Присоединяйтесь!
Зарегистрированных пользователей портала: 505 331. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ. ГОСТ Р ИСО/МЭК 27001-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст)

Дата документа27.12.2006
Статус документаДействует
МеткиСтандарт · Гост · Исо/мэк · Приказ

    

Утвержден
Приказом Федерального
агентства по техническому
регулированию и метрологии
от 27 декабря 2006 г. N 375-ст

 

Дата введения -
1 февраля 2008 года

 

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ

 

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ.
СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

ТРЕБОВАНИЯ

 

INFORMATION TECHNOLOGY. SECURITY TECHNIQUES. INFORMATION SECURITY MANAGEMENT SYSTEMS. REQUIREMENTS

 

ГОСТ Р ИСО/МЭК 27001-2006

 

Предисловие

 
    Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения".
 

Сведения о стандарте

 
    1. Подготовлен Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") и Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного аутентичного перевода стандарта, указанного в пункте 4.
    2. Внесен Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии.
    3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 375-ст.
    4. Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27001:2005 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements").
    При применении настоящего стандарта рекомендуется использовать вместо ссылочного международного стандарта соответствующий ему национальный стандарт Российской Федерации, сведения о котором приведены в дополнительном Приложении D.
    5. Введен впервые.
 
    Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет.
 

0. Введение

 
    0.1. Общие положения
    Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). Внедрение СМИБ является стратегическим решением организации. На проектирование и внедрение СМИБ организации влияют потребности и цели организации, требования безопасности, используемые процессы, а также масштабы деятельности и структура организации. Предполагается, что вышеуказанные факторы и поддерживающие их системы будут изменяться во времени. Предполагается также, что СМИБ будет изменяться пропорционально потребностям организации, т.е. для простой ситуации потребуется простое решение по реализации СМИБ.
    Положения настоящего стандарта могут быть использованы как внутри организации, так и внешними организациями для оценки соответствия.
    0.2. Процессный подход
    Настоящий стандарт предполагает использовать процессный подход для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации.
    Для успешного функционирования организация должна определить и осуществить менеджмент многочисленных видов деятельности. Деятельность, использующая ресурсы и управляемая в целях преобразования входов в выходы, может быть рассмотрена как процесс. Часто выход одного процесса непосредственно формирует вход для следующего процесса.
    Использование внутри организации системы процессов наряду с идентификацией и взаимодействием этих процессов, а также менеджмент процессов могут быть определены как "процессный подход".
    Согласно предлагаемому настоящим стандартом процессному подходу применительно к менеджменту информационной безопасности (ИБ) особую значимость для пользователей имеют следующие факторы:
    a) понимание требований информационной безопасности организации и необходимости установления политики и целей информационной безопасности;
    b) внедрение и использование мер управления для менеджмента рисков ИБ среди общих бизнес-рисков организации;
    c) мониторинг и проверка производительности и эффективности СМИБ;
    d) непрерывное улучшение СМИБ, основанное на результатах объективных измерений.
    В настоящем стандарте представлена модель "Планирование (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA), которая может быть применена при структурировании всех процессов СМИБ. На рисунке 1 показано, как СМИБ, используя в качестве входных данных требования ИБ и ожидаемые результаты заинтересованных сторон, с помощью необходимых действий и процессов выдает выходные данные по результатам обеспечения информационной безопасности, которые соответствуют этим требованиям и ожидаемым результатам. Рисунок 1 иллюстрирует также связи между процессами, описанными в разделах 4, 5, 6, 7 и 8.
 

                     
Заинтересованные стороны         Планирование         Заинтересованные стороны  
        Разработка СМИБ <         
                 
                      
                      
   Осуществление V          Действие    
    Внедрение и функционирование СМИБ  Поддержка и улучшение СМИБ        
        /\        
                      
                      
                      
       >Проведение мониторинга и анализа СМИБ           
                 
Требования и ожидаемые результаты в области ИБ >                >  
       Проверка        Управляемая ИБ  
                      
                      
                      

Рисунок 1

 
    Принятие модели PDCA также отражает принципы, установленные в Директивах Организации экономического сотрудничества и развития (ОЭСР) и определяющие безопасность информационных систем и сетей [1]. Настоящий стандарт представляет наглядную модель для реализации на практике указанных принципов, которые позволяют осуществить оценку рисков, проектирование и реализацию системы информационной безопасности, ее менеджмент и переоценку.
    Примеры
    1. Требование может заключаться в том, чтобы нарушения информационной безопасности не приводили к значительному финансовому ущербу для организации и/или к существенным затруднениям в ее деятельности.
    2. Ожидаемым результатом может быть наличие в организации достаточно хорошо обученных сотрудников для проведения процедур, позволяющих минимизировать возможные неблагоприятные последствия в случае серьезного инцидента, например несанкционированного проникновения (атаки хакеров) на веб-сайт организации, через который она осуществляет электронную торговлю.
    Связи между процессами, описанными в разделах 4, 5, 6, 7 и 8, представлены также в таблице 1.
 

