Подробно о контролях ISO 27001:2022
Рассказываем, как работают контроли в обновленном стандарте и как их реализовать в компании
Когда нужно разобраться, как работают новые контроли ISO 27001:2022, оказывается, что самого стандарта для этого недостаточно. В приложении А, где описаны новые контроли, нет детальной информации об их реализации, поэтому следует руководствоваться более подробным стандартом ISO 27002
В этой статье мы объединили информацию из обоих стандартов и сформировали полноценную картину того, какова цель применения каждого контроля, какими средствами можно его реализовать, как отслеживать эффективность и т. д.
Описание новых контролей ISO 27001:2022
| 5.7. Threat intelligence («Анализ киберугроз») | |||||||
|---|---|---|---|---|---|---|---|
| Контроль | Цель | Рекомендации по выполнению | Выполнение на примере BI.ZONE | Технологии | Организация/процессы | Сотрудники | Документация |
| Необходимо собирать и анализировать информацию об угрозах ИБ, чтобы предотвращать их | Обеспечить осведомленность организации о возможных угрозах ИБ для предотвращения их реализации | В стандарте описано, что должна включать в себя разведка угроз, на какие уровни делится анализ угроз, где можно использовать результаты анализа, а также каковы требования к обеспечению обмена информацией об угрозах между организациями для улучшения общей осведомленности |
|
Компании потребуются системы предупреждения о новых угрозах, мониторинга инцидентов и управления уязвимостями | Следует организовать процессы сбора и использования информации об угрозах, которая позволит превентивно контролировать безопасность IT‑систем, улучшить оценку рисков и внедрять новые методы тестирования безопасности | Необходимо разъяснить сотрудникам важность своевременных уведомлений об угрозах, а также сообщить, как и кого следует уведомлять об этих угрозах |
ISO 27001 не требует разрабатывать отдельную политику для выполнения этого контроля, однако компания может включить правила анализа угроз в следующие документы:
|
| 5.23. Information security for use of cloud services («Информационная безопасность при использовании облачных сервисов») | |||||||
|---|---|---|---|---|---|---|---|
| Контроль | Цель | Рекомендации по выполнению | Выполнение на примере BI.ZONE | Технологии | Организация/процессы | Сотрудники | Документация |
| Необходимо организовать в соответствии с требованиями организации по информационной безопасности процессы внедрения, использования, управления и прекращения работы с облачными сервисами | Определить требования информационной безопасности при использовании облачных сервисов, обеспечить управление этими требованиями |
Рекомендуется разработать следующий пакет документов, с которым должны ознакомиться все заинтересованные стороны:
Организациям, использующим облачные сервисы, следует поддерживать тесный контакт со своими поставщиками облачных сервисов. По возможности следует согласовать правила использования облачных сервисов с их поставщиками. Соглашение между провайдером и компанией‑заказчиком должно включать положения о защите корпоративных данных и доступности услуг, учитывать требования организации к конфиденциальности, целостности, доступности и обработке информации с соответствующими целями
|
