Шрифт:
В 2004 году Британским институтом стандартов был опубликован стандарт ISO/IEC TR 18044 «ИТ. Методы защиты. Управление инцидентами ИБ». В 2011 году на его базе был разработан стандарт ISO/IEC 27035 «ИТ. Методы защиты. Управление инцидентами ИБ».
В 2009 году был принят стандарт ISO/IEC 27000 «ИТ. СУИБ. Общий обзор и терминология». Он предоставляет обзор систем управления ИБ и определяет соответствующие термины. Словарь тщательно сформулированных формальных определений охватывает большинство специализированных терминов, связанных с ИБ и используемых в стандартах группы ISO/IEC 27.
25 сентября 2013 года были опубликованы новые версии стандартов ISO/IEC 27001 и 27002. С этого момента стандарты серии ISO/IEC 27k (управление ИБ) полностью интегрированы со стандартами серии ISO/IEC 20k (управление ИТ-сервисами). Вся терминология из ISO/IEC 27001 перенесена в ISO/IEC 27000, который определяет общий терминологический аппарат для всего семейства стандартов ISO/IEC 27k.
1.2. Стандарт ISO/IEC 27000—2014
Последнее обновление стандарта ISO/IEC 27000 «ИТ. СУИБ. Общий обзор и терминология» состоялось 14 января 2014 года.
Стандарт состоит из следующих разделов:
– введение;
– сфера применения;
– термины и определения;
– системы управления ИБ;
– семейство стандартов СУИБ.
Введение
Обзор
Международные стандарты системы управления представляют модель для налаживания и функционирования системы управления. Эта модель включает в себя функции, по которым эксперты достигли согласия на основании международного опыта, накопленного в этой области.
При использовании семейства стандартов СУИБ организации могут реализовывать и совершенствовать СУИБ и подготовиться к ее независимой оценке, применяемой для защиты информации, такой как финансовая информация, интеллектуальная собственность, информация о персонале, а также информация, доверенная клиентами или третьей стороной. Эти стандарты могут использоваться организацией для подготовки независимой оценки своей СУИБ, применяемой для защиты информации.
Семейство стандартов СУИБ
Семейство стандартов СУИБ, имеющее общее название «Information technology. Security techniques» (Информационная технология. Методы защиты), предназначено для помощи организациям любого типа и размера в реализации и функционировании СУИБ и состоит из следующих международных стандартов:
– ISO/IEC 27000 СУИБ. Общий обзор и терминология;
– ISO/IЕС 27001 СУИБ. Требования;
– ISO/IEC 27002 Свод правил по управлению ИБ;
– ISO/IEC 27003 Руководство по реализации СУИБ;
– ISO/IEC 27004 УИБ. Измерения;
– ISO/IEC 27005 Управление рисками ИБ;
– ISO/IЕС 27006 Требования для органов, обеспечивающих аудит и сертификацию СУИБ;
– ISO/IEС 27007 Руководство по проведению аудита СУИБ;
– ISO/IEС TR 27008 Руководство по аудиту механизмов контроля ИБ;
– ISO/IEС 27010 УИБ для межсекторных и межорганизационных коммуникаций;
– ISO/IЕС 27011 Руководство пo УИБ для телекоммуникационных организаций на основе ISО/IEC 27002;
– ISO/IEС 27013 Руководство пo интегрированной реализации стандартов ISO/IEC 27001 и ISO/IEC 20000—1;
– ISO/IEС 27014 Управление ИБ высшим руководством;
– ISO/IEС TR 27015 Руководство пo УИБ для финансовых сервисов;
– ISO/IEС TR 27016 УИБ. Организационная экономика;
– ISO/IEС 27035 Управление инцидентами ИБ (в стандарте не указан).
Международный стандарт, не имеющие этого общего названия:
– ISO 27799 Информатика в здравоохранении. УИБ по стандарту ISO/IEC 27002.
Цель стандарта
Стандарт предоставляет обзор СУИБ и определяет соответствующие условия.
Семейство стандартов СУИБ содержит стандарты, которые:
– определяют требования к СУИБ и сертификации таких систем;
– содержат прямую поддержку, детальное руководство и разъяснение целого процесса создания, внедрения, сопровождения и улучшения СУИБ;
– включают в себя отраслевые руководящие принципы для СУИБ;
– руководят проведением оценки соответствия СУИБ.
1. Сфера применения
Стандарт предосталяет обзор СУИБ, а также условий и определений, широко использующихся в семействе стандартов СУИБ. Стандарт применим ко всем типам и размерам организаций (например, коммерческие предприятия, правительственные учреждения, неприбыльные организации).
2. Термины и определения
Раздел содержит определение 89 терминов, например: