«ЕЙ-БІ-СІ ГРУП» ТОВ
“A-B-C GROUP” LLS
- +38 (050) 550-65-83
- ТОВ ЕЙ-БІ-СІ ГРУП", Україна, м Київ, вул Вишгородська, 44 - 84, 04114
- stas@abcgroup.com.ua
Повний посібник ISO 27001
Розділи та Додаток А ISO 27001
«Посібник ISO 27001» – це найповніший довідник з ISO 27001. Як для початківців, так і для практиків, цей посібник охоплює все, що вам потрібно знати. Оновлено до версії 2022 року з усіма останніми рекомендаціями та інсайдерськими комерційними таємницями, які інші просто не хочуть, щоб ви знали. Принаймні, не безкоштовно.
У цьому вичерпному посібнику з контролю ISO 27001 ми розглянемо вимоги до контролю безпеки. Ми розглянемо контрольні заходи ISO 27001, порівняємо стару версію ISO 27002: 2013 та новий оновлений список пунктів ISO 27002: 2022.
Давайте заглибимося в це. Я Станіслав Бичков, містер ISO 27001, а це Контрольні заходи ISO 27001.
Зміст
- Огляд засобів контролю ISO 27001
- ISO 27001:2022
- ISO 27002:2022
- Контроль СУІБ за стандартом ISO 27001:2022
- Зведена таблиця контролю ISO 27001
- ISO 27001 Розділ 4 Контекст організації
- ISO 27001, Розділ 5, Лідерство
- ISO 27001, Розділ 6. Планування
- ISO 27001, Розділ 7. Підтримка
- ISO 27001, Розділ 8, Операційна діяльність
- ISO 27001, Розділ 9 Оцінювання ефективності роботи
- ISO 27001, Розділ 10 Вдосконалення
- Контрольний список елементів керування за додатком A до ISO 27001:2022
- ISO 27001:2022 Додаток A 5: Організаційний контроль
- ISO 27001:2022 Додаток A 6: Контроль персоналу
- ISO 27001:2022 Додаток A 7: Фізичні засоби контролю
- ISO 27001:2022 Додаток A 8: Технологічний контроль
- Найчастіші запитання щодо контролю ISO 27001
Огляд засобів контролю ISO 27001
ISO 27001 – це міжнародний стандарт інформаційної безпеки. Він містить контрольний список заходів контролю ISO 27001. Ці заходи контролю викладено в додатку А до ISO 27001. Часто його називають ISO 27002.
Мені подобаються ці елементи керування, тому що це стандартні елементи керування, які легко впровадити. Коли ви купуєте копію стандарту, всі вони викладені в інструкції. Давайте розглянемо контрольний список елементів керування ISO 27001. Я підсумував їх у змісті для зручності навігації.
ISO 27001:2022
Важливо зазначити, що сам стандарт ISO 27001 зазнав змін і тепер посилається на нього як на ISO 27001:2022. Вам слід купити та прочитати ISO 27001:2022.
Нижче ми перерахуємо засоби контролю та зміни.
ISO 27002:2022
Засоби контролю ISO 27001 перелічені в Додатку A до стандарту ISO 27001, він містить посилання на керівний стандарт ISO 27002, який перелічує засоби контролю та надає рекомендації до впровадження. Вам слід купити та прочитати ISO 27002:2022
Контроль СУІБ за стандартом ISO 27001:2022
ISO 27001 – це стандарт, за яким ви можете сертифікуєтеся. Взагалі - це система управління. Почнемо з розгляду елементів контролю системи управління інформаційною безпекою ISO 27001. ISO 27001 поділено на Розділи та пункти до них, які діють як домени, або групи пов’язаних елементів контролю.
Тепер давайте розглянемо кожен із Контролів ISO 27001 та їх розбивку.
ISO 27001 Розділ 4 Контекст організації
Контекст заходів контролю організації стосується вашої розуміння організації та її контексту. Розуміння потреб та очікувань зацікавлених сторін , а також визначення обсягу системи управління інформаційною безпекою.
ISO 27001 Контекст організації
- Основний посібник з ISO 27001, Контроль 4.1, Розуміння організації та її контексту.
- Основний посібник з ISO 27001, Контроль 4.2: Розуміння потреб та очікувань зацікавлених сторін
- Основний посібник з ISO 27001, Контроль 4.3, Визначення сфери застосування системи управління інформаційною безпекою
- Основний посібник з ISO 27001, Контроль 4.4, Система управління інформаційною безпекою
ISO 27001, Пункт 5, Лідерство
Стандарт ISO 27001 вимагає керівництва «зверху вниз» та можливості довести відданість керівництва. Нам потрібні Політики інформаційної безпеки , які чітко визначають, що ми робимо. Ми документуємо ролі та обов'язки організації та керівництва.
Додаткова інформація щодо лідерства за стандартом ISO 27001
- Основний посібник з ISO 27001, Контроль 5.1: Лідерство та відданість
- Важливий посібник з Політик ISO 27001
- Основний посібник з ISO 27001, Контроль 5.3: Організаційні ролі, обов'язки та повноваження
Планування за розділом 6 стандарту ISO 27001
Планування стосується дій для врахування ризиків та можливостей. ISO 27001 – це система, що базується на ризиках, тому управління ризиками є ключовою частиною, з наявними реєстрами ризиків та процесами управління ризиками . Ми повинні гарантувати наявність цілей та заходів для системи управління інформаційною безпекою.
Планування ISO 27001 Додаткова інформація
- Основний посібник з ISO 27001, Пункт 6.1.1, Планування, загальні положення
- Основний посібник з ISO 27001, Пункт 6.1.2, Оцінка ризиків інформаційної безпеки
- Основний посібник з ISO 27001 Пункт 6.1.3, Обробка ризиків інформаційної безпеки
- Основний посібник з ISO 27001, Пункт 6.2, Цілі інформаційної безпеки та планування їх досягнення
Підтримка Розділу 7 ISO 27001
Запроваджено освіту та підвищення обізнаності, а також впроваджено культуру безпеки. Створено та дотримується План комунікації. Ресурси розподілене, а компетентність ресурсів управляється та розуміється. «Якщо це не записано, то не існує», - тому стандартні операційні процедури задокументовано, а документи контролюються.
ISO 27001, Розділ 8, Операційна діяльність
Операції управляються та контролюються, а також проводиться оцінка ризиків.
ISO 27001 , Операційна діяльність. Додаткова інформація
- Основний посібник з ISO 27001 8.1 Оперативне планування та контроль
- Основний посібник з ISO 27001 8.2 Оцінка ризиків інформаційної безпеки
- Основний посібник з ISO 27001 8.3 Обробка ризиків інформаційної безпеки
Оцінювання ефективності роботи згідно з ISO 27001, Розділ 9. Моніторинг, вимірювання, аналіз, оцінювання
Впроваджені заходи: моніторингу, вимірювання, аналізу, оцінювання. В рамках постійного вдосконалення плануються та виконуються аудити, а також проводяться управлінські огляди відповідно до структурованих програм.
Оцінювання ефективності ISO 27001 Додаткова інформація
- Основний посібник з ISO 27001 9.1 Моніторинг, вимірювання, аналіз та оцінювання
- Основний посібник з ISO 27001 9.2 Внутрішній аудит
- Основний посібник з ISO 27001 9.2.1 Загальні положення
- Основний посібник з ISO 27001 9.2.2 Програма внутрішнього аудиту
- Основний посібник з ISO 27001 9.3 Огляд з боку керівництва
- Основний посібник з ISO 27001 9.3.1 Загальні положення
- Основний посібник з ISO 27001 9.3.2 Вхідні дані для управлінського аналізу
- Основний посібник з ISO 27001 9.3.3 Результати управлінського аналізу
Розділ 10 стандарту ISO 27001. Вдосконалення
Вдосконалення є основою стандарту ISO 27001. Здатність адаптуватися та постійно вдосконалюватися. Ми розглянемо, як ми керуємо невідповідностями та коригувальними діями, а також наші процеси управління постійним вдосконаленням.
