ISO 27001: АНАЛІЗ ЗМІН ТА ОСОБЛИВОСТІ ВІДПОВІДНОСТІ НОВІЙ ВЕРСІЇ СТАНДАРТУ
DOI:
https://doi.org/10.28925/2663-4023.2023.19.4655Ключові слова:
інформаційна безпека, кібербезпека, ISO/IEC 27001:2013, ISO/IEC 27001:2022, фреймворк інформаційної безпеки, система управління інформаційною безпекою.Анотація
Управління інформаційною безпекою в організації може бути складним завданням, особливо враховуючи те, що ця діяльність може охоплювати багато сфер, від фізичної та мережевої безпеки до безпеки людських ресурсів і управління постачальниками послуг. Саме тут стають у нагоді фреймворки інформаційної безпеки, які допомагають формалізувати і уніфікувати процес розробки та реалізації стратегії безпеки.
Незважаючи на те, що існує безліч різноманітних фреймворків інформаційної безпеки, найбільш поширеним і використовуваним в усьому світі є ISO/IEC 27001. Він поєднує в собі як досить повний набір засобів контролю безпеки, щоб охопити найважливіші сфери безпеки, так і широку застосовність, що дозволяє впроваджувати цей фреймворк для всіх типів організацій.
Проте кіберпростір постійно змінюється, і компаніям потрібно також адаптувати свої підходи до організації процесів інформаційної безпеки. Для реагування на нові виклики і загрози кібербезпеки, Міжнародна організація зі стандартизації (англ. International Organization for Standardization) наприкінці 2022 опублікувала оновлену редакцію стандарту ISO/IEC 27001:2022, яку відтепер повинні брати до уваги усі організації, які мають на меті впровадити та сертифікувати свою систему управління інформаційною безпекою.
Метою статті є короткий огляд нової редакції популярного стандарту, і ключових змін у структурі та описі контролів безпеки, а також розробка рекомендацій для досягнення відповідності вимогам оновленої версії стандарту.
Завантаження
Посилання
Susukailo, V., Opirsky, I., Yaremko, O. (2021). Methodology of ISMS Establishment Against Modern Cybersecurity Threats. У Lecture Notes in Electrical Engineering (с. 257–271). Springer International Publishing. https://doi.org/10.1007/978-3-030-92435-5_15
Kurii, Y. Opirskyy, I. (2021). Analysis and Comparison of the NIST SP 800-53 and ISO/IEC 27001:2013. Paper presented at the CEUR Workshop Proceedings, 3288, 21-32.
(2022) ISO/IEC 27002: Information security, cybersecurity and privacy protection — Information security controls. URL: https://www.iso.org/standard/75652.html
(2022) ISO/IEC 27001: Information security, cybersecurity and privacy protection — Information security management systems — Requirements. URL: https://www.iso.org/standard/82875.html
(2013) ISO/IEC 27001: Information Technology — Security Techniques — Information Security Management Systems — Requirements. URL: https://www.iso.org/standard/54534.html
(2013) ISO/IEC 27002: Information Technology — Security Techniques — Code of Practice for Information Security Controls. URL: https://www.iso.org/standard/54533.html
2020 ISO Survey of Management System Standards reveals 17% increase in certifications. Режим доступу до ресурсу: https://www.quality.org/article/2020-iso-survey-management-system-standards-reveals-17-increase-certifications
MSECB Transition Policy on Management System Certification to ISO/IEC 27001:2022. https://msecb.com/wp-content/uploads/2023/01/MSECB-Transition-Policy-on-MS-Certification-to-ISO-IEC-27001.pdf?utm_source=sendinblue&utm_campaign=Clients%20ISOIEC%20270012022%20Transition%20Policy&utm_medium=email
Global Cybersecurity Outlook 2022. https://www.weforum.org/reports/global-cybersecurity-outlook-2022
ISO/IEC 27001: What’s new in IT security? https://www.iso.org/contents/news/2022/10/new-iso-iec-27001.html
What Are The ISO 27001 Changes In 2022. https://bestpractice.biz/what-are-the-iso-27001-changes-in-2022/
ISO 27001 2013 vs. 2022 revision – What has changed? https://advisera.com/27001academy/blog/2022/02/09/iso-27001-iso-27002/
ISO/IEC 27001 - What are the main changes in 2022? https://pecb.com/article/isoiec-27001---what-are-the-main-changes-in-2022
