ГОСТ Р ИСО/МЭК 27003-2021
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационные технологии
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Системы менеджмента информационной безопасности. Руководство по реализации
Information technology. Security techniques. Information security management systems. Guidance for implementation
ОКС 35.030
Дата введения 2021-11-30
1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Акционерным обществом "Эшелон - Северо-Запад" (АО "Эшелон-СЗ") и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 мая 2021 г. N 387-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27003:2017* "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство" (ISO/IEC 27003:2017 "Information technology - Security techniques - Information security management systems - Guidance", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
ИСО/МЭК 27003 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" совместного технического комитета СТК 1 "Информационные технологии (ИТ)" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные и межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВЗАМЕН ГОСТ Р ИСО/МЭК 27003-2012
6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации и Международная электротехническая комиссия не несут ответственности за идентификацию подобных патентных прав
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Настоящий стандарт содержит руководство по реализации требований к системе менеджмента информационной безопасности (СМИБ), приведенных в ИСО/МЭК 27001, и предоставляет рекомендации (используя вспомогательный глагол "должен"), возможности (используя вспомогательный глагол "следует") и допустимое действие (используя вспомогательный глагол "может") в отношении этих требований. Настоящий стандарт не ставит целью предоставление общего руководства по всем аспектам информационной безопасности (ИБ).
________________
Далее по тексту введено сокращение ИБ.
Разделы 4-10 настоящего стандарта отражают структуру ИСО/МЭК 27001.
Настоящий стандарт не содержит новых требований к СМИБ и связанных с ней терминов и определений. Организации должны обращаться за новыми требованиями и определениями к ИСО/МЭК 27001 и ИСО/МЭК 27000. Организации, внедрившие СМИБ, не обязаны соблюдать указания, содержащиеся в настоящем стандарте.
В СМИБ важны следующие этапы:
- понимание потребностей организации и необходимости установления политики и целей ИБ;
- оценка рисков организации, связанных с ИБ;
- внедрение и функционирование процессов ИБ, мер по обеспечению ИБ и других мер по обработке рисков;
- мониторинг и анализ эффективности и результативности СМИБ;
- практика постоянного улучшения.
СМИБ, как и любая другая система менеджмента, включает следующие ключевые компоненты:
a) политика;
b) лица с определенными обязанностями;
c) процессы управления, связанные с:
1) установлением политики;
2) обеспечением осведомленности и компетентности;
3) планированием;
4) реализацией;
5) эксплуатацией;
6) оценкой эффективности;
7) управленческим анализом;
8) улучшением;
d) документированная информация.
СМИБ имеет дополнительные ключевые компоненты, такие как:
e) оценка рисков ИБ;
f) обработка рисков ИБ, включая определение и реализацию мер обеспечения ИБ.
Настоящий стандарт носит общий характер и предназначен для применения во всех организациях, независимо от их типа, размера или характера. Организация определяет, какая часть этого руководства применяется к ней в соответствии с конкретным контекстом организации (см. ИСО/МЭК 27001, раздел 4).
Например, некоторые рекомендации могут быть применимы для крупных организаций, в то время как для небольших организаций (например, с числом сотрудников менее 10) эти рекомендации могут быть ненужными и неуместными.
________________
Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.
Описания разделов 4-10 структурированы следующим образом:
- необходимые мероприятия: представлены ключевые мероприятия, требуемые в соответствующем подразделе ИСО/МЭК 27001;
- пояснение: объяснено, что подразумевают требования ИСО/МЭК 27001;
- руководство: предоставлена более подробная или вспомогательная информация для реализации необходимых мероприятий, включая примеры реализации;
- дополнительная информация: предоставлена дополнительная информация, которую следует рассмотреть.
ИСО/МЭК 27003, ИСО/МЭК 27004 и ИСО/МЭК 27005 образуют набор документов, поддерживающих и обеспечивающих руководство по ИСО/МЭК 27001. Среди этих документов ИСО/МЭК 27003 является базовым и всеохватывающим документом, который содержит руководство по всем требованиям ИСО/МЭК 27001, но не содержит подробных описаний, касающихся "мониторинга, измерения, анализа и оценки" и управления рисками ИБ. ИСО/МЭК 27004 и ИСО/МЭК 27005 фокусируются на конкретном содержании и дают более подробные руководства по "мониторингу, измерению, анализу и оценке" и управлению рисками ИБ.
В ИСО/МЭК 27001 существует несколько ссылок на документированную информацию. Тем не менее организация может сохранить дополнительную документированную информацию, которую она определяет как необходимую для эффективности своей системы менеджмента в соответствии с пунктом 7.5.1, перечисление b), ИСО/МЭК 27001. В этих случаях в настоящем стандарте используется фраза "Документированная информация об этих мероприятиях и их результатах является обязательной только в той форме и в той мере, в которой организация считает это необходимым для эффективности своей системы менеджмента (см. ИСО/МЭК 27001, 7.5.1, перечисление b))".
Настоящий стандарт содержит разъяснения и руководство по ИСО/МЭК 27001.
В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание, для недатированных - последнее издание (включая все изменения к нему).
ISO/IEC 27000:2016, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общие положения и терминология)
ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования)
В настоящем стандарте применены термины по ИСО/МЭК 27000.
ИСО и МЭК ведут терминологические базы данных для их использования в стандартизации по следующим адресам:
- IEC Electropedia: доступна по адресу http://www.electropedia.org/;
- Платформа просмотра ISO Online: доступна по адресу https://www.iso.org/obp.
Необходимые мероприятия
Организация определяет внешние и внутренние факторы, относящиеся к ее цели и влияющие на ее способность достичь ожидаемого(ых) результата(ов) системы менеджмента информационной безопасности (СМИБ).
Пояснение
Для выполнения неотъемлемой функции СМИБ организация должна постоянно подвергать анализу как себя, так и окружающий мир. Такой анализ связан с внешними и внутренними факторами, которые каким-то образом влияют на ИБ и то, как она управляется, а также на соответствующие цели организации.
Анализ этих факторов преследует три цели:
- понимание контекста для определения области действия СМИБ;
- анализ контекста для определения рисков и возможностей;
- обеспечение адаптации СМИБ к меняющимся внешним и внутренним факторам.
Внешние факторы находятся вне контроля организации. Их часто называют средой организации.
Анализ среды может включать следующие аспекты:
a) социальные и культурные;
b) политические, юридические, нормативные и правовые;
c) финансовые и макроэкономические;
d) технологические;
e) природные;