ISO 27001: аналіз змін та особливості відповідності новій версії стандарту

Управління інформаційною безпекою в організації. Дослідження і аналіз змін у новій редакції міжнародного стандарту ISO/IEC 27001 у порівнянні із попередньою версією. Розробка рекомендацій по переходу організацій на новий стандарт інформаційної безпеки.

Рубрика Менеджмент и трудовые отношения
Вид статья
Язык украинский
Дата добавления 31.01.2024
Размер файла 28,8 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.Allbest.Ru/

Національний університет "Львівська Політехніка

Кафедра захисту інформації

ISO 27001: аналіз змін та особливості відповідності новій версії стандарту

Курій Є.О., асистент

Опірський І.Р., д.т.н., професор

Львів, Україна

Анотація

Управління інформаційною безпекою в організації може бути складним завданням, особливо враховуючи те, що ця діяльність може охоплювати багато сфер, від фізичної та мережевої безпеки до безпеки людських ресурсів і управління постачальниками послуг. Саме тут стають у нагоді фреймворки інформаційної безпеки, які допомагають формалізувати і уніфікувати процес розробки та реалізації стратегії безпеки.

Незважаючи на те, що існує безліч різноманітних фреймворків інформаційної безпеки, найбільш поширеним і використовуваним в усьому світі є ISO/IEC 27001. Він поєднує в собі як досить повний набір засобів контролю безпеки, щоб охопити найважливіші сфери безпеки, так і широку застосовність, що дозволяє впроваджувати цей фреймворк для всіх типів організацій.

Проте кіберпростір постійно змінюється, і компаніям потрібно також адаптувати свої підходи до організації процесів інформаційної безпеки. Для реагування на нові виклики і загрози кібербезпеки, Міжнародна організація із стандартизації (англ. International Organization for Standardization) наприкінці 2022 опублікувала оновлену редакцію стандарту ISO/IEC 27001:2022, яку відтепер повинні брати до уваги усі організації, які мають на меті впровадити та сертифікувати свою систему управління інформаційною безпекою.

Метою статті є короткий огляд нової редакції популярного стандарту, і ключових змін у структурі та описі контролів безпеки, а також розробка рекомендацій для досягнення відповідності вимогам оновленої версії стандарту.

Ключові слова: інформаційна безпека, кібербезпека, ISO/IEC 27001:2013, ISO/IEC 27001:2022, фреймворк інформаційної безпеки, система управління інформаційною безпекою.

Annotation

ISO 27001: analysis of changes and compliance features of the new version of the standard

Ye.O. Kurii, Cybersecurity department assistant; I.R. Opirskyy, Dc.S., Professor, Professor of Information Security Department Lviv Polytechnic National University, Ukraine

Managing information security in the organization may be a daunting task, especially considering that it may encompass many areas from physical and network security to human resources security and management of suppliers. This is where security frameworks come in handy and put formality into the process of the design and implementation of the security strategy.

While there are a bunch of different information security frameworks out in the wild, the most commonly-found and preferred by security professionals worldwide is ISO/IEC 27001. It combines both the quite comprehensive set of security controls to cover the most important security areas and wide applicability which allows applying this framework to all kinds of organizations.

While cyberspace is constantly changing, companies should also adapt their approaches to the organization of information security processes. In order to respond to new challenges and threats to cyber security, the International Organization for Standardization (ISO) at the end of 2022 has published an updated version of the ISO/IEC 27001:2022 standard, which from now on should be taken into account by all organizations that aim to implement and certify its information security management system (ISMS).

The purpose of this article is to provide a brief overview of the new edition of the popular standard, фтв describe the key changes in the structure and description of security controls; as well as develop recommendations for achieving compliance with the requirements of the updated version of the standard.

Keywords: information security, cybersecurity, ISO/IEC 27001:2013, ISO/IEC 27001:2022, information security framework, information security management system.