Вдосконалення ISO 27001 Додаткова інформація
- Основний посібник з ISO 27001 10.1 Постійне вдосконалення
- Основний посібник з ISO 27001 10.2 Невідповідність та коригувальні дії
Контрольний список елементів керування за Додатком A до ISO 27001:2022
ISO 27001:2022 Додаток A 5: Організаційний контроль
ISO 27001:2022 Додаток A 5.1 Політики інформаційної безпеки
Забезпечити придатність, адекватність, ефективність та підтримки інформаційної безпеки керівництвом.
ISO 27001:2022 Додаток A 5.2 Ролі та обов'язки у сфері інформаційної безпеки
Забезпечити наявність визначеної, затвердженої та зрозумілої структури для впровадження та функціонування системи управління інформаційною безпекою.
ISO 27001:2022 Додаток A 5.3 Розподіл обов'язків
Зменшити ризик шахрайства, помилок та обходу засобів контролю інформаційної безпеки.
ISO 27001:2022 Додаток A 5.4 Відповідальність керівництва
Керівництво повинно вимагати від усього персоналу застосування заходів інформаційної безпеки відповідно до встановленої Політики інформаційної безпеки, тематичних Політик та процедур організації.
ISO 27001:2022 Додаток A 5.5 Контакти з органами влади
Організація повинна встановити та підтримувати контакти з відповідними органами влади.
ISO 27001:2022 Додаток A 5.6 Контакти зі спеціальними групами інтересів
Забезпечити належний потік інформації з урахуванням питань інформаційної безпеки.
ISO 27001:2022 Додаток A 5.7 Розвідка загроз – нове
Забезпечити обізнаність про середовище загроз організації, щоб можна було вжити відповідних заходів їх пом'якшення.
ISO 27001:2022 Додаток A 5.8 Інформаційна безпека в управлінні проектами
Забезпечити ефективне врахування ризиків інформаційної безпеки, пов'язаних з проектами та їх результатами, в управлінні проектами протягом усього життєвого циклу проекту.
ISO 27001:2022 Додаток A 5.9 Інвентаризація інформації та інших пов'язаних з нею активів – зміна
Визначити інформацію організації та інші пов'язані з нею активи, щоб забезпечити їхню інформаційну безпеку та визначити відповідних власників.
ISO 27001:2022 Додаток A 5.10 Прийнятне використання інформації та інших пов'язаних з нею активів – зміна
Правила прийнятного використання та процедури обробки інформації та інших пов'язаних з нею активів мають бути визначені, задокументовані та впроваджені.
ISO 27001:2022 Додаток A 5.11 Повернення активів
Захист активів організації в рамках процесу зміни або припинення трудових відносин, контракту чи угоди.
ISO 27001:2022 Додаток A 5.12 Класифікація інформації
Забезпечити визначення та розуміння потреб у захисті інформації відповідно до її важливості для організації.
ISO 27001:2022 Додаток A 5.13 Маркування інформації
Сприяти маркування інформації згідно класифікації. Підтримувати автоматизацію обробки та управління інформацією.
ISO 27001:2022 Додаток A 5.14 Передача інформації
Забезпечувати безпеку інформації, що передається всередині організації та будь-якій зовнішній зацікавленій стороні.
ISO 27001:2022 Додаток A 5.15 Контроль доступу
Забезпечити авторизований доступ та запобігти несанкціонованому доступу до інформації та інших пов'язаних з нею активів.
ISO 27001:2022 Додаток A 5.16 Управління ідентифікацією
Забезпечити унікальну ідентифікацію осіб та систем, які отримують доступ до інформації організації та інших пов'язаних з нею активів, а також забезпечити відповідне призначення прав доступу.
ISO 27001:2022 Додаток A 5.17 Інформація для автентифікації – нове
Забезпечте належну автентифікацію об'єктів та запобігайте збоям процесів автентифікації.
ISO 27001:2022 Додаток A 5.18 Права доступу – зміни
Забезпечити визначення та авторизацію доступу до інформації та інших пов'язаних з нею активів відповідно до бізнес-вимог.
ISO 27001:2022 Додаток A 5.19 Інформаційна безпека у відносинах з постачальниками
Підтримувати узгоджений рівень інформаційної безпеки у відносинах з постачальниками.
ISO 27001:2022 Додаток A5.20 Врахування інформаційної безпеки в угодах з постачальниками
Підтримувати узгоджений рівень інформаційної безпеки у відносинах з постачальниками.
ISO 27001:2022 Додаток A 5.21 Управління інформаційною безпекою в ланцюжку поставок ІКТ – нове
Підтримувати узгоджений рівень інформаційної безпеки у відносинах з постачальниками.
ISO 27001:2022 Додаток A 5.22 Моніторинг, перегляд та управління змінами послуг постачальників – зміни
Підтримувати узгоджений рівень інформаційної безпеки та надання послуг відповідно до угод з постачальниками.
ISO 27001:2022 Додаток A 5.23 Інформаційна безпека для використання хмарних сервісів – нове
Визначати та керувати інформаційною безпекою для використання хмарних сервісів.
ISO 27001:2022 Додаток A 5.24 Планування та підготовка до управління інцидентами інформаційної безпеки – зміни
Забезпечувати швидке, ефективне, послідовне та впорядковане реагування на інциденти інформаційної безпеки, включаючи комунікацію у випадку подій інформаційної безпеки.
ISO 27001:2022 Додаток A 5.25 Оцінювання та прийняття рішень щодо подій інформаційної безпеки
Забезпечити ефективну категоризацію та пріоритизацію подій інформаційної безпеки.
ISO 27001:2022 Додаток A 5.26 Реагування на інциденти інформаційної безпеки
Забезпечити ефективне та результативне реагування на інциденти інформаційної безпеки.
ISO 27001:2022 Додаток A 5.27 Вивчення досвіду інцидентів інформаційної безпеки
Зменшити ймовірність або наслідки майбутніх інцидентів.
ISO 27001:2022 Додаток A 5.28 Збір доказів
Забезпечити послідовне та ефективне управління доказами, пов’язаними з інцидентами інформаційної безпеки, з метою дисциплінарних та правових дій.
ISO 27001:2022 Додаток A 5.29 Інформаційна безпека під час перебоїв – зміни
Захист інформації та інших пов'язаних з нею активів під час збоїв.
ISO 27001:2022 Додаток A 5.30 Готовність ІКТ для забезпечення безперервності бізнесу – нове
Забезпечити доступність інформації організації та інших пов'язаних з нею активів під час перебоїв.
ISO 27001:2022 Додаток A 5.31 Визначення правових, законодавчих, нормативних та договірних вимог
Забезпечувати дотримання правових, законодавчих, нормативних та договірних вимог, пов'язаних з інформаційною безпекою.
ISO 27001:2022 Додаток A 5.32 Права інтелектуальної власності
Забезпечувати дотримання правових, законодавчих, регуляторних та договірних вимог, пов'язаних з правами інтелектуальної власності та використанням запатентованих продуктів.
ISO 27001:2022 Додаток A 5.33 Захист записів
Забезпечити дотримання правових, законодавчих, нормативних та договірних вимог, а також очікувань громади чи суспільства до захисту та доступності записів.
ISO 27001:2022 Додаток A 5.34 Конфіденційність та захист персональних даних
Забезпечити дотримання правових, законодавчих, регуляторних та договірних вимог, пов'язаних з аспектами інформаційної безпеки захисту персональних даних.
ISO 27001:2022 Додаток A 5.35 Незалежна перевірка інформаційної безпеки
Забезпечити постійну придатність, адекватність та ефективність підходу організації до управління інформаційною безпекою.
