О насСтандартыБлог ✦ ИИ-оценкаПолучить предложение →
Главная  /  Блог  /  ISO 27001:2022 — Переход

Переход на ISO 27001:2022 — Что нужно знать до истечения срока

Переходный период для ISO/IEC 27001:2022 вступил в финальную фазу. Организации, сертифицированные по версии 2013 года, должны действовать сейчас, чтобы обновить свои системы управления информационной безопасностью и сохранить сертификацию. Руководство охватывает все критические изменения, новую структуру контролей Приложения A и практическую пошаговую дорожную карту перехода.

ISO 27001 СУИБ Переход

 ·  8 мин чтения

Почему ревизия 2022 года важна

ISO/IEC 27001:2022 заменил издание 2013 года в октябре 2022 года. Международный форум по аккредитации (IAF) установил трёхлетнее окно перехода: все существующие сертификаты ISO 27001:2013 должны быть переведены на версию 2022 года до 31 октября 2025 года. После этой даты любой сертификат, ссылающийся на стандарт 2013 года, считается недействительным.

Это не незначительное административное обновление. Хотя основные разделы системы менеджмента (4–10) получили относительно скромные изменения, Приложение A подверглось полной реструктуризации. Прежние 114 контролей в 14 доменах консолидированы в 93 контроля в четырёх тематических группах. Введены одиннадцать совершенно новых контролей, отражающих эволюцию ландшафта угроз в области облачных вычислений, разведки об угрозах, маскировки данных и безопасного жизненного цикла разработки.

Для организаций, рассматривавших свою СУИБ как статическое упражнение по соответствию, этот переход — значительная задача. Для организаций с зрелым, риск-ориентированным подходом это возможность оптимизировать и модернизировать контроли безопасности.

Ключевые изменения в разделах системы менеджмента

Требования к системе менеджмента в Разделах 4–10 соответствуют Гармонизированной структуре (HS), используемой во всех стандартах систем менеджмента ISO. Ревизия 2022 года вводит ряд целевых изменений:

  • Раздел 4.2 — Заинтересованные стороны: Организации теперь должны явно определить, какие требования заинтересованных сторон будут решаться через СУИБ. Это требует документированного анализа, а не просто списка стейкхолдеров.
  • Раздел 4.4 — Область СУИБ: Стандарт теперь требует от организаций определить процессы, необходимые для СУИБ, и их взаимодействия. Это подталкивает к процессному мышлению.
  • Раздел 6.2 — Цели: Цели информационной безопасности теперь должны мониториться, и организация должна явно задокументировать, как осуществляется мониторинг.
  • Раздел 6.3 — Планирование изменений: Это новый подраздел. Изменения в СУИБ должны проводиться планомерно. Это формализует управление изменениями на уровне системы менеджмента.
  • Раздел 8.1 — Оперативное планирование и контроль: Организации должны установить критерии для процессов безопасности и внедрить контроли в соответствии с ними.
  • Раздел 9.1 — Мониторинг и измерение: Организации должны оценивать результативность информационной безопасности и эффективность СУИБ. Методы оценки должны давать сопоставимые, воспроизводимые результаты.
  • Раздел 9.3 — Анализ со стороны руководства: Входные данные теперь явно включают изменения в потребностях и ожиданиях заинтересованных сторон.
  • Раздел 10 — Улучшение: Порядок изменён. Постоянное улучшение (10.1) теперь предшествует несоответствиям и корректирующим действиям (10.2), сигнализируя о проактивном подходе к улучшению.

Новая структура Приложения A: четыре темы вместо четырнадцати

Наиболее заметное изменение — реорганизация Приложения A. Версия 2013 года содержала 14 категорий контролей (A.5–A.18) со 114 контролями. Версия 2022 года реструктурирует их в четыре тематические группы:

ТемаКонтролиОписание
A.5 Организационные37Политики, роли, обязанности, разведка об угрозах, управление активами, контроль доступа, взаимоотношения с поставщиками, соответствие и ИБ в управлении проектами.
A.6 Людские8Проверка персонала, условия найма, осведомлённость, обучение, дисциплинарный процесс, обязанности после увольнения, соглашения о конфиденциальности и удалённая работа.
A.7 Физические14Физические периметры безопасности, контроль входа, защита офисов, физический мониторинг безопасности, защита от экологических угроз, работа в безопасных зонах, чистый стол/экран, размещение и обслуживание оборудования.
A.8 Технологические34Пользовательские конечные устройства, привилегированный доступ, ограничение доступа к информации, безопасная аутентификация, управление ёмкостью, защита от вредоносного ПО, управление уязвимостями, конфигурацией, маскировка данных, предотвращение утечек, мониторинг, веб-фильтрация и безопасное кодирование.

Каждый контроль теперь имеет набор атрибутов — тип контроля (превентивный, детективный, корректирующий), свойства ИБ (конфиденциальность, целостность, доступность), концепции кибербезопасности (выявление, защита, обнаружение, реагирование, восстановление), операционные возможности и домены безопасности.