Создание политики использования облачных сервисов | Как правило, облачные сервисы уже имеют необходимые функции безопасности. В некоторых случаях может потребоваться обновить сервис до более защищенной версии, в редких случаях — сменить поставщика, если он не обеспечивает требуемую безопасность. В большинстве случаев компании понадобится лишь более тщательно следить за использованием существующих функций облачной безопасности | Следует настроить процессы определения требований безопасности для облачных сервисов и критериев выбора поставщика облачных услуг. Кроме того, следует организовать процесс определения приемлемого использования облаков, а также требования безопасности при отказе от использования облачного сервиса | Следует информировать сотрудников о рисках безопасности, связанных с облачными сервисами, и обучать их безопасному использованию таких сервисов | ISO 27001 не требует разрабатывать отдельную политику для выполнения этого контроля. Небольшая компания может включить правила использования облачных сервисов в политику безопасности поставщиков. Более крупные организации могут разработать отдельную политику, ориентированную конкретно на безопасность облачных сервисов |
| 5.30. ICT readiness for business continuity («Готовность ИКТ к обеспечению непрерывности бизнеса») | |||||||
|---|---|---|---|---|---|---|---|
| Контроль | Цель | Рекомендации по выполнению | Выполнение на примере BI.ZONE | Технологии | Организация/процессы | Сотрудники | Документация |
| Организация должна планировать внедрение и поддержку информационно-коммуникационных технологий (ИКТ) и тестировать их на основании целей обеспечения непрерывности бизнеса и требований к непрерывности ИКТ | Обеспечить доступность корпоративной информации и связанных с ней активов во время сбоев |
По результатам BIA
Приоритетным видам деятельности и ресурсам, необходимым для их поддержки, следует присвоить целевой показатель времени восстановления (recovery time objective, RTO). BIA можно расширить на сферу ИКТ, чтобы определить требования к производительности и пропускной способности систем ИКТ, а также целевой точке восстановления (recovery point objective, RPO) информации, необходимой для поддержки деятельности во время сбоев
|
|
Если компания ранее не инвестировала в системы обеспечения устойчивости и резервирования IT‑систем, ей может понадобиться внедрить такие решения: от резервного копирования данных до создания резервных каналов связи.
При выборе решений компании следует опираться на оценку рисков и учитывать, как быстро нужно восстановить данные и системы после сбоя
|
Помимо процесса планирования, который должен учитывать риски и потребности бизнеса в восстановлении работоспособности, следует наладить процессы обслуживания технологий, тестирования планов аварийного восстановления и/или непрерывности бизнеса | Следует сообщать сотрудникам о потенциальных сбоях, обучить их правильному обслуживанию ИКТ‑систем, чтобы они были готовы к сбоям | ISO 27001 не требует разрабатывать отдельную политику для выполнения этого контроля. При необходимости небольшая компания может включить требования к непрерывности ИКТ в следующие документы:
Крупным организациям следует документировать готовность к обеспечению непрерывности с помощью BIA, стратегии и плана непрерывности бизнеса, отчета о тестировании непрерывности бизнеса |
| 7.4. Physical security monitoring («Мониторинг физической безопасности») | |||||||
|---|---|---|---|---|---|---|---|
| Контроль | Цель | Рекомендации по выполнению | Выполнение на примере BI.ZONE | Технологии | Организация/процессы | Сотрудники | Документация |
| Необходимо постоянно контролировать помещения на предмет несанкционированного физического доступа | Обеспечить обнаружение и предотвращение несанкционированного доступа (НСД) |
Физические помещения следует снабдить системами контроля доступа и наблюдения и регулярно их тестировать. Доступ к зданиям с критически важными системами нужно контролировать постоянно, выявляя попытки проникновения и подозрительное поведение со стороны.
Проектирование систем мониторинга должно храниться в тайне. Средства мониторинга должны быть защищены от НСД.
