизнесу мониторить и управлять всеми рисками, связанными с киберугрозами и защитой данных. А клиентам, партнерам и инвесторам компании подтвержденный сертификат будет сигнализировать о том, что она следует высшим стандартам безопасности, принятым в мире.

Можно ли перейти на версию нового стандарта и пройти сертификацию ISO/IEC 27001:2022 в Украине? 

Конечно, есть сертификационные органы и в Украине, и их выбор весьма велик. Лучше всего доверить этот процесс компании, которая имеет множество партнеров и репутацию на рынке.

Группа компаний BALTUM — это как раз такая. Наши основные преимущества:

BALTUM сотрудничает с несколькими сертификационными органами и является партнером международных компаний, таких как UNICERT (Немецкая аккредитация DAkkS), Swiss Approval (Швейцария, Американская аккредитация IAS), URS (Аккредитация Великобритании (UKAS)) и другие. Большой список сертификационных органов, с которыми мы работаем напрямую в каждой локальной стране, позволяет нам предложить клиенту возможность выбора как сертификационного органа, так и подготовки компании к сертификации. Мы организуем сертификацию по всему миру, независимо от местоположения или регистрации компании. Ведь часто бывает так, что операционный IT-бизнес находится в Украине, но есть также представители в других странах. Компания Baltum покрывает все офисы в различных мировых локациях. Большая команда с разнообразными экспертизами в разных стандартах (ISO/IEC 27001, ISO/IEC 27701, ISO/IEC 20000-1, ISO 9001) позволяет удовлетворить любые потребности клиента, включая специфические. Собственный учебный центр, который позволяет получить квалификацию менеджера или аудитора по системам менеджмента. Консультанты BALTUM помогут определить, какой стандарт будет оптимальным именно для вашей компании. Так что не откладывайте, инвестируйте в ISO – это залог будущего вашего бизнеса.

В этой статье мы старались максимально полно рассказать все, что нужно знать о обновленном стандарте ISO/IEC 27001:2022. Если у вас еще остались вопросы, наш ведущий аудитор Кирилл Проскурня проанализирует ваш бизнес и с удовольствием объяснит все детали. Кирилл имеет многолетний опыт в области ISO 27001, ISO 27701, ISO 9001 сертификации и помог десяткам IT-компаний успешно пройти через этот сложный процесс.

Также, если вы и ваша компания планируете пройти обучение по новой версии стандарта, разработать и обновить документацию ISO 27001 или пройти сертификацию, оставляйте заявку уже сейчас – специалисты BALTUM сделают вам индивидуальное предложение и будут сопровождать вас до успешной сертификации.