Вступ

Оскільки кіберзагрози стають все більш прогресивними, а їх кількість продовжує зростати, потреба в оновленні практик інформаційної безпеки ніколи не була більш істотною [1,2]. На початку 2022 року ISO опублікувала оновлену версію стандарту ISO/IEC 27002:2022 [3], що сигналізувало про близьке оновлення і основного стандарту ISO/IEC 27001.

Для вирішення зростаючих глобальних проблем кібербезпеки та підвищення цифрової довіри, наприкінці 2022 року була опублікована оновлена покращена версія стандарту ISO/IEC 27001 [4]. Найвідоміший у світі стандарт управління інформаційною безпекою допомагає організаціям захистити свої інформаційні активи, що є життєво важливим у сучасному цифровому світі.

Постановка проблеми. Міжнародні стандарти ISO/IEC 27001/02 [5,6] допомагають організаціям різних секторів забезпечувати конфіденційність, цілісність та доступність інформації за рахунок застосування процесу управління ризиками та надає впевненості зацікавленим сторонам у тому, що ризики адекватно оцінюються та управляються.

На сьогодні даний стандарт є одним із найпопулярніших фреймворків інформаційної безпеки у світі. За відносно недавніми даними статистики [7], у 2020 році більше 44 000 організацій по всьому світу бути сертифіковані відповідно до вимог ISO/IEC 27001, і відомо, що протягом пандемії ця цифра тільки зросла. Із виходом нової редакції стандарту, всі ці компанії опинилися перед проблемою адаптації існуючої системи менеджменту інформаційної безпеки до вимог нового стандарту.

Хоча ISO передбачає певний період переходу, протягом якого “співіснують” дві версії стандарту [8], і компанії можуть адаптувати свої процеси до нових вимог, цей процес не є швидким і потребує тим більше зусиль, чим більшою і організаційно складнішою є компанія.

Аналіз останніх досліджень і публікацій. У відповідь на глобальні загрози кібербезпеки, у жовтні 2022 року Міжнародна організація зі стандартизації (англ. International Organization for Standardization) опублікувала оновлену версію найпопулярнішого стандарту у сфері інформаційної безпеки - ISO/IEC 27001:2022 - Інформаційна безпека, кібербезпека та захист конфіденційності - Системи управління інформаційною безпекою - Вимоги.

Кіберзлочинність стає все більш складним і небезпечним фактором, оскільки хакери розробляють все новіші методи для вчинення кіберзлочинів. У звіті Всесвітнього економічного форуму про перспективи глобальної кібербезпеки вказується [9], що кількість кібератак у всьому світі зросла на 125% у 2021 році, і дані свідчать про те, що зростання продовжуватиметься і в 2022-2023 роках. У цьому змінному ландшафті кіберзагроз, організації змушені застосувати стратегічний підхід до управління ризиками кібербезпеки.

Відповідно, щоб подолати існуючі проблеми кібербезпеки, організації повинні підвищувати свою стійкість і вживати заходів для зменшення рівня і протидії кіберзагрозам. В цьому непростому завданні значну користь може принести використання стандарту ISO/IEC 27001 у якості фреймворку інформаційної безпеки, що допомагає вирішити наступні задання [10]:

• Захистити інформацію в усіх формах, включаючи паперові, хмарні та цифрові дані

• Підвищити стійкість до кібератак;

• Впровадити централізовано керовану структуру, яка захищає всю інформацію компанії;

• Забезпечити захист усієї організації, зокрема від технологічних ризиків та інших загроз;

• Вчасно реагувати на нові загрози безпеці;

• Зменшити витрати на неефективні охоронні технології;

• Захистити цілісність, конфіденційність та доступність даних.

Мета статті. Метою статті є дослідження і аналіз істотних змін у новій редакції міжнародного стандарту ISO/IEC 27001 у порівнянні із попередньою версією 2013 року та розробка рекомендацій по переходу організацій із раніше впровадженим стандартом ISO 27001 на нову версію.

Результати досліджень

міжнародний стандарт інформаційний безпека

Що змінилося в стандарті ISO/IEC 27001:2022

Хороша новина полягає в тому, що багато змін є редакційними, наприклад, зміна формулювання «міжнародний стандарт» на «документ» та зміна чи ре-організація порядку фраз, щоб забезпечити кращий міжнародний переклад [11].

