ГОСТ Р ИСО/МЭК 27000-2012

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология. Методы и средства обеспечения безопасности

СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Общий обзор и терминология

Information technology. Security techniques. Information security management systems. Overview and vocabulary

ОКС 35.040

        01.040.35

Дата введения 2013-12-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным бюджетным учреждением "Консультационно-внедренческая фирма в области международной стандартизации и сертификации - "Фирма "Интерстандарт" (ФБУ "КВФ "Интерстандарт") совместно с Евро-Азиатской ассоциацией производителей товаров и услуг в области безопасности (Ассоциация ЕВРААС) и ООО "Научно-испытательный институт систем обеспечения комплексной безопасности" (ООО "НИИ СОКБ") на основе перевода на русский язык англоязычной версии международного стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 ноября 2012 г. N 813-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27000:2009* "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология" (ISO/IEC 27000:2009 "Information technology - Security techniques - Information security management systems - Overview and vocabulary", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Январь 2019 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Международные стандарты системы менеджмента представляют модель для налаживания и функционирования системы менеджмента. Эта модель включает в себя функции, по которым эксперты достигли согласия на основании международного опыта, накопленного в этой области. Подкомитет SC 27 Совместного технического комитета ISO/IEC JTC 1 имеет в своем составе комиссию экспертов, которая работает в области создания системы международных стандартов по информационной безопасности, известной как семейство стандартов системы менеджмента информационной безопасности (СМИБ).

При использовании семейства стандартов СМИБ организации могут реализовывать и совершенствовать систему управления защитой информации и подготовиться к независимой оценке их СМИБ, применяемой для защиты информации, такой как финансовая информация, интеллектуальная собственность, информация о персонале, а также информация, доверенная клиентами или третьей стороной.

Семейство стандартов СМИБ предназначено для помощи организациям любого типа и величины в реализации и функционировании СМИБ. Семейство стандартов СМИБ состоит из следующих международных стандартов под общим названием Information technology - Security techniques (Информационные технологии. Методы и средства обеспечения безопасности):

_______________

Сноска не приводится. -  Примечание изготовителя базы данных.

- ISO/IEC 27000:2009, Information security management systems - Overview and vocabulary (Система менеджмента информационной безопасности. Общий обзор и терминология);

________________     

Заменен на ISO/IEC 27000:2018.

- ISO/IEC 27001:2005, Information security management systems - Requirements (Система менеджмента информационной безопасности. Требования);

________________     

Заменен на ISO/IEC 27001:2013.

- ISO/IEC 27002:2005, Code of practice for information security management (Свод правил по управлению защитой информации);

________________     

Заменен на ISO/IEC 27002:2013.

- ISO/IEC 27003, Information security management system implementation guidance (Руководство no реализации системы менеджмента информационной безопасности);

- ISO/IEC 27004, Information security management - Measurement (Менеджмент информационной безопасности. Измерения);

- ISO/IEC 27005:2008, Information security risk management (Управление рисками информационной безопасности);

________________     

Заменен на ISO/IEC 27005:2018.

- ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems (Требования для органов, обеспечивающих аудит и сертификацию систем менеджмента информационной безопасности);

________________     

Заменен на ISO/IEC 27006:2015.

- ISO/IEC 27007, Guidelines for information security management systems auditing (Руководство для аудитора СМИБ);

- ISO/IEC 27011, Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 (Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги, на основе ISO/IEC 27002).

Примечание - Общее название "Информационные технологии. Методы и средства обеспечения безопасности" означает, что эти стандарты были подготовлены подкомитетом "Методы защиты ИТ" Совместного технического комитета ISO/IEC JTC 1 "Информационные технологии".

Международные стандарты, не имеющие этого общего названия:

- ISO 27799:2008, Health informatics - Information security management in health using ISO/IEC 27002 (Информатика в здравоохранении. Менеджмент информационной безопасности по стандарту ISO/IEC 27002);

________________     

Заменен на ISO/IEC 27799:2016.

- ISO/IEC 27000:2009 представляет обзор систем менеджмента информационной безопасности, которые составляют семейство стандартов СМИБ, а также дает определения терминов.

Примечание - Приложение А разъясняет, как должны интерпретироваться словесные выражения положений стандартов семейства СМИБ, выражающих требования и рекомендации.

Семейство стандартов СМИБ содержит стандарты, которые:

- определяют требования к СМИБ и к сертификации таких систем;

- содержат прямую поддержку, детальное руководство и (или) интерпретацию полных процессов "План (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA) и требования;

- включают в себя специальные руководящие принципы для СМИБ;

- руководят проведением оценки соответствия СМИБ.

Глоссарий терминов и определений, приведенный в настоящем стандарте:

- охватывает термины и определения, в большинстве случаев используемые в семействе стандартов СМИБ;

- не охватывает все термины и определения, применяемые в семействе стандартов СМИБ;

- не ограничивает семейство стандартов СМИБ в определении терминов для их использования.

Стандарты, регулирующие только реализацию средств управления, в отличие от стандартов, регулирующих все меры и средства контроля и управления, содержащиеся в стандарте ИСО/МЭК 27002, исключены из семейства стандартов СМИБ.

Настоящий стандарт обновляется с более высокой частотой, чем обычно обновляются стандарты ИСО/МЭК, для того чтобы отразить состояние изменений семейства стандартов СМИБ.

     1 Область применения

Настоящий стандарт содержит:

- обзор семейства стандартов СМИБ;

- введение в систему менеджмента информационной безопасности (СМИБ);

- краткое описание процесса "План (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA);

- термины и определения для использования в семействе стандартов СМИБ.

Настоящий стандарт применим ко всем типам организаций (например, коммерческие предприятия, правительственные учреждения, некоммерческие организации).

     2 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями.

Примечание - Термин, определяемый в каком-либо другом месте настоящего раздела, выделен жирным шрифтом. За ним в скобках следует его порядковый номер.

Пример:

Атака (attack) (2.4) определена как "попытка уничтожения, раскрытия, изменения, блокирования, кражи, получения несанкционированного доступа к активу (2.3) или его несанкционированного использования".

Актив определен как "что-либо, что имеет ценность для организации".

Если термин актив заменить его определением, определение термина атака будет выглядеть как "попытка уничтожения, раскрытия, изменения, блокирования, кражи, получения несанкционированного доступа или несанкционированного использования чего-либо, что имеет ценность для организации".

2.1 контроль доступа (access control): Обеспечение того, чтобы доступ к активам (2.3) был санкционирован и ограничен в соответствии с требованиями коммерческой тайны и безопасности.

2.2 подотчетность (accountability): Ответственность субъекта за его действия и решения.

2.3 актив (asset): Что-либо, что имеет ценность для организации.

Примечание - Имеются различные типы активов:

- информация (2.18);

- программное обеспечение;

- материальные активы, например компьютер;

- услуги;

- люди и их квалификация, навыки и опыт;

- нематериальные активы, такие как репутация и имидж.