11 новых контролей, которые необходимо учесть

ISO 27001:2022 вводит одиннадцать контролей, не имевших прямого аналога в версии 2013 года:

  • A.5.7 — Разведка об угрозах: Организации должны собирать и анализировать информацию об угрозах информационной безопасности.
  • A.5.23 — ИБ при использовании облачных сервисов: Специальный контроль для процессов приобретения, использования, управления и выхода из облачных сервисов.
  • A.5.30 — Готовность ИКТ к непрерывности бизнеса: ИКТ-системы должны быть специально подготовлены к сбоям с определёнными целями по времени восстановления.
  • A.7.4 — Физический мониторинг безопасности: Помещения должны непрерывно мониториться на несанкционированный физический доступ.
  • A.8.9 — Управление конфигурацией: Конфигурации оборудования, ПО, сервисов и сетей должны быть установлены, задокументированы, реализованы, мониторены и пересмотрены.
  • A.8.10 — Удаление информации: Информация должна удаляться, когда она больше не требуется.
  • A.8.11 — Маскировка данных: Маскировка данных должна применяться в соответствии с политикой контроля доступа.
  • A.8.12 — Предотвращение утечки данных: DLP-меры должны применяться к системам, сетям и конечным точкам, обрабатывающим конфиденциальную информацию.
  • A.8.16 — Мониторинг активностей: Сети, системы и приложения должны мониториться на аномальное поведение.
  • A.8.23 — Веб-фильтрация: Доступ к внешним веб-сайтам должен управляться для снижения воздействия вредоносного контента.
  • A.8.28 — Безопасное кодирование: Принципы безопасного кодирования должны применяться к разработке ПО.

Сроки перехода: где мы сейчас

  • Октябрь 2022: Опубликован ISO/IEC 27001:2022. Начало переходного периода.
  • Апрель 2024: Органы по сертификации проводят первичные аудиты только по версии 2022.
  • 31 октября 2025: Все существующие сертификаты ISO 27001:2013 становятся недействительными.

По состоянию на март 2026 года срок перехода истёк. Если ваша организация ещё не перешла, сертификат ISO 27001:2013 больше недействителен. Потребуется ресертификация по версии 2022 — полный аудит Этапа 1 и Этапа 2.

Организации, пропустившие срок октября 2025, должны немедленно связаться со своим органом по сертификации. Некоторые органы могут предложить ускоренные пути ресертификации.

Пошаговая дорожная карта перехода

Шаг 1: Проведите GAP-анализ. Сравните текущее Заявление о применимости (SoA) с новыми контролями Приложения A. Сопоставьте каждый существующий контроль с его эквивалентом 2022 года. Определите 11 новых контролей и оцените зрелость по каждому.

Шаг 2: Обновите оценку рисков. Методология не меняется, но набор контролей в плане обработки рисков должен быть обновлён. Переоцените риски, где новые контроли могут изменить стратегию обработки.

Шаг 3: Пересмотрите Заявление о применимости. SoA — важнейший документ для аудита. Оно должно ссылаться на 93 контроля версии 2022, чётко указывать применимость и описывать реализацию.

Шаг 4: Обновите политики и процедуры. Уделите особое внимание областям с новыми контролями — разведка об угрозах, облачная безопасность, конфигурация, маскировка данных, DLP, веб-фильтрация, безопасное кодирование.

Шаг 5: Внедрите новые контроли. Определите подход к реализации, назначьте ответственных, выделите ресурсы и установите сроки для каждого из 11 новых контролей.

Шаг 6: Обновите документацию системы менеджмента. Учтите изменения в Разделах 4–10, особенно новый Раздел 6.3, обновлённые требования мониторинга (9.1) и входные данные для анализа руководства (9.3).

Шаг 7: Обучите команду. Весь персонал с ответственностью за СУИБ должен понимать изменения. Внутренние аудиторы должны быть обучены новой структуре контролей.

Шаг 8: Проведите внутренний аудит по требованиям 2022 года для выявления оставшихся пробелов.

Шаг 9: Анализ со стороны руководства с учётом всех обновлённых входных данных по Разделу 9.3.

Шаг 10: Сертификационный аудит. Согласуйте с органом по сертификации график переходного или ресертификационного аудита.

Влияние на интегрированные системы менеджмента

Организации с интегрированными системами менеджмента (ISO 27001 + ISO 9001, ISO 22301 или ISO 20000) могут отметить, что ревизия 2022 года более тесно согласуется с Гармонизированной структурой. Это фактически упрощает интеграцию. Однако сроки перехода должны координироваться с циклами надзора и ресертификации по другим стандартам.

Типичные ошибки

  • Рассматривать как перенумерацию: Простое перемаппирование старых номеров контролей на новые упускает суть ревизии.
  • Игнорировать таксономию атрибутов: Атрибуты контролей предоставляют мощную структуру для коммуникации с руководством и выявления пробелов.
  • Недооценивать технические требования: Контроли A.8.16, A.8.12, A.8.23 могут требовать новых инструментов. Бюджетируйте заранее.
  • Забыть обучить внутренних аудиторов: Аудиторы, работающие по чеклисту 2013, не проведут эффективный аудит по версии 2022.
  • Оставлять SoA на последний момент: Заявление о применимости — первый документ, который запрашивают аудиторы.

Как BALTUM поддерживает ваш переход

Международная сеть аудиторов и консультантов BALTUM поддерживает организации в переходе на ISO 27001:2022 с момента публикации стандарта. Наши услуги включают:

  • GAP-анализ: Структурированная оценка текущей СУИБ по требованиям 2022 года с приоритизированным планом действий.
  • Поддержка пересмотра SoA: Экспертное руководство по обновлению Заявления о применимости, включая маппинг контролей и подготовку свидетельств.
  • Обучение внутренних аудиторов: Аккредитованные программы обучения для аудита по контролям версии 2022.
  • Предсертификационная проверка: Полная оценка готовности опытными аудиторами.
  • Поддержка ресертификации: Для организаций, пропустивших срок — ускоренная программа ресертификации по ISO 27001:2022.

Переход на ISO 27001:2022 — не просто обязательство соответствия, это возможность укрепить вашу систему безопасности контролями, отражающими современный ландшафт угроз. Чем раньше вы начнёте, тем более гладким будет процесс.