ГОСТ Р ИСО/МЭК 27013-2014
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационная технология
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1
Information technology. Security techniques. Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
ОКС 03.080.99
35.020
35.040
Дата введения 2015-09-01
1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО "ИАВЦ") и Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 16 сентября 2014 г. N 1084-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27013:2012* "Информационная технология. Методы обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1" (ISO/IEC 27013:2012 "Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ. Апрель 2020 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
ИСО/МЭК 27013 был подготовлен совместным техническим комитетом ИСО/МЭК СТК 1, Информационная технология, подкомитетом 27, Методы и средства обеспечения безопасности, в сотрудничестве с совместным техническим комитетом ИСО/МЭК СТК 1, Информационная технология, подкомитетом 7, Проектирование программного обеспечения и систем.
Взаимосвязь между информационной безопасностью и менеджментом услуг является настолько тесной, что многие организации уже осознали выгоды применения обоих стандартов: ИСО/МЭК 27001 - для обеспечения информационной безопасности и ИСО/МЭК 20000-1 - для менеджмента услуг. Обычно организация совершенствует методы своей работы для соответствия требованиям одного стандарта, а затем проводит дальнейшие совершенствования, чтобы соответствовать требованиям другого стандарта.
Реализация интегрированной системы менеджмента, учитывающей не только предоставляемые услуги, но также и защиту информационных активов, дает ряд выгод. Эти выгоды можно получить независимо от того, вводятся ли стандарты последовательно или их ввод в действие происходит одновременно. В частности, менеджмент и организационные процессы могут получить выгоду из сходства стандартов и их общих целей.
Основные выгоды совместного введения в действие этих стандартов:
a) уверенность внутренних или внешних клиентов организации в эффективных и безопасных услугах;
b) более низкая стоимость интегрированной программы двух проектов, в которой достижения менеджмента услуг и информационной безопасности являются частью стратегии организации;
c) уменьшение времени реализации за счет интегрированной разработки процессов, общих для обоих стандартов;
d) устранение ненужного дублирования;
e) лучшее понимание персоналом, отвечающим за менеджмент услуг и обеспечение безопасности, точек зрения друг друга;
f) организации, прошедшей сертификацию по ИСО/МЭК 27001, намного легче выполнять требования по обеспечению информационной безопасности подраздела 6.6 ИСО/МЭК 20000-1:2011, поскольку оба стандарта дополняют требования друг друга.
Настоящий стандарт основан на опубликованных версиях обоих стандартов, т.е. ИСО/МЭК 27001:2005 и ИСО/МЭК 20000-1:2011.
Настоящий стандарт предназначен для использования лицами, знающими содержание обоих стандартов (ИСО/МЭК 27001 и ИСО/МЭК 20000-1), одного из них или не знающими ни того, ни другого стандарта.
Предполагается, что всем читателям доступны экземпляры обоих стандартов. Поэтому настоящий стандарт не воспроизводит части ни одного из стандартов. Также он не описывает полностью все части каждого стандарта. Подробно описываются только те части, в которых предметы обсуждения совпадают.
Настоящий стандарт не дает рекомендаций, связанных с разными правовыми и нормативными актами, регулирующими деятельность организации извне. Данные акты могут варьироваться в зависимости от страны и влиять на планирование системы менеджмента организации.
Настоящий стандарт предоставляет руководство по совместному использованию ИСО/МЭК 27001 и ИСО/МЭК 20000-1 для организаций, планирующих:
a) реализовать ИСО/МЭК 27001, когда стандарт ИСО/МЭК 20000-1 уже принят, или наоборот;
b) реализовать одновременно оба стандарта: ИСО/МЭК 27001 и ИСО/МЭК 20000-1;
c) объединить существующие системы менеджмента в соответствии с ИСО/МЭК 27001 и ИСО/МЭК 20000-1.
Настоящий стандарт сосредоточен исключительно на совместном использовании ИСО/МЭК 27001 и ИСО/МЭК 20000-1.
На практике ИСО/МЭК 27001 и ИСО/МЭК 20000-1 могут быть также интегрированы в другие системы менеджмента, представленные, например, в ИСО 9001 и ИСО 14001.
В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).
ISO/IEC 20000-1:2011, Information technology - Service management - Service management system requirements (Информационная технология. Менеджмент услуг. Требования к системе менеджмента услуг)
___________________
Заменен на ISO/IEC 20000-1:2018.
ISO/IEC 27000:2009, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и терминология)
___________________
Заменен на ISO/IEC 27000:2018.
ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems - Requirements (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования)
____________________
Заменен на ISO/IEC 27001:2019.
В настоящем стандарте применены термины по ИСО/МЭК 27000:2009 и ИСО/МЭК 20000-1:2011.