Також були зроблені зміни для узгодження з принципом гармонізації (англ. harmonized) який пропагує ISO.

Деякі з ключових змін нещодавно оновленого ISO/IEC 27001:2022 такі:

• Назву стандарту було змінено відповідно до ISO/IEC 27002:2022. Нова назва ISO/IEC 27001:2022 - Інформаційна безпека, кібербезпека та захист конфіденційності - Системи управління інформаційною безпекою - Вимоги;

• Назва Додатку А також змінилася з Довідкові цілі контролів та контролі (Reference control objectives and controls) на Довідка про контролі інформаційної безпеки (Information security controls reference);

• Додаток A пролінкований до контролів з ISO 27002:2022. Новий Додаток А тепер містить 93 контролі та включає таку інформацію як назва контролю і безпосередньо опис самого контролю;

• Присутні незначні зміни у використовуваній термінології, формулюваннях і структурі в пунктах 4-10, зокрема в пунктах 4.2, 6.2, 6.3 і 8.1;

• У пункті 6.1.3 с) було переглянуто і змінено примітки. Слово «контроль» було замінено на «контроль інформаційної безпеки», а цілі контролю вилучено;

• У пункті 6.1.3 d) було змінено формулювання для уникнення двозначності;

• Додано вимогу щодо визначення процесів, необхідних для впровадження СУІБ, та їх взаємодії;

• Додано вимогу повідомляти зацікавленим сторонам про організаційні ролі, що стосуються інформаційної безпеки в організації;

• Додано новий пункт 6.3 - Планування змін;

• Додано нову вимогу щодо того, щоб організація вирішила, як комунікувати важливу інформацію (частина пункту 7.4);

• Додано нові вимоги щодо встановлення критеріїв операційних процесів та здійснення їх контролю

Основні зміни, однак, стосуються оновлень поточних контролів в Додатку A, щоб краще узгодити стандарт із нещодавніми змінами до ISO/IEC 27002 - Інформаційна безпека, кібербезпека та захист конфіденційності [12].

Структура контролів

Додаток А стандарту ISO/IEC 27001:2022 містить зміни як у кількості контролів, так і в їх переліку в групах.

Кількість контролів в Додатку А зменшилася зі 114 до 93. Зменшення кількості контролів здебільшого відбулося внаслідок об'єднання багатьох із них [13]:

• 35 контролів залишилися незмінними зі зміною контрольного номера та реорганізацією на 4 секції;

• Додано 11 нових контролів;

• 23 контролі перейменовано для кращого розуміння;

• Незважаючи на те, що кількість контролів було зменшено (зі 114 до 93), ні одного контролю не було виключено;

• 57 контролів було об'єднано в 24 контролі;

• 1 контроль було розділено. Контроль 18.2.3 Огляд технічної відповідності було розділено на:

- 5.3.6 - Відповідність політикам, правилам і стандартам інформаційної безпеки;

- 8.8 - Управління технічними вразливостями.

Загалом, 93 контролі були реорганізовані в чотири групи або секції.

• A.5 Організаційні контролі (Organizational controls) - містить 37 контролів;

• A.6 Контролі направлені на людей (People controls) - містить 8 контролів;

• A.7 Фізичні контролі (Physical controls) - містить 14 контролів;

• А.8 Технологічні контролі (Technological controls) - містить 34 контролі.

Нові контролі безпеки

ISO/IEC 27001:2022 також додав згадані вище 11 нових контролів до Додатку A:

1. Дані про кіберзагрози (Threat intelligence);

2. Інформаційна безпека при використанні хмарних сервісів (Information security for the use of cloud services);

3. Готовність (підготовка) інформаційних і телекомунікаційних технологій для забезпечення безперервності бізнесу (ICT readiness for business continuity);

4. Моніторинг фізичної безпеки (Physical security monitoring);

5. Управління налаштуваннями (Configuration management);

6. Видалення інформації (Information deletion);

7. Маскування даних (Data masking);

8. Запобігання витокам даних (Data leakage prevention);

9. Моніторингова діяльність / Діяльність по моніторингу (Monitoring activities);

10. Веб-фільтрація (Web filtering);

11. Безпечне кодування (Secure coding).

