Не вступил в силу
Профессиональные справочные системы для специалистов
медицинской и фармацевтической промышленности

ГОСТ ISO/IEC 27014-2021



МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ

Информационные технологии

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, КИБЕРБЕЗОПАСНОСТЬ И ЗАЩИТА КОНФИДЕНЦИАЛЬНОСТИ

Руководство деятельностью по обеспечению информационной безопасности

Information technology. Information security, cybersecurity and privacy protection. Governance of information security



МКС 35.030

Дата введения 2021-11-30



Предисловие


Цели, основные принципы и общие правила проведения работ по межгосударственной стандартизации установлены ГОСТ 1.0 "Межгосударственная система стандартизации. Основные положения" и ГОСТ 1.2 "Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены"

Сведения о стандарте

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Обществом с ограниченной ответственностью "Информационно-аналитический центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 5

2 ВНЕСЕН Межгосударственным техническим комитетом по стандартизации МТК 022 "Информационные технологии"

3 ПРИНЯТ Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 30 июня 2021 г. N 141-П)

За принятие проголосовали:

Краткое наименование страны по МК (ИСО 3166) 004-97

Код страны по МК (ИСО 3166) 004-97

Сокращенное наименование национального органа по стандартизации

Армения

AM

ЗАО "Национальный орган по стандартизации и метрологии" Республики Армения

Беларусь

BY

Госстандарт Республики Беларусь

Киргизия

KG

Кыргызстандарт

Россия

RU

Росстандарт

Узбекистан

UZ

Узстандарт

4 Приказом Федерального агентства по техническому регулированию и метрологии от 2 июля 2021 г. N 613-ст межгосударственный стандарт ГОСТ ISO/IEC 27014-2021 введен в действие в качестве национального стандарта Российской Федерации с 30 ноября 2021 г.

5 Настоящий стандарт идентичен международному стандарту ISO/IEC 27014:2020* "Информационные технологии. Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство деятельностью по обеспечению информационной безопасности" ("Information technology - Information security, cybersecurity and privacy protection - Governance of information security", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

ISO/IEC 27014:2020 разработан подкомитетом SC 27 "Информационная безопасность, кибербезопасность и защита конфиденциальности" Совместного технического комитета JTC 1 "Информационные технологии" Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА

6 ВВЕДЕН ВПЕРВЫЕ

Информация о введении в действие (прекращении действия) настоящего стандарта и изменений к нему на территории указанных выше государств публикуется в указателях национальных стандартов, издаваемых в этих государствах, а также в сети Интернет на сайтах соответствующих национальных органов по стандартизации.

В случае пересмотра, изменения или отмены настоящего стандарта соответствующая информация будет опубликована на официальном интернет-сайте Межгосударственного совета по стандартизации, метрологии и сертификации в каталоге "Межгосударственные стандарты"

Введение


Обеспечение информационной безопасности (ИБ) является важнейшей задачей организаций, значение которой постоянно повышается в результате непрерывного развития методов и средств проведения атак на информационные системы, а также в связи с усилением нормативных требований регуляторов.

Недостаточность мер обеспечения ИБ может иметь как для организации, так и для ее партнеров множество негативных последствий, в том числе связанных с утратой доверия.

Руководство деятельностью по обеспечению ИБ предполагает надлежащее использование ресурсов для обеспечения эффективной реализации ИБ, обеспечивающей уверенность в том, что:

- будут соблюдаться директивы по ИБ;

- руководство будет получать достоверную и актуальную отчетность о деятельности, связанной с ИБ.

Предоставленная информация об ИБ помогает руководству принимать решения относительно стратегических целей организации, что гарантирует кроме прочего и соответствие стратегии ИБ этим целям. Она также обеспечивает соответствие стратегии информационной безопасности общим целям организации.

Менеджеры и другие работники организации должны понимать следующее:

- требования к руководству деятельностью, влияющие на их работу;

- как удовлетворить требования к руководству деятельностью, требующие их действий.

     1 Область применения


В настоящем стандарте представлены понятия, цели и процессы руководства деятельностью по обеспечению информационной безопасности (ИБ), с помощью которых организации могут оценивать, направлять, контролировать и передавать информацию о процессах, связанных с ИБ, внутри организации.

Целевая аудитория настоящего стандарта:

- руководящие органы и лица из состава высшего руководства;

- лица, ответственные за оценку, управление и мониторинг системы менеджмента информационной безопасности (СМИБ) на основе ISO/IEC 27001;

- лица, ответственные за менеджмент ИБ за пределами области действия СМИБ, основанной на ISO/IEC 27001, но в рамках руководства деятельностью.