При использовании каких‑либо механизмов мониторинга и регистрации следует учитывать местные законы и нормативные акты
|
Наличие политики обеспечения физической безопасности помещений и оборудования | В зависимости от рисков могут потребоваться системы сигнализации или видеонаблюдения, а также нетехнические решения, например пост охранника для наблюдения за территорией | Следует определить ответственного за мониторинг чувствительных зон, а также каналы связи для сообщений об инцидентах | Следует доносить сотрудникам информацию о рисках НСД и обучать их использованию средств мониторинга | ISO 27001 не требует разрабатывать отдельную политику для выполнения этого контроля. Однако процессы мониторинга физической безопасности можно включить в следующие документы:
|
| 8.9. Configuration management («Управление конфигурацией») | |||||||
|---|---|---|---|---|---|---|---|
| Контроль | Цель | Рекомендации по выполнению | Выполнение на примере BI.ZONE | Технологии | Организация/процессы | Сотрудники | Документация |
| Необходимо определить, задокументировать, внедрить, постоянно отслеживать и пересматривать конфигурации, включая конфигурации безопасности, аппаратных средств, программного обеспечения (ПО), служб и сетей | Гарантировать выполнение требований безопасности при работе оборудования, ПО, служб и сетей, а также предотвращать попытки несанкционированных или ошибочных изменений конфигураций | Организации следует определить и внедрить процессы и инструменты для контроля установленных конфигураций аппаратных средств, ПО, служб (например, облачных сервисов) и сетей, для вновь установленных систем, а также операционных систем в течение срока их службы. Необходимо установить роли, обязанности и процедуры для контроля изменений конфигурации |
|
Объем технологий, которые необходимо учитывать при управлении конфигурациями, охватывает ПО, оборудование, услуги и сети. Небольшие компании, вероятно, смогут обойтись без дополнительных инструментов, тогда как более крупным компаниям может понадобиться автоматизировать работу с помощью специализированного ПО | Следует выстроить процесс предложения, проверки и утверждения конфигураций безопасности, а также процессы управления и мониторинга конфигураций | Следует донести до сотрудников необходимость строгого контроля конфигурации безопасности, обучить их определению и реализации правильных конфигураций | ISO 27001 требует, чтобы этот контроль был документирован. Небольшая компания может документировать правила конфигурации в рабочих процедурах безопасности. В более крупных организациях обычно существует отдельная процедура, определяющая процессы в этой области |
| 8.10. Information deletion («Удаление информации») | |||||||
|---|---|---|---|---|---|---|---|
| Контроль | Цель | Рекомендации по выполнению | Выполнение на примере BI.ZONE | Технологии | Организация/процессы | Сотрудники | Документация |
| Если информация в каких-либо системах, на устройствах и любых других носителях больше не нужна, ее необходимо удалить | Предотвратить раскрытие конфиденциальной информации, выполнить правовые и нормативные требования, а также требования договоров в отношении удаления информации | Для снижения риска нежелательного раскрытия данных не следует хранить их дольше, чем это требуется. При удалении информации о системах, приложениях и службах следует учитывать выбор метода удаления, запись результатов удаления в качестве доказательств.
Если компания пользуется услугами внешних поставщиков, необходимо требовать от них доказательства удаления информации. В тех случаях, когда третьи стороны хранят информацию организации от ее имени, требования об удалении информации следует включить в соглашения |
Наличие процедуры уничтожения информации | Следует использовать инструменты для безопасного удаления в соответствии с нормативными или договорными требованиями, а также в соответствии с оценкой рисков | Следует настроить процесс, который определит, какие данные удалять, когда и какими методами, каковы обязанности ответственных сотрудников | Следует объяснить сотрудникам, почему важно удалять конфиденциальную информацию, и обучить их тому, как это делать правильно | ISO 27001 не требует разрабатывать отдельную политику для выполнения этого контроля. Компания может включить правила удаления информации в следующие документы:
|
| 8.11. Data masking («Маскировка данных») | |||||||
|---|---|---|---|---|---|---|---|
| Контроль | Цель | Рекомендации по выполнению | Выполнение на примере BI.ZONE | Технологии | Организация/процессы | Сотрудники | Документация |
| Следует применять маскировку данных в соответствии с политикой организации в отношении контроля доступа и другими соответствующими тематическими политиками, а также бизнес-требованиями и применимым законодательством | Ограничить раскрытие конфиденциальных данных, в том числе персональных, обеспечить соблюдение правовых, нормативных и договорных требований | В тех случаях, когда защита конфиденциальных данных вызывает озабоченность, организации следует рассмотреть возможность их сокрытия. Для этого существуют такие методы, как маскировка данных, псевдонимизация или анонимизация.
При использовании псевдонимизации или анонимизации следует убедиться, что учитываются все элементы, позволяющие понять, какая именно информация была скрыта.