Детальніший опис нових елементів керування а також рекомендовані активності для здійснення переходу на нову версію стандарту наведений у таблиці нижче.

Таблиця 1

Опис нових елементів керування та рекомендовані активності згідно ISO27001:2022

Пункт

Назва контролю

Контроль

Мета

Активності

A.5.7

Дані про кіберзагрози

Інформація, що стосується загроз інформаційної безпеки, збирається та аналізується для отримання інформації про загрози.

Розуміння зловмисників і їхніх методів у контексті вашого ІТ-ландшафту.

• Оновити політику управління технічними вразливостями

• Оновити документ ізконтактами з зацікавленими групами

A.5.2 3

Інформаційна безпека при використанні хмарних сервісів

Процеси отримання доступу, використання, управління та виходу з хмарних сервісів повинні бути встановлені відповідно до вимог організації доінформаційної безпеки.

Всебічний розгляд і впровадження стратегії управління, користування і виходу з хмарних сервісів.

* Створити/онови ти реєстр третіх сторін, провести їхню оцінку

A.5.3 0

Готовність інформаційних і телекомунікаційних технологій для забезпечення безперервності бізнесу

Готовність інформаційних і телекомунікаційних технологій планується, впроваджується, підтримується та перевіряється на основі цілей безперервності бізнесу та вимог безперервності інформаційних і телекомунікацій-них технологій.

Визначення і впровадження вимог щодо ІТ- інфраструктури на основі загальних бізнес процесів та можливості відновлення операційних можливостей.

* Оновити план безперервності бізнесу і відповідні плани відновлення

A.7.4

Моніторинг фізичної безпеки

Приміщення повинні постійно контролюватися на предмет несанкціонованого фізичного доступу.

Використання сигналізації та моніторингових систем для запобігання неавторизованому фізичному доступу.

• Оновити політику фізичного захисту

• Налаштувати додаткові контролі моніторингу

A.8.9

Управління налаштуванням и

Налаштування, в тому числі налаштування безпеки, апаратного забезпечення, програмного забезпечення, послуг і мереж повинні бути встановлені, задокументовані, реалізовані, контрольовані та перевірені.

Зміцнення та безпечне налаштування ІТ- систем.

* Створити конфігураційну документацію (бейслайни) для ключових систем і сервісів (сервери, мережеве обладнання, робочі станції і т.д.)

A.8.1 0

Видалення інформації

Інформація, що зберігається в інформаційних системах, на пристроях або будь- яких інших носіях інформації, повинна видалятися, коли вона більше не потрібна.

Дотримання зовнішніх вимог пов'язаних із захистом даних і концепціями видалення даних.

* Оновити політику класифікації інформації

A.8.1 1

Маскування даних

Маскування даних повинно використовуватися відповідно до політики організації щодо контролю доступу та інших пов'язаних тематичних політик, а також бізнес-вимог, беручи до уваги застосовні законодавчі вимоги.

Підвищення рівня захисту інформації за рахунок використання технік маскування даних таких як анонімізація та псевдонімізація

* Оновити політику класифікації інформації

A.8.1 2

Запобігання витокам даних

Заходи запобігання витоку даних повинні застосовуватися до систем, мереж і будь- яких інших пристроїв, які обробляють, зберігають або передають конфіденційну інформацію.

Впровадження методів і засобів для запобігання витоку чутливих даних.

• Встановити систему захисту від витоку даних (DLP system)

• В іншому випадку, встановити компенсаційні контролі або переглянути і прийняти ризик

A.8.1 6

Моніторингова діяльність

Мережі, системи та програми слід відстежувати на предмет аномальної поведінки та вживати відповідних дій для оцінки потенційних інцидентів інформаційної безпеки.

Детектування аномалій у мережі і системах за рахунок моніторингу безпеки мережі і поведінки систем і додатків.

• Оновити політику по логуванню і моніторингу

• Встановити систему для збору і аналізу подій (SIEM system)

A.8.2 3

Веб-фільтрація

Доступом до зовнішніх веб-сайтів повинен бути під контролем задля зменшення впливу шкідливого вмісту.

Запобігання перегляду користувачами певних URL-адрес, що містять шкідливий код.

• Оновити політику захисту від шкідливого програмного

• Встановити і налаштувати функцію веб-фільтрування

A.8.2 8

Безпечне кодування

До розробки програмного забезпечення повинні застосовуватися принципи безпечного кодування.

Забезпечення безпечного кодування за рахунок використання спеціалізованих інструментів, коментування, відслідковування змін і уникнення небезпечних методів програмування.

* Забезпечити виконання циклу безпечної розробки для внутрішніх проектів по розробці

Як видно з таблиці, нові контролі є, по суті, доповненням і певним розширенням існуючих доменів попередньої версії стандарту. Тому вони можуть бути відносно легко інтегровані в існуючі процеси організації, система управління інформаційною безпекою якої побудована на основі ISO 27001:2013.

Висновки

Хоч нова версія стандарту і направлена на реагування на змінений ландшафт загроз, у зв'язку із універсальністю попередньої версії, основні міни торкнулися здебільшого структури стандарту і формулювання описів контролів. Було додано 11 нових контролів інформаційної безпеки, які досить легко впровадити у межах існуючих процесів, або які взагалі можуть бути вже наявними в організації, оскільки давно вважаться галузевими хорошими практиками.

Зокрема, щоб бути у відповідності із оновленою редакцією стандарту, необхідно виконати наступні кроки:

1. Компанії повинні переглянути свій реєстр ризиків і застосовані засоби обробки ризиків, щоб забезпечити відповідність переглянутому стандарту.

2. Оновити Заяву про Застосовність (Statement of Applicability - SoA), щоб узгодити її з оновленим Додатком A.

3. Переглянути та оновити свою документацію, включаючи політики та процедури, щоб відповідати новим контролям.

Список використаних джерел

1. Susukailo, V., Opirsky, I., Yaremko, O. (2021). Methodology of ISMS Establishment Against Modern

2. Cybersecurity Threats. У Lecture Notes in Electrical Engineering (с. 257-271). Springer International Publishing.

3. Kurii, Y. Opirskyy, I. (2021). Analysis and Comparison of the NIST SP 800-53 and ISO/IEC 27001:2013. Paper presented at the CEUR Workshop Proceedings, 3288, 21-32.

4. (2022) ISO/IEC 27002: Information security, cybersecurity and privacy protection - Information security controls.

5. (2022) ISO/IEC 27001: Information security, cybersecurity and privacy protection - Information security management systems - Requirements.

6. (2013) ISO/IEC 27001: Information Technology - Security Techniques - Information Security Management Systems - Requirements.

7. (2013) ISO/IEC 27002: Information Technology - Security Techniques - Code of Practice for Information Security Controls.

8. 2020 ISO Survey of Management System Standards reveals 17% increase in certifications.

9. MSECB Transition Policy on Management System Certification to ISO/IEC 27001:2022.

10. Global Cybersecurity Outlook 2022.

11. ISO/IEC 27001: What's new in IT security?

12. What Are The ISO 27001 Changes In 2022.

13. ISO 27001 2013 vs. 2022 revision - What has changed?

14. ISO/IEC 27001 - What are the main changes in 2022?

References

1. Susukailo, V., Opirsky, I., Yaremko, O. (2021). Methodology of ISMS Establishment Against Modern Cybersecurity Threats. У Lecture Notes in Electrical Engineering (с. 257-271). Springer International Publishing.

2. Kurii, Y. Opirskyy, I. (2021). Analysis and Comparison of the NIST SP 800-53 and ISO/IEC 27001:2013. Paper presented at the CEUR Workshop Proceedings, 3288, 21-32.

3. (2022) ISO/IEC 27002: Information security, cybersecurity and privacy protection - Information security controls.

