ГОСТ Р ИСО/МЭК 27001-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Системы менеджмента информационной безопасности. Требования

Information technology. Security techniques. Information security management systems. Requirements

ОКС 35.040

Дата введения 2022-01-01

Предисловие

1 ПОДГОТОВЛЕН Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Открытым акционерным обществом "Информационные технологии и коммуникационные системы" (ОАО "ИнфоТеКС") и Федеральным автономным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФАУ "ГНИИИ ПТЗИ ФСТЭК России") на основе официального перевода на русский язык англоязычной версии указанного в пункте 4 стандарта, который выполнен ФГБУ "РСТ"

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2021 г. N 1653-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27001:2013* "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (ISO/IEC 27001:2013 "Information technology - Security techniques - Information security management systems - Requirements", IDT), включая технические поправки: Cor. 1:2014; Cor. 2:2015.

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.     

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА.

Дополнительные сноски в тексте стандарта, выделенные курсивом, приведены для пояснения текста оригинала

5 ВЗАМЕН ГОСТ Р ИСО/МЭК 27001-2006

6 ПЕРЕИЗДАНИЕ. Март 2022 г.  

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

Настоящий стандарт подготовлен с целью установления требований по созданию, внедрению, поддержке и постоянному улучшению системы менеджмента информационной безопасности. Решение о внедрении системы менеджмента информационной безопасности является стратегическим решением организации. На то, в каком виде в организации будет создана и внедрена система менеджмента информационной безопасности, влияют потребности и цели деятельности организации, требования безопасности, реализуемые организацией процессы деятельности, а также размеры и структура организации. Предполагается, что все указанные факторы влияния изменяются со временем.

Система менеджмента информационной безопасности сохраняет конфиденциальность, целостность и доступность информации за счет применения процесса управления рисками и дает заинтересованным сторонам уверенность в том, что риски надлежащим образом управляются.

________________

Заинтересованная сторона (interested party) - лицо или организация, которые могут воздействовать на осуществление деятельности или принятие решения, быть подверженными их воздействию или воспринимать себя в качестве последних (см. ГОСТ Р ИСО 9000—2015, пункт 3.2.3).

Важно, чтобы система менеджмента информационной безопасности организации составляла часть процессов и структуры управления организации и была интегрирована с ними. Также важно, чтобы информационная безопасность учитывалась при проектировании процессов, информационных систем и средств управления. Предполагается, что система менеджмента информационной безопасности будет адаптироваться к потребностям организации.

Настоящий стандарт может быть использован заинтересованными сторонами для оценки способности организации соответствовать собственным требованиям к информационной безопасности.

Порядок представления требований в настоящем стандарте не отражает их значимость и последовательность, в соответствии с которыми они должны быть реализованы. Нумерация требований приведена только для ссылочных целей.

Обзор и терминология систем менеджмента информационной безопасности со ссылками на семейство стандартов системы менеджмента информационной безопасности (включая ИСО/МЭК 27003 [2], ИСО/МЭК 27004 [3] и ИСО/МЭК 27005 [4]), содержащих соответствующие термины и определения, представлены в ИСО/МЭК 27000.

Настоящий стандарт использует высокоуровневую структуру, идентичные названия подразделов, идентичный текст, общие термины и основные определения, приведенные в приложении SL документа "Директивы ИСО/МЭК, часть 1" [6], и соответственно поддерживает совместимость с другими стандартами по системам менеджмента, соответствующим приложению SL.

Общий подход, определенный в приложении SL, будет полезен для тех организаций, которые решили использовать единую систему менеджмента, отвечающую требованиям двух и более стандартов по системам менеджмента.

     1 Область применения

Настоящий стандарт устанавливает общие требования по созданию, внедрению, поддержке и постоянному улучшению системы менеджмента информационной безопасности в контексте деятельности организации. Настоящий стандарт также содержит требования по оценке и обработке рисков информационной безопасности с учетом потребностей организации. Изложенные в настоящем стандарте требования являются обобщенными и предназначены для применения во всех организациях независимо от их типа, размера, структуры и сферы деятельности. Исключение любого из требований, указанных в разделах 4-10, не допускается, если организация заявляет о соответствии данному стандарту.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения)]:

ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и терминология)

     3 Термины и определения

В настоящем стандарте применяются термины и определения, приведенные в ИСО/МЭК 27000.

