Не вступил в силу

ГОСТ Р ИСО/МЭК 27003-2021



НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Системы менеджмента информационной безопасности. Руководство по реализации

Information technology. Security techniques. Information security management systems. Guidance for implementation



ОКС 35.030

Дата введения 2021-11-30



Предисловие

     

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Акционерным обществом "Эшелон - Северо-Запад" (АО "Эшелон-СЗ") и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 мая 2021 г. N 387-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27003:2017* "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство" (ISO/IEC 27003:2017 "Information technology - Security techniques - Information security management systems - Guidance", IDT).     

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

ИСО/МЭК 27003 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" совместного технического комитета СТК 1 "Информационные технологии (ИТ)" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные и межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВЗАМЕН ГОСТ Р ИСО/МЭК 27003-2012

6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации и Международная электротехническая комиссия не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение


Настоящий стандарт содержит руководство по реализации требований к системе менеджмента информационной безопасности (СМИБ), приведенных в ИСО/МЭК 27001, и предоставляет рекомендации (используя вспомогательный глагол "должен"), возможности (используя вспомогательный глагол "следует") и допустимое действие (используя вспомогательный глагол "может") в отношении этих требований. Настоящий стандарт не ставит целью предоставление общего руководства по всем аспектам информационной безопасности (ИБ).

________________

Далее по тексту введено сокращение ИБ.

Разделы 4-10 настоящего стандарта отражают структуру ИСО/МЭК 27001.

Настоящий стандарт не содержит новых требований к СМИБ и связанных с ней терминов и определений. Организации должны обращаться за новыми требованиями и определениями к ИСО/МЭК 27001 и ИСО/МЭК 27000. Организации, внедрившие СМИБ, не обязаны соблюдать указания, содержащиеся в настоящем стандарте.

В СМИБ важны следующие этапы:

- понимание потребностей организации и необходимости установления политики и целей ИБ;

- оценка рисков организации, связанных с ИБ;

- внедрение и функционирование процессов ИБ, мер по обеспечению ИБ и других мер по обработке рисков;

- мониторинг и анализ эффективности и результативности СМИБ;

- практика постоянного улучшения.

СМИБ, как и любая другая система менеджмента, включает следующие ключевые компоненты:

a) политика;

b) лица с определенными обязанностями;

c) процессы управления, связанные с:

1) установлением политики;

2) обеспечением осведомленности и компетентности;

3) планированием;

4) реализацией;

5) эксплуатацией;

6) оценкой эффективности;

7) управленческим анализом;

8) улучшением;

d) документированная информация.

СМИБ имеет дополнительные ключевые компоненты, такие как:

e) оценка рисков ИБ;

f) обработка рисков ИБ, включая определение и реализацию мер обеспечения ИБ.

Настоящий стандарт носит общий характер и предназначен для применения во всех организациях, независимо от их типа, размера или характера. Организация определяет, какая часть этого руководства применяется к ней в соответствии с конкретным контекстом организации (см. ИСО/МЭК 27001, раздел 4).

Например, некоторые рекомендации могут быть применимы для крупных организаций, в то время как для небольших организаций (например, с числом сотрудников менее 10) эти рекомендации могут быть ненужными и неуместными.

________________

Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.

Описания разделов 4-10 структурированы следующим образом:

- необходимые мероприятия: представлены ключевые мероприятия, требуемые в соответствующем подразделе ИСО/МЭК 27001;

- пояснение: объяснено, что подразумевают требования ИСО/МЭК 27001;

- руководство: предоставлена более подробная или вспомогательная информация для реализации необходимых мероприятий, включая примеры реализации;

- дополнительная информация: предоставлена дополнительная информация, которую следует рассмотреть.

ИСО/МЭК 27003, ИСО/МЭК 27004 и ИСО/МЭК 27005 образуют набор документов, поддерживающих и обеспечивающих руководство по ИСО/МЭК 27001. Среди этих документов ИСО/МЭК 27003 является базовым и всеохватывающим документом, который содержит руководство по всем требованиям ИСО/МЭК 27001, но не содержит подробных описаний, касающихся "мониторинга, измерения, анализа и оценки" и управления рисками ИБ. ИСО/МЭК 27004 и ИСО/МЭК 27005 фокусируются на конкретном содержании и дают более подробные руководства по "мониторингу, измерению, анализу и оценке" и управлению рисками ИБ.

В ИСО/МЭК 27001 существует несколько ссылок на документированную информацию. Тем не менее организация может сохранить дополнительную документированную информацию, которую она определяет как необходимую для эффективности своей системы менеджмента в соответствии с пунктом 7.5.1, перечисление b), ИСО/МЭК 27001. В этих случаях в настоящем стандарте используется фраза "Документированная информация об этих мероприятиях и их результатах является обязательной только в той форме и в той мере, в которой организация считает это необходимым для эффективности своей системы менеджмента (см. ИСО/МЭК 27001, 7.5.1, перечисление b))".

     1 Область применения


Настоящий стандарт содержит разъяснения и руководство по ИСО/МЭК 27001.

     2 Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание, для недатированных - последнее издание (включая все изменения к нему).

ISO/IEC 27000:2016, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общие положения и терминология)

ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования)

     3 Термины и определения


В настоящем стандарте применены термины по ИСО/МЭК 27000.

ИСО и МЭК ведут терминологические базы данных для их использования в стандартизации по следующим адресам:

- IEC Electropedia: доступна по адресу http://www.electropedia.org/;

- Платформа просмотра ISO Online: доступна по адресу https://www.iso.org/obp.

     4 Контекст организации

     4.1 Понимание организации и ее контекста


Необходимые мероприятия

Организация определяет внешние и внутренние факторы, относящиеся к ее цели и влияющие на ее способность достичь ожидаемого(ых) результата(ов) системы менеджмента информационной безопасности (СМИБ).

Пояснение

Для выполнения неотъемлемой функции СМИБ организация должна постоянно подвергать анализу как себя, так и окружающий мир. Такой анализ связан с внешними и внутренними факторами, которые каким-то образом влияют на ИБ и то, как она управляется, а также на соответствующие цели организации.

Анализ этих факторов преследует три цели:

- понимание контекста для определения области действия СМИБ;

- анализ контекста для определения рисков и возможностей;

- обеспечение адаптации СМИБ к меняющимся внешним и внутренним факторам.

Внешние факторы находятся вне контроля организации. Их часто называют средой организации.

Анализ среды может включать следующие аспекты:

a) социальные и культурные;

b) политические, юридические, нормативные и правовые;

c) финансовые и макроэкономические;

d) технологические;

e) природные;

Доступ к полной версии документа ограничен
Этот документ доступен в системах «Техэксперт» и «Кодекс».