В стандарте также описано, что включают в себя дополнительные методы маскировки данных и что учесть при их внедрении |
Наличие Положения об обработке и защите персональных данных в ООО «БИЗон» | Компании могут использовать инструменты псевдонимизации или анонимизации для маскировки данных, если этого требуют правила конфиденциальности или другие правила. Также можно использовать другие методы, такие как шифрование или обфускация | Следует настроить процессы, которые будут определять, какие данные необходимо замаскировать, кто к какому типу данных имеет доступ и какие методы будут использоваться для маскировки данных | Следует объяснить сотрудникам, почему важно маскировать данные, и обучить их тому, какие данные необходимо маскировать и как | ISO 27001 не требует разрабатывать отдельную политику для выполнения этого контроля, однако можно включить правила маскировки данных в следующие документы:
Более крупные компании или компании, которые должны соответствовать Общему регламенту ЕС по защите данных (EU GDPR) и аналогичным правилам конфиденциальности, также должны иметь следующие документы:
|
| 8.12. Data leakage prevention («Предотвращение утечки данных») | |||||||
|---|---|---|---|---|---|---|---|
| Контроль | Цель | Рекомендации по выполнению | Выполнение на примере BI.ZONE | Технологии | Организация/процессы | Сотрудники | Документация |
| Необходимо применять меры по предотвращению утечек данных к системам, сетям и любым устройствам, которые хранят, обрабатывают или передают конфиденциальную информацию | Обнаружить и предотвратить попытки несанкционированного раскрытия информации отдельными лицами или системами | Требования и рекомендации описывают меры по снижению риска утечки данных:
|
|
Для предотвращения раскрытия конфиденциальных данных можно использовать системы мониторинга потенциальных каналов утечки, включая электронную почту, съемные устройства хранения данных, мобильные устройства. Кроме того, компания может внедрить системы, которые отключают загрузку данных на съемные хранилища, обеспечивают карантин электронной почты, ограничивают копирование и вставку данных, ограничивают загрузку во внешние системы, шифруют информацию и т. д. | Следует организовать процессы для определения конфиденциальности данных, оценивать риски различных технологий (например, риски съемки конфиденциальных документов на смартфон), отслеживать каналы потенциальных утечек и определять, какую технологию использовать для блокировки | Следует рассказать сотрудникам, какие конфиденциальные данные обрабатываются в компании и почему важно предотвращать утечки, а также обучить сотрудников допустимым и недопустимым действиям при работе с конфиденциальными данными | ISO 27001 не требует разрабатывать отдельную политику для выполнения этого контроля. Компания может включить правила предотвращения утечки данных в следующие документы:
|
| 8.16. Monitoring activities («Мониторинг действий») | |||||||
|---|---|---|---|---|---|---|---|
| Контроль | Цель | Рекомендации по выполнению | Выполнение на примере BI.ZONE | Технологии | Организация/процессы | Сотрудники | Документация |
| Следует отслеживать аномальное поведение в сетях, системах и приложениях, оценивать потенциальные инциденты информационной безопасности | Обнаружение аномального поведения и потенциальных инцидентов информационной безопасности | В рекомендациях по выполнению контроля сказано, что объем и уровень мониторинга должны определяться в соответствии с бизнес‑требованиями и требованиями информационной безопасности, а также с учетом соответствующих законов и нормативных актов. Компании следует проработать список систем, сетей, приложений, которые необходимо контролировать, а также описать, как и когда должен производиться мониторинг. Кроме того, необходимо установить требования по определению нормального поведения | Наличие политики мониторинга событий ИБ | Список объектов для отслеживания в сетях, системах и приложениях включает:
|
Следует настроить процесс, определяющий:
|
Следует уведомить сотрудников об отслеживании их действий и объяснить, что считается нормальным поведением, а что — нет. IT-администраторов нужно обучить использованию инструментов мониторинга | ISO 27001 не требует разрабатывать отдельную политику для выполнения этого контроля. Небольшая компания может включить правила мониторинга в рабочие процедуры безопасности.
Более крупные организации могут разработать отдельную процедуру с описанием методов контроля IT‑систем.
