ГОСТ Р ИСО/МЭК 27000-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Системы менеджмента информационной безопасности.
Общий обзор и терминология

Information technology. Security techniques. Information security management systems. Overview and vocabulary

ОКС 35.030

Дата введения 2021-11-30

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) и Акционерным обществом "Эксперт" (АО "Эксперт") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 мая 2021 г. N 392-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27000:2018* "Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология" (ISO/IEC 27000:2018 "Information technology - Security techniques - Information security management systems - Overview and vocabulary", IDT).     

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

ИСО/МЭК 27000 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

Дополнительные сноски в тексте стандарта, выделенные курсивом*, приведены для пояснения текста оригинала     

________________
     * В оригинале обозначения и номера стандартов и нормативных документов приводятся обычным шрифтом, кроме отмеченного в разделах "Предисловие" и  3 "Термины и определения" знаком "**". - Примечание изготовителя базы данных.

5 ВЗАМЕН ГОСТ Р ИСО/МЭК 27000-2012

6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. ИСО и МЭК не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации"**. Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

0.1 Общие сведения

Международные стандарты системы менеджмента предоставляют модель для применения при создании и функционировании системы менеджмента. Данная модель предусматривает элементы, на основе которых эксперты данной области достигли согласия с учетом лучшей международной практики. В состав подкомитета ПК 27 Совместного технического комитета ИСО/МЭК СТК 1 входит комиссия экспертов, занимающаяся разработкой семейства международных стандартов по информационной безопасности (ИБ), известного как семейство стандартов системы менеджмента информационной безопасности (СМИБ).

Используя семейство стандартов СМИБ, организации могут разрабатывать и совершенствовать систему управления защитой информационных активов и подготовиться к независимой оценке своей СМИБ, применяемой для защиты различного рода информации, например, финансовых данных, интеллектуальной собственности, сведений о персонале, а также информации, доверенной клиентами или третьей стороной.

0.2 Цель настоящего стандарта

________________

Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных актов и стандартов Российской Федерации в области защиты информации.

В состав семейства стандартов СМИБ входят стандарты, которые:

a) определяют требования к СМИБ и к органам, сертифицирующим такие системы;

b) обеспечивают непосредственную поддержку, содержат подробные рекомендации и/или интерпретацию общего процесса разработки, внедрения, поддержки и совершенствования СМИБ;

c) содержат руководства по СМИБ для конкретных отраслей;

d) содержат указания по оценке соответствия СМИБ.

0.3 Общие указания настоящего стандарта

В настоящем стандарте используются следующие формулировки:

- "должен" означает обязательное требование;

- "следует" означает рекомендацию;

- "вправе" означает разрешение;

- "может" означает возможность или способность.

Информация, обозначенная как "Примечание", уточняет или разъясняет содержание требования. В примечаниях в разделе 3 содержится информация, которая дополняет определение терминов, также могут встречаться положения, регулирующие использование того или иного термина.

     1 Область применения

Настоящий стандарт содержит общий обзор систем менеджмента информационной безопасности (СМИБ). В нем приведены термины и определения, используемые в семействе стандартов СМИБ. Настоящий стандарт применим к организациям любого типа и размера (например, коммерческим предприятиям, правительственным учреждениям, некоммерческим организациям).

Термины и определения, представленные в настоящем стандарте:

- охватывают общие термины и определения, используемые в семействе стандартов СМИБ;

- не охватывают все термины и определения, применяемые в семействе стандартов СМИБ;

- не ограничивают применение новых терминов в семействе стандартов СМИБ.

     2 Нормативные ссылки

В настоящем стандарте отсутствуют нормативные ссылки.

     3 Термины и определения

ИСО и МЭК поддерживают терминологические базы, используемые в сфере стандартизации, доступные на следующих сайтах:

- Онлайн-библиотека стандартов ISO: https://www.iso.org/obp;

- IEC Electropedia: https://www.electropedia.org/

3.1 управление доступом (access control): Обеспечение санкционированного доступа к активам в соответствии с бизнес-требованиями и требованиями (3.56) безопасности.

3.2 атака (attack): Попытка уничтожения, раскрытия, изменения, блокирования, кражи, получения несанкционированного доступа к активу или его несанкционированного использования.

3.3 аудит (audit): Систематический, независимый и задокументированный процесс (3.54), предназначенный для получения свидетельств аудита и объективной оценки аудиторами степени соблюдения критериев аудита.

Примечания

1 Аудит может быть внутренним (первой стороны), внешним (второй или третьей стороны) или комбинированным (сочетание двух и более сторон).

2 Внутренний аудит проводится самой организацией или сторонней (внешней) организацией.

3 Термины "свидетельства аудита" и "критерии аудита" определены в ИСО 19011.

3.4 область аудита (audit scope): Объем и границы аудита (3.3).

[ИСО 19011:2011, статья 3.14, с изменениями - примечание 1 было удалено]

3.5 аутентификация (authentication): Обеспечение гарантии того, что заявленные характеристики субъекта и объекта являются подлинными.

________________

Данное определение по смыслу соответствует определению по ГОСТ Р 58833-2020** "Защита информации. Идентификация и аутентификация. Общие положения".

3.6 подлинность (authenticity): Свойство, определяющее, что фактический субъект или объект совпадает с заявленным.

3.7 доступность (availability): Свойство, определяющее возможность использования объекта авторизованным субъектом по запросу.

3.8 основной показатель (base measure): Показатель (3.42), определенный в терминах атрибута и метода для его количественного определения.

Примечание - Основной показатель функционально не зависит от других показателей.

[ИСО/МЭК/ИИЭР 15939:2017, статья 3.3, с изменениями - примечание 2 было удалено]

3.9 компетентность (competence): Способность применять знания и навыки для достижения намеченных результатов.

3.10 конфиденциальность (confidentiality): Недоступность для неавторизованных лиц, объектов или процессов (3.54).

3.11 соответствие (conformity): Выполнение требования (3.56).

3.12 последствие (consequence): Результат события (3.21), оказывающего влияние на достижение цели (3.49).

Примечания

1 Результатом воздействия события может быть целый ряд последствий.

2 Последствия могут быть определенными или неопределенными и в контексте информационной безопасности, как правило, носят негативный характер.

3 Последствия могут оцениваться качественно или количественно.

4 Первоначальные последствия могут усугубляться из-за эффекта цепной реакции.

[Руководство ИСО 73:2009, статья 3.6.1.3, с изменениями - примечание 2 было изменено после "и"]

3.13 постоянное улучшение (continual improvement): Действия по повышению производительности (3.52), осуществляемые по регламенту с определенной периодичностью.

3.14 мера обеспечения информационной безопасности (control): Мера, направленная на изменение риска (3.61).

Примечания

1 К мерам обеспечения информационной безопасности относятся процессы (3.54), политика (3.53), устройства, практические приемы или другие действия, используемые для изменения риска (3.61).

2 Меры обеспечения информационной безопасности не всегда могут приводить к запланированным или предполагаемым изменениям риска.

[Руководство ИСО 73:2009, статья 3.8.1.1, с изменениями примечания 2]

3.15 цель применения мер (control objective): Описание того, что должно быть достигнуто в результате применения мер обеспечения информационной безопасности (3.14).

3.16 коррекция (correction): Действие по устранению выявленного несоответствия (3.47).

3.17 корректирующее действие (corrective action): Действие, позволяющее устранить причину несоответствия (3.47) и предотвратить его повторение в будущем.