Отменяется действие СТ РК ISO/IEC 27001-2015 (ISO/IEC 27001:2013)

Исх. №__27__  от _01.09.2023г.___

В октябре 2022 года опубликован международный стандарт ISO/IEC 27001:2022.

Приказом Комитета технического регулирования и метрологии Министерства торговли и интеграции Республики Казахстан планируется введение в действие национального стандарта СТ РК ISO/IEC 27001-2023 (ISO/IEC 27001:2022) с 3-х летним переходным периодом.

С выходом СТ РК ISO/IEC 27001-2023 (ISO/IEC 27001:2022) отменяется действие предыдущего стандарта СТ РК ISO/IEC 27001-2015 (ISO/IEC 27001:2013) «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасностью. Требования».

Следует отметить, что новая версия стандарта вносит в систему менеджмента информационной безопасностью ряд новых требований, которые необходимо учесть в системах менеджмента организации.

Ключевые особенности ISO/IEC 27001:

1)   Приложение   A   ссылается   на   средства   управления   информационной   безопасностью   в   ISO/IEC 27002:2022,   который   включает   в   себя   информацию   о   праве   собственности   и   контроле.

2)   Примечания к пункту 6.1.3 в) внесены редакционной правкой, включая удаление целей контроля и использование слова «контроль информационной безопасности» вместо слова «контроль».

4) Добавление нового пункта 4.2 в) для определения требований заинтересованных сторон, адресуемых через систему управления информационной безопасностью (СМИБ).

3) Формулировка пункта 6.1.3 d) реорганизована для устранения потенциальной двусмысленности.

5) Добавлен новый подпункт 6.3 - Планирование изменений, определяющий, что изменения СМИБ должны осуществляться организацией в плановом порядке.

6) Сохранение единообразия глагола, используемого в связи с документированной информацией, например, использование «Документированная информация должна быть доступна в качестве доказательства ХХХ» в пунктах 9.1, 9.2.2, 9.3.3 и 10.2.

7)   Использование   «внешних   процессов,   продуктов   или   услуг»   для   замены «аутсорсинговые   процессы»   в   пункте   8.1   и   исключение   термина   «аутсорсинг».

8)   Наименование и изменение порядка подпунктов в разделе 9.2 «Внутренний аудит» и 9.3 «Анализ со стороны руководства».

9)   Изменение порядка двух подпунктов в разделе 10 — Улучшение.

10)   Обновление издания соответствующих документов, перечисленных в библиографии, таких как ISO/IEC 27002 и ISO 31000.

11) Некоторые отклонения в ISO/IEC 27001:2013 от структуры высокого уровня, идентичный основной текст, общие термины и основные определения стандартов системы менеджмента (MSS) пересматриваются для обеспечения соответствия гармонизированной структуре MSS, например, разделу 6.2 d).

Примечание 1. Первые два пункта взяты из ISO/IEC 27001:2013/DAmd1, третий пункт — из ISO/IEC 27001:2013/COR 2:2015, а остальные изменения являются результатом гармонизированной структуры MSS.

Примечание 2: По сравнению со старой редакцией количество мер информационной безопасности в ISO/IEC 27002:2022 уменьшено со 114 мер в 14 разделах до 93 мер в 4 разделах. Что касается элементов управления в ISO/IEC 27002:2022, 11 элементов управления являются новыми, 24 элемента управления объединены из существующих элементов управления и 58 элементов управления обновлены. Более того, структура контроля пересматривается, в которой для каждого элемента управления вводятся «атрибут» и «цель» и больше не используется «цель» для группы элементов управления.

Примечание 3: ISO/IEC 27001:2013/COR 1:2014 связан с Приложением A и дублируется ISO/IEC 27001:2013/DAMD1.

  Влияние.

Влияние изменений в ISO/IEC 27001:2022 включает, помимо прочего, введение нового Приложения А и раздела 6.3 «Планирование изменений», поскольку:

1)      ISO/IEC 27001:2013/COR 2:2015 уже опубликован и реализовано.

2)      Приложение А является нормативным.

3)                 Гармонизированная структура MSS рассматривается как незначительный пересмотр структуры высокого уровня, идентичный основной текст, общие термины и основные определения MSS, при этом большинство изменений считаются редакционными.

Требования ISO/IEC 27001, в которых используются эталонные меры безопасности, установленные в Приложении A, представляют собой процесс сравнения между мерами информационной безопасности, определенными организацией, и мерами, указанными в Приложении A (6.1.3 c)) и составление Заявления о применимости (6.1.3 г)). Сравнивая необходимые меры информационной безопасности с мерами, которые указаны в Приложении А, организация может подтвердить, что любые необходимые меры информационной безопасности из набора ссылок в Приложении А стандарта ISO/IEC 27001:2022 не пропущены случайно.

Такое сравнение может не привести к обнаружению каких-либо необходимых мер информационной безопасности, которые были случайно пропущены. Однако, если обнаруживаются случайно пропущенные необходимые меры информационной безопасности, организация должна обновить свои планы обработки рисков, чтобы включить дополнительные необходимые меры информационной безопасности и внедрить их.

Как подразумевалось выше, влияние ISO/IEC 27001:2022 на организации, внедрившие СМИБ, не должно быть значительным.

Переход на СТ РК ISO/IEC 27001-2023 (ISO/IEC 27001:2022) с СТ РК ISO/IEC 27001-2015 (ISO/IEC 27001:2013) осуществляется в несколько этапов:

Этап 1 – анализ текущей системы информационной безопасностью. Содержание СТ РК ISO/IEC 27001-2023 (ISO/IEC 27001:2022) с СТ РК ISO/IEC 27001-2015 (ISO/IEC 27001:2013) во многом совпадает, поэтому глобальных изменений организация информационной безопасностью на предприятии, не претерпит. В рамках этапа проводится внутренний аудит, призванный выявить, насколько нынешняя система информационной безопасностью отвечает требованиям нового стандарта. Выявленные проблемы документируются. На основе результатов аудита составляется план действий по разработке и внедрению новой СМИБ.

Этап 2 – создание базы для сертификации и работы по СТ РК ISO/IEC 27001-2023 (ISO/IEC 27001:2022). На этой стадии создается документация для системы информационной безопасностью, персонал предприятия знакомится с содержанием стандарта и обучается выполнять свои рабочие обязанности в соответствии с его требованиями. В организации собирается группа внутренних аудиторов, которая подготавливается к выполнению регулярных проверок эффективности СМИБ.

Этап 3 – внедрение системы информационной безопасностью по СТ РК ISO/IEC 27001-2023 (ISO/IEC 27001:2022). Предприятие начинает использовать новую СМИБ, постоянно контролируя ее эффективность.

Этап 4 – аудит внедренной системы информационной безопасностью. СМИБ проходит комплексную проверку на соответствие, по результатам которой составляется и реализуется план корректирующих действий.

Этап 5 – подтверждение соответствия системы менеджмента информационной безопасностью  по СТ РК ISO/IEC 27001-2023 (ISO/IEC 27001:2022). Предприятие проходит процедуру сертификации по новому стандарту в установленном порядке.

Ожидаемыми результатами функционирования системы менеджмента СМИБ являются сохранение конфиденциальности, целостности и доступности информации, а также обеспечение предотвращения нарушения конфиденциальности, целостности и доступности информации; соответственно, критически важно для организации исключить или минимизировать риски в области СМИБ за счет принятия результативных предупреждающих мер.

         Успех системы менеджмента СМИБ зависит от лидерства, обязательств и участия на всех уровнях и всех функций организации

С уважением и приглашением к сотрудничеству,

Директор ТОО «Certification Center»                                             А. Атаев