ГОСТ Р ИСО/МЭК 27000-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология

5.3 Стандарты, устанавливающие требования

 

5.3.1 ИСО/МЭК 27001

ИСО/МЭК 27001 "Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (Information technology - Security techniques - Information security management systems - Requirements)

Область применения. ИСО/МЭК 27001 определяет требования к разработке, внедрению, эксплуатации, мониторингу, анализу, поддержке в рабочем состоянии и улучшению задокументированной СМИБ в контексте общих бизнес-рисков организации. Он устанавливает требования к внедрению мер обеспечения ИБ с учетом задач отдельных организаций или их подразделений. Данный стандарт применим к организациям любого типа, масштаба и сферы деятельности.

Назначение. ИСО/МЭК 27001 содержит нормативные требования к реализации и функционированию СМИБ, в том числе описывает меры обеспечения ИБ, позволяющие контролировать и снижать риски в отношении информационных активов, которые организация стремится защитить. Организации, использующие СМИБ, могут проводить ее аудиторскую проверку и сертификацию соответствия. В целях удовлетворения выявленных требований необходимо выбрать цели и меры обеспечения ИБ из приложения A ИСО/МЭК 27001:2013 в качестве компонента СМИБ-процесса. Цели и меры обеспечения ИБ, приведенные в таблице A.1 ИСО/МЭК 27001:2013, выбраны непосредственно из списка целей и мер обеспечения ИБ, содержащихся в разделах 5 - 18 ИСО/МЭК 27001:2013, и согласованы с ними.

5.3.2 ИСО/МЭК 27006

ИСО/МЭК 27006 "Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности" (Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems)

Область применения. ИСО/МЭК 27006 содержит список требований и рекомендаций для органов, осуществляющих аудит и сертификацию СМИБ на соответствие ИСО/МЭК 27001 (в дополнение к требованиям ИСО/МЭК 17021). Данный стандарт предназначен главным образом для аккредитации органов, осуществляющих сертификацию СМИБ на соответствие ИСО/МЭК 27001.

В ИСО/МЭК 27001 приведены требования к компетентности и надежности, выполнение которых должно продемонстрировать любое лицо, осуществляющее сертификацию СМИБ, а также предназначенные для этого лица рекомендации, подробно разъясняющие данные требования.

Назначение. ИСО/МЭК 27006 дополняет ИСО/МЭК 17021 в части требований для аккредитации органов сертификации, осуществляющих сертификацию соответствия требованиям, установленным в ИСО/МЭК 27001.

5.3.3 ИСО/МЭК 27009

ИСО/МЭК 27009 "Информационные технологии. Методы и средства обеспечения безопасности. Специфическое для отраслей экономики применение ИСО/МЭК 27001. Требования" (Information technology - Security techniques - Sector-specific application of ISO/IEC 27001 - Requirements) <1>

--------------------------------

<1> Заменен на ISO/IEC 27009:2020.

 

Область применения. ИСО/МЭК 27009 устанавливает требования к использованию ИСО/МЭК 27001 в конкретных секторах (определенных отраслях, областях практического применения или в рыночном секторе). В нем даются разъяснения, как расширить ИСО/МЭК 27001 дополнительными требованиями и усовершенствовать требования ИСО/МЭК 27001, а также о включении в приложение A ИСО/МЭК 27001:2013 дополнительных мер и средств (наборов средств) обеспечения ИБ.

Назначение. ИСО/МЭК 27009 обеспечивает соответствие дополнительных или уточненных требований положениям ИСО/МЭК 27001.