ГОСТ Р ИСО/МЭК 27000-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология

5.4 Стандарты, содержащие общие рекомендации

 

5.4.1 ИСО/МЭК 27002

ИСО/МЭК 27002 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности" (Information technology - Security techniques - Code of practice for information security controls)

Область применения. ИСО/МЭК 27002 содержит перечень общепринятых мер обеспечения ИБ и передовые практики реализации соответствующих мер, которые можно использовать в качестве рекомендаций по выбору и внедрению мер обеспечения ИБ.

Назначение. ИСО/МЭК 27002 предоставляет рекомендации по внедрению мер обеспечения ИБ. В частности, в разделах 5 - 18 приведены специальные рекомендации, а также инструкции по применению передовых практик для поддержки мер обеспечения ИБ, указанных в разделах A.5 - A.18 ИСО/МЭК 27001.

5.4.2 ИСО/МЭК 27003

ИСО/МЭК 27003 "Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство" (Information technology - Security techniques - Information security management systems - Guidance)

Область применения. ИСО/МЭК 27003 содержит разъяснения и практические рекомендации по внедрению ИСО/МЭК 27001.

Назначение. ИСО/МЭК 27003 содержит описание процессного подхода к внедрению СМИБ в соответствии с ИСО/МЭК 27001.

5.4.3 ИСО/МЭК 27004

ИСО/МЭК 27004 "Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание" (Information technology - Security techniques - Information security management - Monitoring, measurement, analysis and evaluation)

Область применения. ИСО/МЭК 27004 содержит рекомендации, призванные помочь организациям в оценке деятельности по обеспечению ИБ и эффективности СМИБ в целях выполнения требований ИСО/МЭК 27001:2013, подраздел 9.1. В нем рассматриваются:

a) мониторинг и оценка действенности информационной безопасности;

b) мониторинг и оценка эффективности системы менеджмента информационной безопасности (СМИБ), включая ее процессы и средства контроля и управления;

c) анализ и оценка результатов мониторинга и оценки защищенности.

Назначение. ИСО/МЭК 27004 предоставляет систему измерений, позволяющую оценивать эффективность СМИБ в соответствии с ИСО/МЭК 27001.

5.4.4 ИСО/МЭК 27005

ИСО/МЭК 27005 "Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности" (Information technology - Security techniques - Information security risk management)

Область применения. ИСО/МЭК 27005 содержит рекомендации по менеджменту рисков ИБ. Подход, принятый в данном стандарте, соответствует общим принципам, изложенным в ИСО/МЭК 27001.

Назначение. ИСО/МЭК 27005 содержит рекомендации по внедрению процессного подхода к менеджменту рисков, позволяющего обеспечить полное выполнение требований ИСО/МЭК 27001, относящихся к менеджменту рисков ИБ.

5.4.5 ИСО/МЭК 27007

ИСО/МЭК 27007 "Информационные технологии. Методы и средства обеспечения безопасности. Руководство по аудиту систем менеджмента информационной безопасности" (Information technology - Security techniques - Guidelines for information security management systems auditing) <1>

--------------------------------

<1> Заменен на ISO/IEC 27007:2020.

 

Область применения. ИСО/МЭК 27007 содержит рекомендации по проведению аудитов СМИБ и оценке компетентности аудиторов СМИБ, дополняющие рекомендации, приведенные в ИСО 19011, который относится к системам менеджмента в целом.

Назначение. В ИСО/МЭК 27007 приведены рекомендации для организаций, которым необходимо проводить внутренние или внешние аудиты СМИБ или управлять программой проведения аудита СМИБ в соответствии с требованиями ИСО/МЭК 27001.

5.4.6 ИСО/МЭК ТО 27008

ИСО/МЭК ТО 27008 "Информационные технологии. Методы и средства обеспечения безопасности. Рекомендации для аудиторов по оценке мер обеспечения информационной безопасности" (Information technology - Security techniques - Guidelines for auditors on information security controls) <2>

--------------------------------

<2> Заменен на ISO/IEC TS 27008:2019.

 

Область применения. В ИСО/МЭК ТО 27008 содержатся рекомендации по проверке внедрения и оценке мер обеспечения информационной безопасности, включая проверку технического соответствия средств управления информационных систем, в соответствии с используемыми в организации стандартами СМИБ.

Назначение. В настоящем техническом отчете основное внимание уделяется проверке мер обеспечения ИБ, включая проверку технического соответствия в контексте внедренного организацией стандарта СМИБ. В данном документе отсутствуют конкретные указания по проверке соответствия, связанной с измерением, оценкой рисков или аудитом СМИБ, как указано в ИСО/МЭК 27004, ИСО/МЭК 27005 или ИСО/МЭК 27007 соответственно. Технический отчет не предназначен для аудитов систем менеджмента.

