Утвержден и введен в действие
Приказом Федерального
агентства по техническому
регулированию и метрологии
от 15 ноября 2012 г. N 813-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ.
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОБЩИЙ ОБЗОР И ТЕРМИНОЛОГИЯ
Information technology. Security techniques. Information
security management systems. Overview and vocabulary
ISO/IEC 27000:2009
Information technology - Security techniques - Information
security management systems - Overview and vocabulary
(IDT)
ГОСТ Р ИСО/МЭК 27000-2012
ОКС 35.040
01.040.35
Дата введения
1 декабря 2013 года
Предисловие
1. Подготовлен Федеральным бюджетным учреждением "Консультационно-внедренческая фирма в области международной стандартизации и сертификации - "Фирма "ИНТЕРСТАНДАРТ" (ФБУ "КВФ "Интерстандарт") совместно с Евро-Азиатской ассоциацией производителей товаров и услуг в области безопасности (Ассоциация ЕВРААС) и ООО "Научно-испытательный институт систем обеспечения комплексной безопасности" (ООО "НИИ СОКБ") на основе аутентичного перевода на русский язык международного стандарта, указанного в пункте 4.
2. Внесен Техническим комитетом по стандартизации ТК 362 "Защита информации".
3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 15 ноября 2012 г. N 813-ст.
4. Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27000:2009 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология" (ISO/IEC 27000:2009 "Information technology - Security techniques - Information security management systems - Overview and vocabulary").
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном Приложении ДА.
5. Введен впервые.
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru).
Введение
Международные стандарты системы менеджмента представляют модель для налаживания и функционирования системы менеджмента. Эта модель включает в себя функции, по которым эксперты достигли согласия на основании международного опыта, накопленного в этой области. Подкомитет SC 27 Совместного технического комитета ISO/IEC JTC 1 имеет в своем составе комиссию экспертов, которая работает в области создания системы международных стандартов по информационной безопасности, известной как семейство стандартов системы менеджмента информационной безопасности (СМИБ).
При использовании семейства стандартов СМИБ организации могут реализовывать и совершенствовать систему управления защитой информации и подготовиться к независимой оценке их СМИБ, применяемой для защиты информации, такой как финансовая информация, интеллектуальная собственность, информация о персонале, а также информация, доверенная клиентами или третьей стороной.
Семейство стандартов СМИБ <1> предназначено для помощи организациям любого типа и величины в реализации и функционировании СМИБ. Семейство стандартов СМИБ состоит из следующих международных стандартов под общим названием Information technology - Security techniques (Информационные технологии. Методы и средства обеспечения безопасности):
- ISO/IEC 27000:2009, Information security management systems - Overview and vocabulary (Система менеджмента информационной безопасности. Общий обзор и терминология);
- ISO/IEC 27001:2005, Information security management systems - Requirements (Система менеджмента информационной безопасности. Требования);
- ISO/IEC 27002:2005, Code of practice for information security management (Свод правил по управлению защитой информации);
- ISO/IEC 27003, Information security management system implementation guidance (Руководство по реализации системы менеджмента информационной безопасности);
- ISO/IEC 27004, Information security management - Measurement (Менеджмент информационной безопасности. Измерения);
- ISO/IEC 27005:2008, Information security risk management (Управление рисками информационной безопасности);
- ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems (Требования для органов, обеспечивающих аудит и сертификацию систем менеджмента информационной безопасности);
- ISO/IEC 27007, Guidelines for information security management systems auditing (Руководство для аудитора СМИБ);
- ISO/IEC 27011, Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 (Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги, на основе ISO/IEC 27002).
--------------------------------
<1> Перечисленные во введении стандарты, не имеющие в обозначении года выпуска, находятся в разработке.
Примечание. Общее название "Информационные технологии. Методы и средства обеспечения безопасности" означает, что эти стандарты были подготовлены подкомитетом "Методы защиты ИТ" Совместного технического комитета ISO/IEC JTC 1 "Информационные технологии".
Международные стандарты, не имеющие этого общего названия:
- ISO 27799:2008, Health informatics - Information security management in health using ISO/IEC 27002 (Информатика в здравоохранении. Менеджмент информационной безопасности по стандарту ISO/IEC 27002);
- ISO/IEC 27000:2009 представляет обзор систем менеджмента информационной безопасности, которые составляют семейство стандартов СМИБ, а также дает определения терминов.
Примечание. Приложение A разъясняет, как должны интерпретироваться словесные выражения положений стандартов семейства СМИБ, выражающих требования и рекомендации.
Семейство стандартов СМИБ содержит стандарты, которые:
- определяют требования к СМИБ и к сертификации таких систем;
- содержат прямую поддержку, детальное руководство и (или) интерпретацию полных процессов "План (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA) и требования;
- включают в себя специальные руководящие принципы для СМИБ;
- руководят проведением оценки соответствия СМИБ.
Глоссарий терминов и определений, приведенный в настоящем стандарте:
- охватывает термины и определения, в большинстве случаев используемые в семействе стандартов СМИБ;
- не охватывает все термины и определения, применяемые в семействе стандартов СМИБ;
- не ограничивает семейство стандартов СМИБ в определении терминов для их использования.
Стандарты, регулирующие только реализацию средств управления, в отличие от стандартов, регулирующих все меры и средства контроля и управления, содержащиеся в стандарте ISO/IEC 27002, исключены из семейства стандартов СМИБ.
Настоящий стандарт обновляется с более высокой частотой, чем обычно обновляются стандарты ИСО/МЭК, для того чтобы отразить состояние изменений семейства стандартов СМИБ.
1. Область применения
Настоящий стандарт содержит:
- обзор семейства стандартов СМИБ;
- введение в систему менеджмента информационной безопасности (СМИБ);
- краткое описание процесса "План (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA);
- термины и определения для использования в семействе стандартов СМИБ.
Настоящий стандарт применим ко всем типам организаций (например, коммерческие предприятия, правительственные учреждения, некоммерческие организации).
2. Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями.
Примечание. Термин, определяемый в каком-либо другом месте настоящего раздела, выделен жирным шрифтом. За ним в скобках следует его порядковый номер.
Пример:
#Атака# (attack) (2.4) определена как "попытка уничтожения, раскрытия, изменения, блокирования, кражи, получения несанкционированного доступа к #активу# (2.3) или его несанкционированного использования".
#Актив# определен как "что-либо, что имеет ценность для организации".
Если термин #актив# заменить его определением, определение термина #атака# будет выглядеть как "попытка уничтожения, раскрытия, изменения, блокирования, кражи, получения несанкционированного доступа или несанкционированного использования чего-либо, что имеет ценность для организации".
2.1. #Контроль доступа# (access control): обеспечение того, чтобы доступ к #активам# (2.3) был санкционирован и ограничен в соответствии с требованиями коммерческой тайны и безопасности.
2.2. #Подотчетность# (accountability): ответственность субъекта за его действия и решения.
2.3. #Актив# (asset): что-либо, что имеет ценность для организации.
Примечание. Имеются различные типы активов:
- #информация# (2.18);
- программное обеспечение;
- материальные активы, например компьютер;
- услуги;
- люди и их квалификация, навыки и опыт;
- нематериальные активы, такие как репутация и имидж.
Для просмотра документа целиком скачайте его >>>