Таблица 1

 

Планирование (разработка СМИБ) Разработка политики, установление целей, процессов и процедур СМИБ, относящихся к менеджменту риска и улучшению информационной безопасности, для достижения результатов, соответствующих общей политике и целям организации
Осуществление (внедрение и обеспечение функционирования СМИБ) Внедрение и применение политики информационной безопасности, мер управления, процессов и процедур СМИБ
Проверка (проведение мониторинга и анализа СМИБ) Оценка, в том числе, по возможности, количественная, результативности процессов относительно требований политики, целей безопасности и практического опыта функционирования СМИБ и информирование высшего руководства о результатах для последующего анализа
Действие (поддержка и улучшение СМИБ) Проведение корректирующих и превентивных действий, основанных на результатах внутреннего аудита или другой соответствующей информации, и анализа со стороны руководства в целях достижения непрерывного улучшения СМИБ

 
    0.3. Совместимость с другими системами менеджмента
    Настоящий стандарт согласован со стандартами ИСО 9001:2000 "Системы менеджмента качества. Требования" [2] и ИСО 14001:2004 "Системы управления окружающей средой. Требования и руководство по применению" [3] в целях поддержки последовательного и интегрированного внедрения и взаимодействия с другими подобными взаимосвязанными стандартами в области менеджмента. Таким образом, одна правильно построенная система менеджмента в организации может удовлетворять требованиям всех этих стандартов.
    Таблица С.1 иллюстрирует взаимосвязь между разделами настоящего стандарта, а также ИСО 9001:2000 и ИСО 14001:2004.
    Настоящий стандарт позволяет организации регулировать СМИБ или интегрировать ее с соответствующими требованиями других систем менеджмента.
 

1. Область применения

 
    1.1. Общие положения
    Настоящий стандарт предназначен для применения организациями любой формы собственности (например, коммерческими, государственными и некоммерческими организациями). Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности (СМИБ) среди общих бизнес-рисков организации. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности (ИБ).
    Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.
    Примечание - Термин "бизнес", в настоящем стандарте понимаемый в широком смысле, обозначает всю ту деятельность, которая является основой для целей существования организации.
 
    1.2. Применение
    Требования, устанавливаемые настоящим стандартом, предназначены для применения во всех организациях независимо от типа, масштабов и сферы их деятельности. Исключение любого из требований, указанных в разделах 4, 5, 6, 7 и 8, не допускается, если организация заявляет о соответствии ее СМИБ настоящему стандарту.
    Любой отказ от применения той или иной меры управления, обусловленный необходимостью удовлетворения критериев принятия рисков, должен быть обоснован. Необходимо также наличие адекватных доказательств того, что подобные риски были уже приняты ответственными лицами. При исключении каких-либо мер управления заявления о соответствии организации настоящему стандарту неправомочны, кроме случаев, когда эти исключения не влияют на способность и/или обязанность организации обеспечивать информационную безопасность, которая соответствует требованиям безопасности, установленным соответствующими законодательными актами или определенными на основе оценок рисков.
    Примечание - Если организация уже имеет действующую систему менеджмента бизнес-процессов (например, в соответствии с ИСО 9001 [2] или ИСО 14001 [3]), тогда в большинстве случаев предпочтительнее удовлетворить требования настоящего стандарта в рамках этой существующей системы менеджмента.
 

2. Нормативные ссылки

 
    В настоящем стандарте использованы нормативные ссылки на следующий стандарт:
    ИСО/МЭК 17799:2005. Информационная технология. Методы и средства обеспечения безопасности. Практические правила менеджмента информационной безопасности.
 

3. Термины и определения

 
    В настоящем стандарте применены следующие термины с соответствующими определениями:
    3.1. Активы (asset): все, что имеет ценность для организации.
    (ИСО/МЭК 13335-1:2004) [4]
    3.2. Доступность (availability): свойство объекта находиться в состоянии готовности и возможности использования по запросу авторизованного логического объекта.
    (ИСО/МЭК 13335-1:2004) [4]