Сопоставление ISO 27002 с 2013 по 2022 год


15 февраля Международная организация по стандартизации (ISO) опубликовала последнее обновление стандарта «ISO/IEC 27002 Информационная безопасность, кибербезопасность и защита конфиденциальности. Средства управления информационной безопасностью». Этот последний стандарт доступен для личного использования на их сайте ISO.org за 198 швейцарских франков (швейцарских франков) или, если вы предпочитаете, в долларах США, 200 долларов США, в интернет-магазине ANSI.org. Я также буду называть его просто ISO 27002, как и большинство людей.

Я работаю с элементами управления ISO 27002 с версии 2005 года. Всегда интересно посмотреть на внесенные изменения и на то, что мне нужно настроить, чтобы придерживаться фреймворка. К сожалению, это также означает необходимость обновления политики и процедур многих организаций. ISO 27002:2013 был в основном таким же, как версия 2005 года, за исключением того, что в нем были удалены элементы управления оценкой и обработкой рисков. На этот раз изменения гораздо более радикальны, и вкратце эти изменения таковы:

  • ISO 27002: 2013 содержал 114 элементов управления в 14 областях управления.
  • ISO 27002: 2022 реорганизовал его в 93 элемента управления с таксономией из 4 основных категорий (называемых пунктами):
  1. Организационные средства контроля – 37 элементов управления
  2. Народный контроль – 8 элементов управления
    • Они касаются отдельных людей, таких как проверка биографических данных.
  3. Физические элементы управления — 14 элементов управления
    • Они относятся к физическим объектам, таким как центры обработки данных и носители резервных копий.
  4. Технологический контроль – 34 контроля
    • Они связаны с технологиями информационной безопасности, такими как права доступа и аутентификация.

Когда я сначала посмотрел на это, мне понравилось, как это выглядело, как HIPAA было разбито на административное, физическое и техническое. Это упрощение значительно упрощает общение с людьми, не связанными с безопасностью, хотя, конечно, очень подробные элементы управления все еще на месте.

Еще одно большое изменение — включение таблиц атрибутов для каждого элемента управления. Они определены в Приложении A, но обычно сообщают вам, является ли элемент управления превентивным, обнаруживающим или корректирующим, относится ли элемент управления к конфиденциальности, целостности или доступности, какие концепции кибербезопасности он охватывает: идентификация, защита, обнаружение, реагирование или восстановление. . О, это функции NIST CSF!

Многие элементы управления с 2013 по 2022 год были объединены там, где это имело смысл. При рассмотрении изменений в ISO 27002:2022 стало ясно, что элементы управления, которые ранее находились «рядом» друг с другом, перемещаются повсюду. Я решил использовать Приложение B (включенное в стандарт), чтобы лучше обозначить, куда в этой последней версии были перенесены элементы управления из ISO 27002:2013.

Кроме того, я обнаружил, что хотя ни один элемент управления не был удален полностью, было добавлено 11 новых элементов управления, что свидетельствует о том, что структура ISO 27002 продолжает развиваться и включает в себя современные технологии и концепции безопасности. Эти новые элементы управления отмечены в таблице 1 ниже.и понятно, что это более современные технологии безопасности.

По большей части существует сопоставление «многие к 1». Это означает, что каждый элемент управления 2013 сопоставляется с одним элементом управления 2022. Иногда несколько элементов управления 2013 сопоставляются с одним элементом управления 2022, поскольку он объединяет схожие концепции в один элемент управления. Это слияние, о котором я упоминал ранее. На карте для каждого элемента управления 2013 года показано, где его найти в 2022 году, а также для каждого элемента управления 2022 года, какие элементы управления 2015 года включены. Я предпочитаю четко согласовывать свои политики с фреймворком, чтобы их можно было легко проверить, и эта карта поможет мне повторно использовать мои документы 2013 года.

Это сопоставление представлено в связанном файле «ISO 27002 2013-2022 MAP (приложение B).xlsx». Поскольку мы все переводим наши инструменты и документацию с ISO 27002:2013 на ISO 27002:2022, мы надеемся, что сопоставление будет полезным, чтобы помочь вам в этом процессе и, возможно, сократить время, необходимое для перехода на последнюю и лучшую версию.

Таблица 1

#

Идентификатор элемента управления

Имя элемента управления

1

5.7

Аналитика угроз

2

5.23

Информационная безопасность при использовании облачных сервисов

3

5.30

Готовность ИКТ к обеспечению непрерывности бизнеса

4

7.4

Мониторинг физической безопасности

5

8,9

Управление конфигурацией

6

8.10

Удаление информации

7

8.11

Маскировка данных

8

8.12

Предотвращение утечки данных

9

8.16

Деятельность по мониторингу

10

8.23

Веб-фильтрация

11

8,28

Безопасное кодирование

­­

https://cyberxhack.org/