Открыть сервис

Приложение A ISO 27001

Приложение A ISO 27001 — это нормативный справочник, содержащий перечень целей контроля и мер контроля (controls) в области информационной безопасности, который является неотъемлемой частью стандарта ISO/IEC 27001. Данное приложение служит основой для выбора и внедрения мер защиты информации при разработке, внедрении и совершенствовании системы менеджмента информационной безопасности (СМИБ) в организации.

История и контекст появления

Стандарт ISO/IEC 27001 впервые был опубликован в 2005 году Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). Его разработка базировалась на более раннем британском стандарте BS 7799-2. Приложение A изначально задумывалось как каталог лучших практик и обязательных к рассмотрению мер контроля, которые организация должна оценить на предмет применимости.

В 2013 году вышла вторая редакция стандарта (ISO/IEC 27001:2013), в которой структура Приложения A была существенно переработана. Количество мер контроля сократилось со 133 (в версии 2005 года) до 114, а их группировка изменилась с 11 разделов на 14 доменов. В 2022 году была опубликована текущая версия стандарта (ISO/IEC 27001:2022), в которой Приложение A претерпело наиболее значительные изменения: количество мер контроля было сокращено до 93, а количество доменов — до 4 тематических разделов. Основной целью этой ревизии стала адаптация стандарта к современным киберугрозам, облачным технологиям и требованиям к управлению цепочками поставок.

Структура и содержание Приложения A (ISO/IEC 27001:2022)

В действующей редакции Приложение A состоит из 4 основных разделов (доменов), каждый из которых объединяет меры контроля по тематическому признаку. Меры контроля имеют уникальные идентификаторы (например, A.5.1, A.8.12) и содержат описание цели и конкретного действия.

Раздел 5: Организационные меры контроля (A.5)

Этот раздел включает 37 мер контроля, направленных на установление политик, ролей, ответственности и процессов управления. Ключевые подразделы:

  • A.5.1 — Политики информационной безопасности (требование к разработке и утверждению политики).
  • A.5.2 — Роли и ответственность (назначение ответственных за информационную безопасность).
  • A.5.6 — Контакты с государственными органами (установление и поддержание связей с регуляторами).
  • A.5.9 — Инвентаризация активов (ведение реестра информационных активов).
  • A.5.29 — Безопасность при прекращении или изменении трудовых отношений (процедуры отзыва доступа и возврата активов).
  • A.5.30 — Управление непрерывностью бизнеса (планирование действий в чрезвычайных ситуациях).

Раздел 6: Меры контроля, связанные с персоналом (A.6)

Содержит 8 мер контроля, касающихся человеческого фактора:

  • A.6.1 — Проверка репутации (скрининг кандидатов перед наймом).
  • A.6.3 — Осведомленность, обучение и повышение квалификации (регулярное обучение сотрудников правилам безопасности).
  • A.6.7 — Удаленная работа (политика и меры безопасности для сотрудников, работающих вне офиса).

Раздел 7: Физические меры контроля (A.7)

Включает 14 мер контроля, направленных на защиту физической инфраструктуры:

  • A.7.1 — Физический периметр безопасности (ограждения, турникеты, охранные посты).
  • A.7.6 — Рабочие места в защищенных зонах (требования к размещению мониторов и рабочих станций).
  • A.7.10 — Хранение носителей информации (правила размещения и учета съемных носителей).
  • A.7.14 — Утилизация или повторное использование оборудования (процедуры очистки данных перед списанием).

Раздел 8: Технологические меры контроля (A.8)

Самый объемный раздел, содержащий 34 меры контроля, связанные с техническими средствами защиты:

  • A.8.1 — Пользовательские конечные устройства (настройка политик для ноутбуков, смартфонов).
  • A.8.5 — Аутентификация (использование многофакторной аутентификации, управление паролями).
  • A.8.8 — Управление уязвимостями (регулярное сканирование и устранение уязвимостей ПО).
  • A.8.12 — Защита от вредоносного кода (антивирусное ПО, EDR-системы).
  • A.8.16 — Мониторинг деятельности (логирование событий безопасности, анализ журналов).
  • A.8.23 — Использование облачных услуг (оценка безопасности облачных провайдеров, контроль конфигурации).
  • A.8.32 — Управление изменениями (контроль изменений в конфигурации систем).

Процесс применения Приложения A

Применение Приложения A является обязательным этапом сертификации по ISO 27001, но не все меры контроля должны быть внедрены в каждой организации. Процесс включает следующие шаги:

  1. Контекстный анализ: Организация определяет внешние и внутренние факторы, влияющие на её информационную безопасность (требования законодательства, ожидания заинтересованных сторон, бизнес-процессы).
  2. Оценка рисков: Проводится идентификация активов, угроз и уязвимостей, а также оценка вероятности и последствий инцидентов.
  3. Выбор мер контроля: На основе результатов оценки рисков организация выбирает из Приложения A те меры, которые необходимы для снижения выявленных рисков до приемлемого уровня. Для каждой меры составляется «Заявление о применимости» (Statement of Applicability, SoA), в котором указывается, внедрена ли мера, и если нет — обоснование её исключения.
  4. Внедрение: Выбранные меры контроля интегрируются в процессы, политики и технические средства организации.
  5. Мониторинг и улучшение: Эффективность внедрённых мер регулярно оценивается, а СМИБ подвергается внутренним и внешним аудитам.

Критика и особенности

Приложение A ISO 27001 часто критикуется за свою универсальность, которая может приводить к излишней бюрократизации в малых организациях. Некоторые эксперты отмечают, что формальное выполнение требований Приложения A без глубокого понимания реальных рисков может создать иллюзию безопасности, но не защитить от целенаправленных атак. Кроме того, версия 2022 года, хотя и сократила количество мер, требует от организаций более глубокого понимания контекста и взаимосвязей между различными мерами контроля.

В России стандарт ISO/IEC 27001 признан национальным (ГОСТ Р ИСО/МЭК 27001-2021), и его применение является добровольным, однако широко используется в крупных компаниях, банковском секторе и государственных учреждениях, где требования к защите информации регулируются Федеральным законом «О персональных данных» (152-ФЗ) и отраслевыми стандартами Банка России.

Источники

  • ISO/IEC 27001:2022 «Information security, cybersecurity and privacy protection — Information security management systems — Requirements».
  • ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
  • ISO/IEC 27002:2022 «Information security, cybersecurity and privacy protection — Code of practice for information security controls».
  • Руководство по внедрению СМИБ на основе ISO 27001:2022 (National Institute of Standards and Technology, NIST).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →