ГОСТ ISO/IEC 27014-2021
МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ
Информационные технологии
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, КИБЕРБЕЗОПАСНОСТЬ И ЗАЩИТА КОНФИДЕНЦИАЛЬНОСТИ
Руководство деятельностью по обеспечению информационной безопасности
Information technology. Information security, cybersecurity and privacy protection. Governance of information security
МКС 35.030
Дата введения 2021-11-30
Цели, основные принципы и общие правила проведения работ по межгосударственной стандартизации установлены ГОСТ 1.0 "Межгосударственная система стандартизации. Основные положения" и ГОСТ 1.2 "Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены"
Сведения о стандарте
1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Обществом с ограниченной ответственностью "Информационно-аналитический центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 5
2 ВНЕСЕН Межгосударственным техническим комитетом по стандартизации МТК 022 "Информационные технологии"
3 ПРИНЯТ Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 30 июня 2021 г. N 141-П)
За принятие проголосовали:
Краткое наименование страны по МК (ИСО 3166) 004-97 | Код страны по МК (ИСО 3166) 004-97 | Сокращенное наименование национального органа по стандартизации |
Армения | AM | ЗАО "Национальный орган по стандартизации и метрологии" Республики Армения |
Беларусь | BY | Госстандарт Республики Беларусь |
Казахстан | KZ | Госстандарт Республики Казахстан |
Киргизия | KG | Кыргызстандарт |
Россия | RU | Росстандарт |
Узбекистан | UZ | Узстандарт |
(Поправка. ИУС N 11-2021).
4 Приказом Федерального агентства по техническому регулированию и метрологии от 2 июля 2021 г. N 613-ст межгосударственный стандарт ГОСТ ISO/IEC 27014-2021 введен в действие в качестве национального стандарта Российской Федерации с 30 ноября 2021 г.
5 Настоящий стандарт идентичен международному стандарту ISO/IEC 27014:2020* "Информационные технологии. Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство деятельностью по обеспечению информационной безопасности" ("Information technology - Information security, cybersecurity and privacy protection - Governance of information security", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
ISO/IEC 27014:2020 разработан подкомитетом SC 27 "Информационная безопасность, кибербезопасность и защита конфиденциальности" Совместного технического комитета JTC 1 "Информационные технологии" Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА
6 ВВЕДЕН ВПЕРВЫЕ
Информация о введении в действие (прекращении действия) настоящего стандарта и изменений к нему на территории указанных выше государств публикуется в указателях национальных стандартов, издаваемых в этих государствах, а также в сети Интернет на сайтах соответствующих национальных органов по стандартизации.
В случае пересмотра, изменения или отмены настоящего стандарта соответствующая информация будет опубликована на официальном интернет-сайте Межгосударственного совета по стандартизации, метрологии и сертификации в каталоге "Межгосударственные стандарты"
ВНЕСЕНА поправка, опубликованная в ИУС N 11, 2021 год, введенная в действие с 03.09.2021
Поправка внесена изготовителем базы данных
Обеспечение информационной безопасности (ИБ) является важнейшей задачей организаций, значение которой постоянно повышается в результате непрерывного развития методов и средств проведения атак на информационные системы, а также в связи с усилением нормативных требований регуляторов.
Недостаточность мер обеспечения ИБ может иметь как для организации, так и для ее партнеров множество негативных последствий, в том числе связанных с утратой доверия.
Руководство деятельностью по обеспечению ИБ предполагает надлежащее использование ресурсов для обеспечения эффективной реализации ИБ, обеспечивающей уверенность в том, что:
- будут соблюдаться директивы по ИБ;
- руководство будет получать достоверную и актуальную отчетность о деятельности, связанной с ИБ.
Предоставленная информация об ИБ помогает руководству принимать решения относительно стратегических целей организации, что гарантирует кроме прочего и соответствие стратегии ИБ этим целям. Она также обеспечивает соответствие стратегии информационной безопасности общим целям организации.
Менеджеры и другие работники организации должны понимать следующее:
- требования к руководству деятельностью, влияющие на их работу;
- как удовлетворить требования к руководству деятельностью, требующие их действий.
В настоящем стандарте представлены понятия, цели и процессы руководства деятельностью по обеспечению информационной безопасности (ИБ), с помощью которых организации могут оценивать, направлять, контролировать и передавать информацию о процессах, связанных с ИБ, внутри организации.
Целевая аудитория настоящего стандарта:
- руководящие органы и лица из состава высшего руководства;
- лица, ответственные за оценку, управление и мониторинг системы менеджмента информационной безопасности (СМИБ) на основе ISO/IEC 27001;
- лица, ответственные за менеджмент ИБ за пределами области действия СМИБ, основанной на ISO/IEC 27001, но в рамках руководства деятельностью.
Настоящий стандарт применим ко всем видам организаций с различной численностью работников (персонала).
Все ссылки на СМИБ в настоящем стандарте относятся к СМИБ, соответствующим ISO/IEC 27001.
В настоящем стандарте основное внимание уделяется организациям трех типов по отношению к СМИБ, приведенным в приложении В. Однако настоящий стандарт может также использоваться и для организаций других типов.
В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).
ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология)
ISO/IEC 27001, Information technology - Security techniques - Information security management systems - Requirements (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования)
В настоящем стандарте применены термины по ISO/IEC 27000, а также следующие термины с соответствующими определениями:
ISO и IEC поддерживают терминологические базы, используемые в сфере стандартизации, доступные на следующих сайтах:
- Онлайн-библиотека стандартов ISO: https://www.iso.org/obp;
- IEC Electropedia: https://www.electropedia.org/;
- термины и определения ITU-T: http://www.itu.int/go/terminology-databasehttp://www.itu.int/go/terminology-databasehttp://www.itu.int/go/terminology-database.
3.1 организационная структура (entity): Предприятие, учреждение или другой хозяйствующий субъект.
Примечание - Организационная структура может быть группой компаний, отдельной компанией, некоммерческой организацией или чем-нибудь иным. Организационная структура имеет руководящие полномочия над организацией. В отдельных случаях, например, в небольших компаниях организационная структура может быть идентична организации.
3.2 организация (organization): Часть организационной структуры, в которой эксплуатируется и контролируется система менеджмента информационной безопасности (СМИБ).
3.3 руководящий орган (governing body): Лицо или группа лиц, несущих ответственность за производительность организационной структуры (3.1) и за соблюдение применимых ею норм.
[ISO/IEC 27000:2018 (подраздел 3.24) с изменениями - вместо термина "организация" используется термин "организационная структура"]
3.4 высшее руководство (top management): Лицо или группа лиц, руководящих организацией (3.2) и контролирующих ее на высшем уровне.
Примечания
1 Высшее руководство имеет право делегировать полномочия и предоставлять ресурсы в рамках организации.
2 Если область действия системы менеджмента охватывает только часть организационной структуры, то высшее руководство относится к тем, кто руководит этой частью организационной структуры и контролирует ее. Высшее руководство подотчетно руководящему органу организационной структуры.
3 В зависимости от размера и ресурсов организации, высшее руководство может быть совмещено с руководящим органом.
4 Высшее руководство подчиняется руководящему органу.
5 В ISO 37001 также определены понятия руководящего органа и высшего руководства.
[ISO/IEC 27000:2018 (подраздел 3.75) с изменениями:
- в примечании 2 термин "организация" заменен на термин "организационная структура" и добавлено второе предложение;
- примечание 3 заменено;
- добавлены примечания 3 и 5]
В настоящем стандарте применены следующие сокращения:
СМИБ - система менеджмента информационной безопасности;
ИТ - информационные технологии.
В настоящем стандарте описано, как осуществляется руководство деятельностью по обеспечению ИБ в рамках СМИБ, соответствующей ISO/IEC 27001, и как такие руководящие действия могут быть связаны с другими действиями управления вне области действия СМИБ. В настоящем стандарте определены четыре основных процесса: "оценка", "координация", "мониторинг" и "обмен информацией", в которых СМИБ может быть структурирована внутри организации, а также предлагаются подходы для интеграции руководства деятельностью по обеспечению ИБ в деятельность по управлению организацией для каждого из этих процессов. В приложении А описываются взаимосвязи между управлением организацией, управлением информационными технологиями и управлением деятельностью по обеспечению ИБ.
По определению организация охватывает всю организационную структуру (см. ISO/IEC 27000). Но она может охватывать как всю организационную структуру, так и его часть, как показано на рисунке В.1.