ISO 27001:2022 Додаток A 5.36 Відповідність Політикам та стандартам інформаційної безпеки
Забезпечити впровадження та функціонування інформаційної безпеки відповідно до Політики інформаційної безпеки організації, тематичних Політик, правил та стандартів.
ISO 27001:2022 Додаток A 5.37 Документовані операційні процедури
Забезпечити правильну та безпечну роботу засобів обробки інформації.
ISO 27001:2022 Додаток A 6: Контроль персоналу
ISO 27001:2022 Додаток A 6.1 Періодична перевірка
Забезпечити відповідність усіх співробітників вимогам згідно їх посад, на які їх розглядають, та залишатися такими, що відповідають вимогам та підходять протягом усього періоду працевлаштування.
ISO 27001:2022 Додаток A 6.2 Умови працевлаштування
Переконайтеся, що персонал розуміє свої обов'язки до інформаційної безпеки для посад, на які вони розглядаються.
ISO 27001:2022 Додаток A 6.3 Обізнаність, освіта та навчання з питань інформаційної безпеки
Забезпечити обізнаність персоналу та відповідних зацікавлених сторін до їхніх обов'язків з питань інформаційної безпеки та контролюйте їх виконання.
ISO 27001:2022 Додаток A 6.4 Дисциплінарний процес
Забезпечити розуміння персоналом та іншими зацікавленими сторонами наслідків порушення Політики інформаційної безпеки, щоб запобігти скоєнню порушення та належним чином вжити заходів до персоналу та інших зацікавлених сторін.
ISO 27001:2022 Додаток A 6.5 Обов'язки після звільнення або зміни трудових відносин
Захищати інтереси організації в рамках процесу зміни або розірвання трудових відносин чи контрактів.
ISO 27001:2022 Додаток A 6.6 Угоди про конфіденційність або нерозголошення інформації
Зберігати конфіденційність інформації, доступної персоналу або зовнішнім особам.
ISO 27001:2022 Додаток A 6.7 Дистанційна робота – нове
Забезпечте безпеку інформації, коли персонал працює віддалено.
ISO 27001:2022 Додаток A 6.8 Звітування про події інформаційної безпеки
Підтримувати своєчасне, послідовне та ефективне звітування про події інформаційної безпеки, які може виявити персонал.
ISO 27001:2022 Додаток A 7: Фізичні засоби контролю
ISO 27001:2022 Додаток A 7.1 Периметр фізичної безпеки
Забезпечте фізичну охорону, щоб запобігти фізичному доступу до майна та активів особам, яким ви не хочете дозволяти.
ISO 27001:2022 Додаток А 7.2 Фізичний контроль входу
Захистить безпечні зони за допомогою точок доступу та контролю входу
ISO 27001:2022 Додаток A 7.3 Забезпечення безпеки офісів, кімнат та приміщень
Забезпечте запобігання несанкціонованому фізичному доступу, пошкодженню та втручанню в інформацію організації та інші пов'язані з нею активи в офісах, кімнатах та приміщеннях.
ISO 27001:2022 Додаток A 7.4 Моніторинг фізичної безпеки
Мати фізичний периметр безпеки для захисту офісів та виробничих приміщень.
ISO 27001:2022 Додаток A 7.5 Захист від фізичних та екологічних загроз
Запобігання або зменшення наслідків подій, що виникають внаслідок фізичних та екологічних загроз.
ISO 27001:2022 Додаток A 7.6 Робота в безпечних зонах
Забезпечте захист інформації та інших пов'язаних з нею активів у безпечних зонах від пошкодження та несанкціонованого втручання з боку персоналу, який працює в цих зонах.
ISO 27001:2022 Додаток A 7.7 Чистий стіл та вільний екран
Переконайтеся, що ви враховуєте ризики несанкціонованого доступу, втрати та пошкодження інформації на столах, екранах та в інших доступних місцях під час та поза звичайним робочим часом.
ISO 27001:2022 Додаток A 7.8 Розміщення та захист обладнання
Зменшити ризики від фізичних та екологічних загроз, а також від несанкціонованого доступу та пошкодження.