4. (2022) ISO/IEC 27001: Information security, cybersecurity and privacy protection - Information security management systems - Requirements.

5. (2013) ISO/IEC 27001: Information Technology - Security Techniques - Information Security Management Systems - Requirements.

6. (2013) ISO/IEC 27002: Information Technology - Security Techniques - Code of Practice for Information Security Controls.

7. 2020 ISO Survey of Management System Standards reveals 17% increase in certifications.

8. MSECB Transition Policy on Management System Certification to ISO/IEC 27001:2022.

9. Global Cybersecurity Outlook 2022.

10. ISO/IEC 27001: What's new in IT security?

11. What Are The ISO 27001 Changes In 2022.

12. ISO 27001 2013 vs. 2022 revision - What has changed?

13. ISO/IEC 27001 - What are the main changes in 2022?

Размещено на Allbest.Ru


Подобные документы

  • Сучасна концепція загального управління якістю (TQM) як ключова функція управління будь-якої організації. Основні вимоги до цієї системи відповідно до стандартів ISO серії 9000 версії 2000 року. Рекомендації ВНЗ щодо застосування стандарту ISO 9001:2000.

    реферат [92,1 K], добавлен 05.03.2009

  • Інформаційний менеджмент, його специфічні особливості, понятійно-категоріальний апарат. Структурні елементи моделі інформаційної безпеки підприємства. Конкурентна розвідка та промислове шпигунство як інструменти розв'язання проблем інформаційної безпеки.

    контрольная работа [128,0 K], добавлен 09.07.2012

  • Загальний соціально-психологічний характер колективу в сучасній організації. Аналіз процесу запровадження та реалізація змін на підприємстві. Оцінка діяльності системи менеджменту. Формування ефективного лідерства в умовах структурних змін в економіці.

    курсовая работа [192,7 K], добавлен 12.04.2017

  • Поняття, природа, чинники, що зумовлюють організаційні зміни. Опір змінам та шляхи його подолання. Дослідження управління процесами організаційних змін у практиці сучасного менеджменту. Реінженіринг як метод ефективного впровадження організаційних змін.

    курсовая работа [1022,2 K], добавлен 04.10.2013

  • Організація – як об'єкт управління. Характеристика об’єкту дослідження. Аналіз організації як системи управління. Аналіз і діагностика макросередовища організації. Аналіз внутрішнього середовища організації. Вихід на ринок пасажирських перевезень.

    курсовая работа [323,9 K], добавлен 19.12.2008

  • Основне поняття організації, її види та аналіз загальних характеристик. Типи організаційних структур управління. Особливості проектування організаційної системи, організаційної структури та стратегії на підприємстві. Характеристики складних організацій.

    контрольная работа [62,1 K], добавлен 05.12.2008

  • Виявлення тенденцій організації системи економічної безпеки суб’єктів господарювання. Індикаторний та ресурсно-функціональний підходи до її оцінювання. Чинники формування кризи. Стратегічні напрямки управління фінансово-економічної безпекою підприємства.

    статья [16,1 K], добавлен 31.08.2017

  • Аналіз організаційних можливостей управління змінами. Безконфліктне впровадження змін за умов співробітництва всього колективу як виняток. Опір організаційним змінам, його причини та вибір методу подолання. Особливості управління змінами на ВАТ "Елетро".

    курсовая работа [204,4 K], добавлен 07.01.2014

  • Поняття та сутність змін, їх основні типи. Сфери та складові процесу організаційних змін. Способи удосконалення якостей персоналу на підприємстві. Сучасні способи подолання опору змінам на прикладі ВАТ "Електротермометрія" під час організаційних змін.

    курсовая работа [85,5 K], добавлен 13.10.2012

  • Сутність організації фінансово-економічної безпеки підприємства, її принципи і напрямки за функціональними складовими. Функції з питань безпеки керівників фірм та структура відповідної служби. Схема процесу організації фінансово-економічної безпеки.

    курсовая работа [54,7 K], добавлен 20.10.2015

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.