Кроме того, компании стоит вести учет мониторинговой деятельности |
| 8.23. Web filtering («Веб‑фильтрация») | |||||||
|---|---|---|---|---|---|---|---|
| Контроль | Цель | Рекомендации по выполнению | Выполнение на примере BI.ZONE | Технологии | Организация/процессы | Сотрудники | Документация |
| Доступ к внешним веб-сайтам следует регулировать, чтобы уменьшить подверженность вредоносному контенту | Защитить системы от взлома вредоносными программами, предотвратить доступ к несанкционирован-ным веб‑ресурсам | В рекомендациях описаны предложения относительно того, как и для чего следует блокировать определенные веб‑ресурсы, как повысить осведомленность сотрудников по вопросам безопасного использования веб‑ресурсов |
|
Компания может использовать инструменты, блокирующие доступ к определенным IP‑адресам, в том числе антивирусное ПО. В качестве нетехнических методов можно составить и распространить среди пользователей список нежелательных для посещения сайтов | Следует настроить процессы для определения запрещенных типов сайтов и описания обслуживания инструментов веб‑фильтрации | Следует сообщить сотрудникам об угрозах при использовании интернета и предоставить рекомендации по безопасной работе. Системных администраторов необходимо обучить веб‑фильтрации | ISO 27001 не требует разрабатывать отдельную политику для выполнения этого контроля. Небольшая компания может включить правила веб‑фильтрации в следующие документы:
Более крупным компаниям для описания процессов веб‑фильтрации потребуется отдельная процедура |
| 8.28. Secure coding («Безопасная разработка») | |||||||
|---|---|---|---|---|---|---|---|
| Контроль | Цель | Рекомендации по выполнению | Выполнение на примере BI.ZONE | Технологии | Организация/процессы | Сотрудники | Документация |
| При создании ПО нужно применять принципы безопасной разработки | Обеспечить безопасную разработку ПО, чтобы уменьшить количество потенциальных уязвимостей информационной безопасности в созданном продукте | Руководство по контролю включает требования к процессу безопасной разработки при планировании, в ходе написания кода и после него. Организации следует установить и применять минимальный безопасный уровень разработки. Принципы безопасной разработки должны применяться к деятельности внутри организации и в отношении продуктов и услуг от сторонних поставщиков.
Перед началом разработки организации нужно установить принципы безопасной разработки, настроить необходимые средства, учесть квалификацию привлекаемых сотрудников, создать модель угроз при написании кода. Следует также учесть лучшие практики и стандарты безопасной разработки.
Во время работы над кодом следует:
После написания кода необходимо анализировать его на наличие распространенных ошибок, обеспечить защиту от НСД, отслеживать ошибки и потенциальные атаки, а также регулярно устранять выявленные уязвимости.
В документе отдельно описано, что учитывать при использовании внешних инструментов и библиотек и что делать при модификации пакетов ПО |
|
Организации потребуются инструменты инвентаризации библиотек, защиты исходного кода от НСД, регистрации ошибок и атак, а также тестирования кода. Кроме того, можно использовать такие компоненты безопасности, как средства аутентификации, шифрования и т. д. | Следует выстроить процесс определения минимального уровня безопасности при написании кода — как для внутренней разработки, так и при использовании компонентов от третьих сторон. Также необходимо вести мониторинг возникающих угроз и рекомендаций по безопасной разработке, организовать процесс принятия решений об использовании внешних инструментов и библиотек, план действий до, во время и после работы над кодом, включая проверки, сопровождение и модификацию ПО | Следует сообщить разработчикам ПО о важности принципов безопасной разработки и обучить их соответствующим методам и работе с необходимыми инструментами | ISO 27001 не требует разрабатывать отдельную политику для выполнения этого контроля. Небольшая компания может включить правила безопасного написания кода в политику безопасной разработки. Более крупные организации могут разработать отдельные процедуры безопасной разработки для каждого своего проекта |
Что такое атрибуты и какова их роль
В новой версии стандарта ISO 27002:2022 появилось понятие атрибутов, которые обозначаются «решеткой» (#). Атрибуты можно использовать для группировки похожих контролей при разработке единой меры в ходе их реализации и распределения ответственности за них. Таким образом можно быстро согласовывать элементы управления с общепринятым отраслевым языком и стандартами, а также использовать новые возможности для ускорения процессов выбора и внедрения этих элементов и лучшего понимания, каковы потенциальные варианты использования каждого из них.