ISO 27001:2022 Додаток A 7.9 Безпека активів поза межами приміщень
Захистить обладнання, надійно розмістивши його та захистивши.
ISO 27001:2022 Додаток A 7.10 Носії інформації – новий
Захистить носії інформації.
ISO 27001:2022 Додаток A 7.11 Допоміжні комунальні послуги
Запобігання втраті, пошкодженню або компрометації інформації та інших пов'язаних з нею активів, або перериванню діяльності організації через збій та перебої в роботі допоміжних комунікацій.
ISO 27001:2022 Додаток A 7.12 Безпека кабельних систем
Запобігання втраті, пошкодженню, крадіжці або компрометації інформації та інших пов'язаних з нею активів, а також перериванню діяльності організацій, пов'язаної з кабельним живленням та зв'язком.
ISO 27001:2022 Додаток А 7.13 Технічне обслуговування обладнання
Запобігання втратам, пошкодженню, крадіжці або компрометації інформації та інших пов'язаних з нею активів, а також перериванню діяльності організацій, спричиненим відсутністю технічного обслуговування.
ISO 27001:2022 Додаток A 7.14 Безпечна утилізація або повторне використання обладнання
Запобігання витоку інформації з обладнання, яке підлягає утилізації або повторному використанню.
ISO 27001:2022 Додаток A 8: Технологічний контроль
ISO 27001:2022 Додаток A 8.1 Кінцеві пристрої користувача – нове
Захистить інформацію від ризиків, пов'язаних з використанням кінцевих пристроїв користувачів.
ISO 27001:2022 Додаток A 8.2 Права привілейованого доступу
Забезпечте надання привілейованих прав доступу лише авторизованим користувачам, програмним компонентам та службам.
ISO 27001:2022 Додаток A 8.3 Обмеження доступу до інформації
Забезпечувати лише авторизований доступ та запобігати несанкціонованому доступу до інформації та інших пов'язаних з нею активів.
ISO 27001:2022 Додаток A 8.4 Доступ до вихідного коду
Запобігати впровадженню несанкціонованих функцій, уникати ненавмисних або зловмисних змін та зберігати конфіденційність цінної інтелектуальної власності.
ISO 27001:2022 Додаток A 8.5 Безпечна автентифікація
Забезпечити безпечну автентифікацію користувача або суб'єкта під час надання доступу до систем, програм та послуг.
ISO 27001:2022 Додаток A 8.6 Управління потужностями
Забезпечити необхідну потужність засобів обробки інформації, людських ресурсів, офісів та інших приміщень.
ISO 27001:2022 Додаток A 8.7 Захист від шкідливого програмного забезпечення
Забезпечте захист інформації та інших пов’язаних з нею ресурсів від шкідливого програмного забезпечення.
ISO 27001:2022 Додаток A 8.8 Управління технічними вразливостями
Забезпечити захист інформації та інших пов'язаних з нею активів від використання технічних вразливостей.
ISO 27001:2022 Додаток A 8.9 Управління конфігурацією
Забезпечте правильне функціонування апаратного та програмного забезпечення, послуг і мереж з необхідними налаштуваннями безпеки, а також відсутність несанкціонованих або неправильних змін у конфігурації.
ISO 27001:2022 Додаток A 8.10 Видалення інформації – нове
Переконайтеся, що ви видаляєте дані, коли вони більше не потрібні, таким чином, щоб їх не можна було відновити.
ISO 27001:2022 Додаток A 8.11 Маскування даних – нове
Переконайтеся, що ви обмежуєте розголошення конфіденційних даних, включаючи особисту інформацію, та дотримуєтеся правових, законодавчих, нормативних та договірних вимог.
ISO 27001:2022 Додаток A 8.12 Запобігання витоку даних – нове
Виявляти та запобігати несанкціонованому розголошенню та вилученню інформації окремими особами або системами.
ISO 27001:2022 Додаток A8.13 Резервне копіювання інформації
Забезпечити відновлення після втрати даних або систем.