5.4.7 ИСО/МЭК 27013

ИСО/МЭК 27013 "Информационные технологии. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1" (Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1).

Область применения. ИСО/МЭК 27013 содержит рекомендации по комплексному внедрению ИСО/МЭК 27001 и ИСО/МЭК 20000-1 в организациях, которые намереваются:

a) внедрить ИСО/МЭК 27001 после внедрения ИСО/МЭК 20000-1 или наоборот;

b) совместно использовать ИСО/МЭК 27001 и ИСО/МЭК 20000-1;

c) интегрировать существующие системы менеджмента, основанные на ИСО/МЭК 27001 и ИСО/МЭК 20000-1.

Основное внимание в данном стандарте уделено исключительно комплексной реализации СМИБ, как указано в ИСО/МЭК 27001, и системы управления услугами (СУУ), как указано в ИСО/МЭК 20000-1.

Кроме того, на практике ИСО/МЭК 27001 и ИСО/МЭК 20000-1 могут быть интегрированы с другими стандартами системы менеджмента, например, с ИСО 9001 и ИСО 14001.

Назначение. Целью данного стандарта является предоставление организациям подобного разъяснения характеристик, сходства и различий ИСО/МЭК 27001 и ИСО/МЭК 20000-1, чтобы помочь спланировать интегрированную систему менеджмента, соответствующую каждому их этих стандартов.

5.4.8 ИСО/МЭК 27014

ИСО/МЭК 27014 "Информационные технологии. Методы и средства обеспечения безопасности. Руководство деятельностью по обеспечению информационной безопасности" (Information technology - Security techniques - Governance of information security) <1>

--------------------------------

<1> Заменен на ISO/IEC 27014:2020.

 

Область применения. В ИСО/МЭК 27014 представлены рекомендации относительно принципов и процессов управления ИБ, с помощью которых организации смогут оценивать, руководить и контролировать сферу менеджмента ИБ.

Назначение. Обеспечение ИБ становится важнейшей задачей для организаций. Не только усиление нормативных требований, но и несовершенство мер обеспечения ИБ могут непосредственно влиять на репутацию организации. Поэтому руководящим органам в рамках своих обязанностей все чаще приходится осуществлять надзор за ИБ, чтобы помочь организациям в достижении целей в этой области.

5.4.9 ИСО/МЭК ТО 27016

ИСО/МЭК ТО 27016 "Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Организационная экономика" (Information technology - Security techniques - Information security management - Organizational economics)

Область применения. В данном техническом отчете излагается методология, позволяющая организациям лучше понять, каким образом более точно оценивать свои информационные активы, анализировать потенциальные риски для этих активов, определять важность мер обеспечения ИБ и оптимальный уровень ресурсов, используемых для обеспечения безопасности этих информационных активов.

Назначение. Данный технический отчет дополняет семейство стандартов СМИБ, охватывая экономический аспект защиты информационных активов организации в контексте более широкой социальной среды, в которой действует организация, и предоставляет рекомендации по применению организационной экономики ИБ посредством соответствующих моделей и практических примеров.

5.4.10 ИСО/МЭК 27021

ИСО/МЭК 27021 "Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетентности специалистов по системам менеджмента информационной безопасности" (Information technology - Security techniques - Competence requirements for information security management systems professionals)

Область применения. ИСО/МЭК 27021 определяет требования к компетентности специалистов в области СМИБ, руководящих созданием, внедрением, поддержкой и постоянным совершенствованием одного или нескольких процессов СМИБ, соответствующей ИСО/МЭК 27001:2013, либо участвующих в подобной деятельности.

Назначение. Данный стандарт предназначен для использования:

a) лицами, которые стремятся продемонстрировать свою компетентность в качестве специалистов по СМИБ или хотят развить навыки, необходимые для работы в этой области, или желают углубить свои знания;

b) организациями, заинтересованными в поиске потенциальных квалифицированных кандидатов на должности, связанные со СМИБ, для определения компетентности, необходимой для этих должностей;

c) органами по разработке процедур сертификации специалистов в области СМИБ, которым необходим свод знаний для формирования источников экспертных знаний;

d) организациями в сфере образования и профессиональной подготовки, такими как университеты и профессиональные учебные заведения, с целью приведения учебных планов и курсов в соответствие с требованиями к компетентности специалистов в области СМИБ.