Стандарт предусматривает пять категорий атрибутов.
| Категория атрибута | Атрибут (#) | Роль атрибута |
|---|---|---|
| Тип контроля | Превентивный, детективный, корректирующий |
Этот атрибут может упростить проверку баланса установленных организацией элементов управления
Например, атрибуты можно использовать, чтобы проверить, установила ли организация адекватные средства контроля для обнаружения событий ИБ, а не только для предотвращения инцидентов
|
| Свойство информационной безопасности | Конфиденциальность, целостность, доступность |
Позволяет выбирать меры защиты, которые можно фильтровать, чтобы определить подходящие для закрытия уязвимостей
Этот атрибут может очень помочь при оценке рисков, поскольку рассмотрение снижения рисков — это одно из требований пункта 6.1.2 СМИБ в ISO 27001:2022
|
| Концепции кибербезопасности | Идентификация, защита, детектирование, реагирование, восстановление |
Атрибут поможет соотнести средства управления СМИБ, описанные в стандарте ISO 27002, с пятью концепциями структуры кибербезопасности согласно ISO/IEC TS 27110
Эти возможности будут очень полезными, если организация установила и СМИБ, и структуру кибербезопасности
|
| Операционные возможности | Руководство, управление активами, защита информации, безопасность человеческих ресурсов, физическая безопасность, безопасность системы и сети, безопасность приложений, безопасная конфигурация, управление идентификацией и доступом, управление угрозами и уязвимостями, непрерывность, безопасность при взаимоотношениях с поставщиками, соответствие требованиям законодательства, управление событиями информационной безопасности, обеспечение информационной безопасности |
Атрибуты помогают рассматривать средства управления с точки зрения эксплуатационных возможностей ИБ и поддерживают практический взгляд на средства управления
Можно использовать для разграничения или назначения владения риском / средством контроля
|
| Домен безопасности | Управление и экосистема, защита, оборона, устойчивость | Можно использовать для просмотра элементов управления с точки зрения четырех доменов ИБ |
Когда нужно использовать атрибуты
Применение атрибутов носит рекомендательный, а не обязательный характер. Поэтому организациям следует рассматривать их в качестве подспорья при обработке рисков.
Одно из главных преимуществ атрибутов в том, что они могут ускорить выполнение требований пункта 6.1.3.c ISO 27001 СМИБ. Это требование сравнивает средства контроля организации, определенные в процессе обработки рисков (так называемые необходимые средства контроля), со средствами, указанными в приложении А ISO 27001:2022. В результате компании проще убедиться, что ни одна важная деталь не осталась без внимания. Атрибуты также будут полезны при оценке рисков, помогая проверить достаточность контрмер по закрытию уязвимостей. В этом случае компания сможет получить сокращенный перечень мер, применимый к конкретной области.
Если организации нужно более детально настроить представление элементов управления, она может создавать собственные атрибуты с соответствующими значениями. В разделе А.2 ISO 27002 приводятся примеры, как это сделать, а также дополнительные примеры значений атрибутов: зрелости, состояния реализации, приоритета и т. д.
Заключение
При переходе на новый стандарт организациям необходимо будет оценить, насколько их системы, средства контроля и политики соответствуют новой структуре и обновленным средствам управления ISO 27001/27002.
Если у вас есть вопросы о практических шагах по внедрению ISO 27001:2022, читайте нашу статью «Как компании перейти на стандарт ISO 27001:2022».
