На днях вышло официальное обновление стандарта ISO 27001.
Теперь у нас новый список контролей (мер ИБ), теперь он выровнен с обновленным стандартом ISO 27002:2022, который мы также ожидаем со дня на день. Общее количество контролей сокращено до 93 (в основном путем объединения), добавлено 11 новых:
5.7 Threat intelligence
5.23 Information security for use of cloud services
5.30 ICT readiness for business continuity
7.4 Physical security monitoring
8.9 Configuration management
8.10 Information deletion
8.11 Data masking
8.12 Data leakage prevention
8.16 Monitoring activities
8.22 Web filtering
8.28 Secure coding
Теперь контроли группируются по 4 разделам:
Ch5, Organizational controls (37)
Ch6, People controls (8)
Ch7, Physical controls (14)
Ch8, Technological controls (34)
А не как раньше:
A.5 Information security policies
A.6 Organization of information security
A.7 Human resource security
A.8 Asset management
A.9 Access control
A.10 Cryptography
A.11 Physical and environmental security
A.12 Operations security
A.13 Communications security
A.14 System acquisition, development and maintenance
A.15 Supplier relationships
A.16 Information security incident management
A.17 Information security aspects of business continuity management
A.18 Compliance
Но самое интересное нас ожидает в обновлении ISO 27002, там для каждого контроля будут описаны его атрибуты, что сильно упростит работу с ними и облегчит маппинг на другие стандарты и лучшие практики, скоро увидим следующие атрибуты:
- Control types: Preventive, Detective, and Corrective
- Information security properties: Confidentiality, Integrity, and Availability
- Cybersecurity concepts: Identify, Protect, Detect, Respond, and Recover
- Operational capabilities: Governance, Asset management, Information protection, Human resource security, Physical security, System and network security, Application security, Secure configuration, Identity and access management, Threat and vulnerability management, Continuity, Supplier relationships security, Legal and compliance, Information security event management, and Information security assurance
- Security domains: Governance and ecosystem, Protection, Defense, and Resilience