     4 Контекст деятельности организации

     4.1 Понимание внутренних и внешних факторов деятельности организации

В организации должны быть определены внешние и внутренние факторы, имеющие отношение к деятельности организации и оказывающие влияние на ее способность достигать ожидаемого(ых) результата(ов) от системы менеджмента информационной безопасности.

Примечание - Определение этих факторов относится к установлению внутреннего и внешнего контекста организации, рассматриваемого в ИСО 31000:2009 [5] (подраздел 5.3).

     4.2 Понимание потребностей и ожиданий заинтересованных сторон

Организация должна определить:

a) заинтересованные стороны, имеющие отношение к системе менеджмента информационной безопасности;

b) требования этих заинтересованных сторон к информационной безопасности.

Примечание - Требования заинтересованных сторон могут включать правовые и нормативные требования и договорные обязательства.

     4.3 Определение области действия системы менеджмента информационной безопасности

Для установления области действия системы менеджмента информационной безопасности организация должна определить применимость системы менеджмента информационной безопасности и ее границы.

При определении области действия системы менеджмента информационной безопасности необходимо учитывать:

a) внутренние и внешние факторы, указанные в 4.1;

b) требования, приведенные в 4.2;

c) порядок взаимодействия и зависимости между деятельностью данной организации и деятельностью других организаций.

Область действия системы менеджмента информационной безопасности должна быть доступна в виде документированной информации.

     4.4 Система менеджмента информационной безопасности

Создание, внедрение, поддержку и постоянное улучшение системы менеджмента информационной безопасности организация должна проводить в соответствии с требованиями настоящего стандарта.

     5 Руководство

     5.1 Лидерство и приверженность

Высшее руководство организации должно демонстрировать свое лидерство и приверженность в отношении системы менеджмента информационной безопасности:

a) установлением политики и целей информационной безопасности, совместимых со стратегическим направлением развития организации;

b) интеграцией требований системы менеджмента информационной безопасности в процессы организации;

c) доступностью ресурсов, необходимых для системы менеджмента информационной безопасности;

d) декларированием важности обеспечения эффективного менеджмента информационной безопасностью и соответствия требованиям системы менеджмента информационной безопасности;

e) достижением системой менеджмента информационной безопасности ожидаемых результатов;

f) направляя и поддерживая лиц, способствующих повышению результативности системы менеджмента информационной безопасности;

g) постоянным улучшением системы менеджмента информационной безопасности;

h) поддержкой других руководителей в реализации их ведущих ролей в рамках зон их ответственности.

     5.2 Политика

Высшее руководство организации должно установить политику информационной безопасности, которая:

a) соответствует целям деятельности организации;

b) содержит цели информационной безопасности (см. 6.2) или обеспечивает основу для их установления;

c) содержит обязательство соответствовать применимым требованиям, относящимся к информационной безопасности;

d) содержит обязательство постоянно улучшать систему менеджмента информационной безопасности.

Политика информационной безопасности должна быть:

e) доступна в виде документированной информации;

f) доведена до сведения работников организации;

g) доступна заинтересованным сторонам.

     5.3 Роли, обязанности и полномочия в организации

Высшее руководство организации должно обеспечить назначение обязанностей и полномочий для ролей, имеющих отношение к обеспечению информационной безопасности, и доведение этих обязанностей и полномочий до всех заинтересованных сторон.

Высшее руководство должно назначать обязанности и полномочия:

a) для обеспечения уверенности в соответствии системы менеджмента информационной безопасности организации требованиям настоящего стандарта;

b) представления отчетности о функционировании системы менеджмента информационной безопасности высшему руководству.

Примечание - Высшее руководство также может устанавливать обязанности и полномочия для представления отчетности о функционировании системы менеджмента информационной безопасности в рамках организации.