ISO 27001:2022 Додаток A8.14 Резервування засобів обробки інформації
Забезпечує безперебійну роботу засобів обробки інформації.
ISO 27001:2022 Додаток A8.15 Ведення журналів Реєстрація подій
Записувати події, створювати докази, забезпечувати цілісність інформації журналу, запобігати несанкціонованому доступу, виявляти події інформаційної безпеки, які можуть призвести до інциденту інформаційної безпеки, та підтримувати розслідування.
ISO 27001:2022 Додаток A 8.16 Моніторингова діяльність
Виявляти аномальну поведінку та потенційні інциденти інформаційної безпеки.
ISO 27001:2022 Додаток A 8.17 Синхронізація годинника
Забезпечити кореляцію та аналіз подій, пов'язаних з безпекою, та інших записаних даних, а також підтримати розслідування інцидентів інформаційної безпеки.
ISO 27001:2022 Додаток A 8.18 Використання привілейованих утилітних програм
Переконайтеся, що використання утиліт не шкодить системним та прикладним засобам контролю інформаційної безпеки.
ISO 27001:2022 Додаток A 8.19 Встановлення програмного забезпечення на операційних системах
Забезпечити цілісність операційних систем та запобігти використанню технічних вразливостей.
ISO 27001:2022 Додаток A 8.20 Мережеві засоби керування
Захист інформації в мережах та допоміжних інформаційних обробних засобах від компрометації через мережу.
ISO 27001:2022 Додаток A 8.21 Безпека мережевих послуг
Забезпечити безпеку використання мережевих послуг.
ISOISO 27001:2022 Додаток A 8.22 Розділення в мережах
Розділити мережу за межами безпеки та контролювати трафік між ними відповідно до потреб бізнесу.
ISO 27001:2022 Додаток A 8.23 Веб-фільтрація – нове
Захист систем від компрометації шкідливими програмами та запобігання доступу до несанкціонованих веб-ресурсів.
ISO 27001:2022 Додаток A 8.24 Використання криптографії
Забезпечити належне та ефективне використання криптографії для захисту конфіденційності, автентичності або цілісності інформації відповідно до бізнес-вимог та вимог інформаційної безпеки, а також враховувати правові, законодавчі, регуляторні та договірні вимоги, пов'язані з криптографією.
ISO 27001:2022 Додаток A 8.25 Безпечний життєвий цикл розробки
Забезпечити розробку та впровадження інформаційної безпеки в межах безпечного життєвого циклу розробки програмного забезпечення та систем.
ISO 27001:2022 Додаток A 8.26 Вимоги безпеки додатків – нове
Забезпечте визначення та врахування всіх вимог інформаційної безпеки під час розробки або придбання програм.
ISO 27001:2022 Додаток A 8.27 Архітектура та принципи інженерії безпечної системи – нове
Забезпечити безпечне проектування, впровадження та експлуатацію інформаційних систем протягом життєвого циклу розробки.
ISO 27001:2022 Додаток A 8.28 Безпечне кодування
Забезпечте безпечне написання програмного забезпечення, тим самим зменшуючи кількість потенційних вразливостей інформаційної безпеки в програмному забезпеченні.
ISO 27001:2022 Додаток A 8.29 Тестування безпеки під час розробки та прийняття
Перевіряти, чи дотримуються вимог інформаційної безпеки під час розгортання програм або коду у виробничому середовищі.
ISO 27001:2022 Додаток A 8.30 Розробка на аутсорсингу
Забезпечити впровадження заходів інформаційної безпеки, необхідних організацією, під час розробки систем, що передаються на аутсорсинг.
ISO 27001:2022 Додаток A 8.31 Розділення середовищ розробки, тестування та виробництва
Захистить виробниче середовище та дані від компрометації шляхом розробки та тестування.
ISO 27001:2022 Додаток А 8.32 Управління змінами
Зберігайте інформаційну безпеку під час внесення змін.
