Утвержден и введен в действие
Приказом Федерального агентства
по техническому регулированию
и метрологии
от 15 ноября 2012 г. N 812-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ
МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. РУКОВОДСТВО
ПО РЕАЛИЗАЦИИ СИСТЕМЫ МЕНЕДЖМЕНТА
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Information technology. Security techniques. Information
security management systems. Implementation guidance of
information security management system
ISO/IEC 27003:2010
Information technology - Security techniques - Information
security management systems implementation guidance
(IDT)
ГОСТ Р ИСО/МЭК 27003-2012
ОКС 35.040
Дата введения
1 декабря 2013 года
Предисловие
1. Подготовлен Федеральным бюджетным учреждением "Консультационно-внедренческая фирма в области международной стандартизации и сертификации - "Фирма "Интерстандарт" (ФБУ "КВФ "Интерстандарт") совместно с Евро-Азиатской ассоциацией производителей товаров и услуг в области безопасности (Ассоциация ЕВРААС) и ООО "Научно-испытательный институт систем обеспечения комплексной безопасности" (ООО "НИИ СОКБ") на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4.
2. Внесен Техническим комитетом по стандартизации ТК 362 "Защита информации".
3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 15 ноября 2012 г. N 812-ст.
4. Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27003:2010 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности" (ISO/IEC 27003:2010 "Information technology - Security techniques - Information security management systems implementation guidance").
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном Приложении ДА.
5. Введен впервые.
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru).
1. Область применения
В настоящем стандарте рассматриваются важнейшие аспекты, необходимые для успешной разработки и внедрения системы менеджмента информационной безопасности (СМИБ) в соответствии со стандартом ISO/IEC 27001:2005. В нем описывается процесс определения и разработки СМИБ от запуска до составления планов внедрения. В нем описывается процесс получения одобрения руководством внедрения СМИБ, определяется проект внедрения СМИБ (упоминается в настоящем стандарте как проект СМИБ) и представлены рекомендации по планированию проекта СМИБ, в результате которого получается окончательный план внедрения СМИБ.
Настоящий стандарт предназначен для использования организациями, применяющими СМИБ. Он применяется ко всем типам организаций (например, коммерческим предприятиям, правительственным органам, некоммерческим организациям) любых размеров. Сложность структуры и риски каждой организации уникальны, и на внедрение СМИБ будут влиять ее особые требования. Небольшие организации могут посчитать, что действия, указанные в настоящем стандарте, применимы к ним и могут быть упрощены. Крупным организациям или организациям со сложной структурой для эффективного выполнения действий, указанных в настоящем стандарте, может потребоваться многоуровневая система организации или управления.
Однако в обоих случаях соответствующие действия можно планировать, применяя настоящий стандарт.
Настоящий стандарт содержит рекомендации и разъяснения; в нем не указано никаких требований. Настоящий стандарт предназначен для использования в сочетании с ISO/IEC 27001:2005 и ISO/IEC 27002:2005, но не предназначен для изменения или сокращения требований, указанных в ISO/IEC 27001:2005, или рекомендаций, содержащихся в ISO/IEC 27001:2005.
Предъявление требований на соответствие настоящему стандарту не применяется.
2. Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты (для недатированных ссылок следует использовать только последнее издание указанного стандарта, включая поправки).
ISO/IEC 27000:2009 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология (ISO/IEC 27000:2009, Information technology - Security techniques - Information security management systems - Overview and vocabulary)
ISO/IEC 27001:2005 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems - Requirements).
3. Термины и определения
В настоящем стандарте применены термины и определения по ISO/IEC 27000:2009, ISO/IEC 27001:2005, а также следующий термин с соответствующим определением:
3.1. проект СМИБ (ISMS project): Структурированные действия, предпринимаемые организацией для внедрения системы управления информационной безопасностью.
4. Структура настоящего стандарта
4.1. Общая структура раздела настоящего стандарта
Внедрение системы менеджмента информационной безопасности (СМИБ) является важным видом деятельности и обычно осуществляется в организации как проект. В настоящем стандарте объясняется внедрение СМИБ с подробным описанием запуска, планирования и определения проекта. Процесс планирования конечного внедрения СМИБ включает пять фаз, и каждая фаза представлена в отдельном пункте. Все разделы имеют одинаковую структуру, описываемую ниже. Эти пять фаз следующие:
a) получение одобрения руководства для запуска проекта СМИБ (раздел 5);
b) определения области действия и политики СМИБ (раздел 6);
c) проведение анализа организации (раздел 7);
d) проведение анализа рисков и планирование обработки рисков (раздел 8);
e) разработка СМИБ (раздел 9).
На рисунке 1 представлены пять фаз планирования проекта СМИБ с указанием стандартов ISO/IEC и основных выходных документов.
Рисунок 1. Фазы проекта СМИБ
Дополнительная информация приведена в приложениях:
Приложение A. Описание контрольного перечня.
Приложение B. Роли и сферы ответственности в области информационной безопасности.
Приложение C. Информация по внутреннему аудиту.
Приложение D. Структура политики.
Приложение E. Мониторинг и измерения.
4.2. Общая структура раздела настоящего стандарта
Каждый раздел содержит:
a) цель или цели (начиная с того, чего необходимо достичь), указанные в начале каждого раздела в текстовом окне,
или
b) действие или действия, необходимые для достижения цели или целей данной фазы.
Каждое действие описывается в соответствующем пункте.
Описания действий в каждом подпункте структурированы следующим образом:
Действие
Действие определяет, что необходимо сделать для выполнения данного действия, чтобы достичь всех целей или части целей данной фазы.
Исходные данные
В исходных данных представлено описание отправной точки, например наличие документированных решений или выходных данных других действий, описываемых в настоящем стандарте. Исходные данные могут упоминаться как полный набор исходных данных в начале соответствующего пункта или конкретная информация по какому-либо действию, которая может добавляться после ссылки на соответствующий пункт.
Рекомендации
В рекомендациях содержится подробная информация, позволяющая выполнить данное действие. Некоторые рекомендации могут не соответствовать для применения во всех случаях, и другие способы достижения результата могут быть более оптимальными.
Выходные данные
В выходных данных описывается результат(ы) или документ(ы) для сдачи, получаемые после выполнения действия. Выходные данные являются одинаковыми независимо от размера организации и области действия СМИБ.
Дополнительная информация
В разделе дополнительной информации содержится дополнительная информация, которая может помочь в выполнении действия, например ссылки на другие стандарты.
Примечание. Фазы и действия, описываемые в данном стандарте, включают предлагаемую последовательность выполнения действий на основе зависимостей, определяемых на основе описаний "исходных данных" и "выходных данных" для каждого действия. Однако в зависимости от множества различных факторов (например, эффективности существующей системы управления, понимания важности информационной безопасности, причин внедрения СМИБ) организация может выбирать в любом порядке любые действия, необходимые для подготовки к учреждению и внедрению СМИБ.
4.3. Схемы
Проект часто изображается в графическом виде или в виде схем, показывающих выполняемые действия и их результаты.
Для просмотра документа целиком скачайте его >>>