В настоящем стандарте применены следующие сокращения:
СМИБ | система менеджмента информационной безопасности (information security management system - ISMS) (из ИСО/МЭК 27001); |
СМУ | система менеджмента услуг (service management system - SMS) (из ИСО/МЭК 20000-1). |
В приложении А настоящего стандарта приведено сравнение содержания ИСО/МЭК 27001:2005 и ИСО/МЭК 20000-1:2011 на уровне структурных элементов.
В приложении В настоящего стандарта приведено сравнение терминов:
- определенных в ИСО/МЭК 27000:2009, являющемся глоссарием для ИСО/МЭК 27001:2005;
- использованных в ИСО/МЭК 27001;
- определенных или использованных в ИСО/МЭК 20000-1:2011.
Прежде чем планировать интегрированную систему менеджмента, организации следует достичь полного понимания характерных особенностей, сходств и различий ИСО/МЭК 27001 и ИСО/МЭК 20000-1. Это позволяет оптимизировать время и ресурсы, доступные для реализации. В 4.2-4.4 настоящего стандарта представлены основные концепции, лежащие в основе обоих стандартов, но их не следует использовать взамен детального рассмотрения указанных стандартов.
ИСО/МЭК 27001 представляет модель для установления, реализации, эксплуатации, мониторинга, проверки, поддержки и совершенствования СМИБ, используемой для защиты информационных активов. Информационные активы охватывают информацию любого вида, хранимую в любой форме и используемую для любых целей организации или в ее рамках.
Для достижения согласованности с ИСО/МЭК 27001 организация должна реализовать СМИБ на основе процесса оценки риска, чтобы определить риски информационных активов. Как часть этой работы, организация должна сделать выбор, реализовать, провести мониторинг и проверить разнообразные меры для осуществления менеджмента этих рисков. Эти меры известны как меры и средства контроля и управления. Организации необходимо определять допустимые уровни риска, учитывая требования бизнеса и налагаемые внешние требования. Примерами налагаемых внешних требований являются законодательные и нормативные требования или договорные обязательства.
ИСО/МЭК 27001 предназначен для использования организацией любого вида и величины.
ИСО/МЭК 20000-1 предназначен для применения организациями или частями организаций, использующих или предоставляющих услуги. Это добавляет значимости, как клиенту, так и поставщику услуг. Тем не менее, все процессы, охватываемые стандартом, контролируются поставщиком услуг, и только поставщик услуг может добиться соответствия ИСО/МЭК 20000-1. Стандарт в первую очередь нацелен на обеспечение уверенности в том, что услуги удовлетворяют требованиям по обслуживанию и обеспечивают выгоду как для клиента, так и для поставщика услуг.
Менеджмент услуг управляет и контролирует деятельности и ресурсы поставщика услуг при проектировании, разработке, развитии, предоставлении и совершенствовании услуг с целью выполнения требований к услугам, согласованных со своим клиентом(ами).
Для выполнения требований этого стандарта поставщиком услуг должен быть реализован ряд определенных процессов менеджмента услуг. Они включают, среди прочего, менеджмент инцидентов, менеджмент изменений и менеджмент проблем. Менеджмент информационной безопасности считается одним из процессов менеджмента услуг ИСО/МЭК 20000-1.
ИСО/МЭК 20000-1 может быть использован организацией любого вида и величины.
Менеджмент услуг и менеджмент информационной безопасности часто рассматривают так, будто они не связаны и даже не зависимы один от другого. Условием такого разделения является то, что менеджмент услуг, бесспорно, может иметь отношение к эффективности и рентабельности, тогда как менеджмент информационной безопасности часто не рассматривается как основа для эффективного оказания услуг. В результате менеджмент услуг часто реализуется в первую очередь. Однако, как показано на рисунке 1, многие цели управления, а также меры и средства контроля и управления из приложения А ИСО/МЭК 27001:2005, также включены в требования менеджмента услуг в ИСО/МЭК 20000-1.
Рисунок 1 - Сравнение концепций ИСО/МЭК 27001 и ИСО/МЭК 20000-1
Очевидно, что менеджмент информационной безопасности и менеджмент услуг рассматривают очень похожие процессы и деятельности, даже несмотря на то, что одна система менеджмента выделяет некоторые детали больше чем другая. Дополнительную информацию см. в приложении А настоящего стандарта. При работе с двумя стандартами необходимо понимать, что они различаются по некоторым аспектам. Например, их области действия различны, см. 5.2 настоящего стандарта. К тому же у них разные цели. ИСО/МЭК 20000-1 предназначен для обеспечения уверенности в том, что организация предоставляет эффективные услуги, тогда как ИСО/МЭК 27001 предназначен для того, чтобы дать возможность организации осуществлять менеджмент риска информационной безопасности и предотвращать инциденты безопасности.