Настоящий стандарт применим ко всем видам организаций с различной численностью работников (персонала).

Все ссылки на СМИБ в настоящем стандарте относятся к СМИБ, соответствующим ISO/IEC 27001.

В настоящем стандарте основное внимание уделяется организациям трех типов по отношению к СМИБ, приведенным в приложении В. Однако настоящий стандарт может также использоваться и для организаций других типов.

     2 Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).

ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология)

ISO/IEC 27001, Information technology - Security techniques - Information security management systems - Requirements (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования)

     3 Термины и определения


В настоящем стандарте применены термины по ISO/IEC 27000, а также следующие термины с соответствующими определениями:

ISO и IEC поддерживают терминологические базы, используемые в сфере стандартизации, доступные на следующих сайтах:

- Онлайн-библиотека стандартов ISO: https://www.iso.org/obp;

- IEC Electropedia: https://www.electropedia.org/;

- термины и определения ITU-T: http://www.itu.int/go/terminology-databasehttp://www.itu.int/go/terminology-databasehttp://www.itu.int/go/terminology-database.

3.1 организационная структура (entity): Предприятие, учреждение или другой хозяйствующий субъект.

Примечание - Организационная структура может быть группой компаний, отдельной компанией, некоммерческой организацией или чем-нибудь иным. Организационная структура имеет руководящие полномочия над организацией. В отдельных случаях, например, в небольших компаниях организационная структура может быть идентична организации.

3.2 организация (organization): Часть организационной структуры, в которой эксплуатируется и контролируется система менеджмента информационной безопасности (СМИБ).

3.3 руководящий орган (governing body): Лицо или группа лиц, несущих ответственность за производительность организационной структуры (3.1) и за соблюдение применимых ею норм.

[ISO/IEC 27000:2018 (подраздел 3.24) с изменениями - вместо термина "организация" используется термин "организационная структура"]

3.4 высшее руководство (top management): Лицо или группа лиц, руководящих организацией (3.2) и контролирующих ее на высшем уровне.

Примечания

1 Высшее руководство имеет право делегировать полномочия и предоставлять ресурсы в рамках организации.

2 Если область действия системы менеджмента охватывает только часть организационной структуры, то высшее руководство относится к тем, кто руководит этой частью организационной структуры и контролирует ее. Высшее руководство подотчетно руководящему органу организационной структуры.

3 В зависимости от размера и ресурсов организации, высшее руководство может быть совмещено с руководящим органом.

4 Высшее руководство подчиняется руководящему органу.

5 В ISO 37001 также определены понятия руководящего органа и высшего руководства.

[ISO/IEC 27000:2018 (подраздел 3.75) с изменениями:

- в примечании 2 термин "организация" заменен на термин "организационная структура" и добавлено второе предложение;

- примечание 3 заменено;

- добавлены примечания 3 и 5]

     4 Сокращения


В настоящем стандарте применены следующие сокращения:

СМИБ - система менеджмента информационной безопасности;

ИТ - информационные технологии.

     5 Состав и структура настоящего стандарта


В настоящем стандарте описано, как осуществляется руководство деятельностью по обеспечению ИБ в рамках СМИБ, соответствующей ISO/IEC 27001, и как такие руководящие действия могут быть связаны с другими действиями управления вне области действия СМИБ. В настоящем стандарте определены четыре основных процесса: "оценка", "координация", "мониторинг" и "обмен информацией", в которых СМИБ может быть структурирована внутри организации, а также предлагаются подходы для интеграции руководства деятельностью по обеспечению ИБ в деятельность по управлению организацией для каждого из этих процессов. В приложении А описываются взаимосвязи между управлением организацией, управлением информационными технологиями и управлением деятельностью по обеспечению ИБ.

По определению организация охватывает всю организационную структуру (см. ISO/IEC 27000). Но она может охватывать как всю организационную структуру, так и его часть, как показано на рисунке В.1.

     6 Руководство деятельностью и стандарты управления

     6.1 Обзор


Руководство деятельностью по обеспечению ИБ - это процесс, посредством которого руководящий орган организации обеспечивает общую координацию и контроль деятельности, связанной с ИБ. Координация и контроль фокусируются на ситуациях, когда недостатки в обеспечении информационной безопасности могут негативно влиять на способность организации достигать своих основных целей. Руководящий орган обычно реализует цели своего управления деятельностью посредством:

- обеспечения координации путем определения стратегий и политик;

Доступ к полной версии документа ограничен
Этот документ доступен в системах «Техэксперт» и «Кодекс».