ISO 27001:2022 Додаток A 8.33 Інформація про випробування
Забезпечити актуальність тестування та захист операційної інформації, що використовується для тестування.
ISO 27001:2022 Додаток A 8.34 Захист інформаційних систем під час аудиту та тестування – нове
Мінімізувати вплив аудиту та інших видів діяльності з підтвердження на операційні системи та бізнес-процеси.
Найчастіші запитання щодо контролю ISO 27001
Чи обов’язково мати документацію до кожного контролю ISO 27002?
Так. Якщо це не записано, то це не існує. Навіть якщо ви робите чудові речі, вам доведеться документувати те, що ви робите, і мати змогу надати докази цього.
Як мені задокументувати засоби контролю ISO 27001?
Використання текстового редактора та електронної таблиці. Ви можете розглянути портал або веб-додаток, але найдешевшим, найпростішим, найшвидшим та найгнучкішим підходом для малого та середнього бізнесу є базові офісні програми. Ви вже знаєте, як ними користуватися, і ви вже ними володієте.
Чи існує PDF-файл з контролем ISO 27001?
Так, ви можете зберегти електронну таблицю з елементами контролю ISO 27001, яка є частиною нашого впровадження, у форматі PDF.
Чи зазначено, що засоби контролю ISO 27001 вказані як Додаток А?
Так. Вони є додатком до стандарту ISO 27001.
Що таке ISO 27002?
ISO 27002 – це керівний стандарт до Додатку A стандарту ISO 27001. У стандарті ISO 27002 викладено кожен елемент контролю з інструкціями до впровадження, які слід враховувати під час його впровадження. Стандарт ISO 27002 було оновлено у 2022 році та офіційно називається ISO/IEC 27002:2022 Інформаційна безпека, кібербезпека та захист конфіденційності — Контролі інформаційної безпеки.
Скільки існує засобів контролю ISO 27001:2022?
У стандарті ISO 27001:2022 є 93 елементи контролю.
Чи потрібні мені всі засоби контролю згідно з ISO 27001:2022 Додаток А 93?
Контрольні заходи, зазначені в Додатку А до стандарту ISO 27001:2022, не є обов'язковими, але вони являють собою перелік контролів, які зазвичай зменшують ризики інформаційної безпеки. Після проведення оцінки ризиків інформаційної безпеки ви виберете контролі з Додатку А до стандарту ISO 27001, які зменшують Ваши ризики. Крім того, ви переглянете вимоги клієнтів, а також законодавчі та нормативні вимоги, щоб переконатися, що всі необхідні контролі також включені.
Чи існують засоби контролю ISO 27001 для хмарних технологій?
Так, ISO 27001 Додаток A Контроль 5.23 Інформаційна безпека для використання хмарних сервісів – це новий контроль для хмарної безпеки.
Чи існує контрольний список контролю ISO 27001?
Так. Вони узагальнені тут, і вам слід придбати копію стандарту для ознайомлення з детальною інформацією. Контрольний список є частиною наших робіт.
Чи існує електронна таблиця контролю ISO 27001?
Так. Це включено до нашого впровадження ISO 27001 у комплекти «Найповніший інструментарій ISO 27001:2022». Більш детально на моєму сайті в розділі Документи .
Де я можу отримати список 93 контрольних заходів ISO 27001»
Фактичний перелік засобів контролю міститься у стандарті ISO 27001, який вам слід придбати.
Які сфери контролю використовуються в додатку А до стандарту ISO 27001?
Додаток A до стандарту ISO 27001 поділено на 4 домени контролю. Ці домени об'єднують елементи контролю в логічні домени.
ISO 27001:2022 Додаток A 5 Організаційний контроль
ISO 27001:2022 Додаток A 6 Контроль персоналу
ISO 27001:2022 Додаток A 7 Фізичний контроль
ISO 27001:2022 Додаток A 8 Технологічний контроль
Як завжди, боріться у доброму бою!
Я, містер ISO 27001 Станіслав Бичков,
stas@abcgroup.com.ua