ГОСТ Р ИСО/МЭК 27000-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология

5.5 Стандарты, содержащие рекомендации для конкретных отраслей

 

5.5.1 ИСО/МЭК 27010

ИСО/МЭК 27010 "Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности при обмене информацией между отраслями и организациями" (Information technology - Security techniques - Information security management for inter-sector and inter-organizational communications)

Область применения. ИСО/МЭК 27010 содержит рекомендации, которые дополняют рекомендации из семейства стандартов ИСО/МЭК 27000 и относятся к внедрению СМИБ в рамках информационного обмена между сообществами.

Данный стандарт описывает меры обеспечения информационной безопасности и предоставляет рекомендации, касающиеся инициирования, внедрения, поддержки и повышения уровня ИБ в рамках информационного обмена между отраслями и организациями.

Назначение. Данный стандарт применим ко всем формам обмена и совместного использования конфиденциальной информации, как государственной, так и частной, на национальном и международном уровнях, в рамках одной и той же отрасли, или сектора рынка, или между секторами. В частности, он применим к обмену информацией и совместному использованию информации, связанной с предоставлением, обслуживанием и защитой критических объектов инфраструктуры на уровне организации или государства.

5.5.2 ИСО/МЭК 27011

ИСО/МЭК 27011 "Информационные технологии. Методы и средства обеспечения безопасности. Практическое руководство по обеспечению информационной безопасности организаций, предлагающих телекоммуникационные услуги, на основе ИСО/МЭК 27002" (Information technology - Security techniques - Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations)

Область применения. ИСО/МЭК 27011 содержит рекомендации по внедрению мер обеспечения ИБ в телекоммуникационных организациях.

Назначение. ИСО/МЭК 27011 предоставляет телекоммуникационным организациям возможность соблюдать базовые требования к менеджменту ИБ в отношении конфиденциальности, целостности, доступности и иных подлежащих защите аспектов.

5.5.3 ИСО/МЭК 27017

ИСО/МЭК 27017 "Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб" (Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services)

Область применения. В ИСО/МЭК 27017 приведены рекомендации по управлению ИБ, применимые к мерам обеспечения ИБ при использовании облачных служб благодаря:

- предоставлению дополнительных рекомендаций по внедрению соответствующих мер обеспечения ИБ, приведенных в ИСО/МЭК 27002;

- предоставлению дополнительных мер обеспечения ИБ и соответствующих рекомендаций по внедрению, относящихся конкретно к облачным службам.

Назначение. В ИСО/МЭК 27017 приведены рекомендации по реализации мер обеспечения ИБ как для потребителей, так и для поставщиков облачных служб.

5.5.4 ИСО/МЭК 27018

ИСО/МЭК 27018 "Информационные технологии. Методы и средства обеспечения безопасности. Свод правил по защите персональных данных (ПДн) в публичных облаках, используемых для их обработки" (Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)

Область применения. ИСО/МЭК 27018 определяет общие задачи и меры обеспечения ИБ, а также предоставляет рекомендации, связанные с внедрением мер по защите персональных данных (ПДн) в соответствии с принципами конфиденциальности, приведенными в ИСО/МЭК 29100, для публичной облачной среды.

Назначение. Данный стандарт применим к организациям, включая государственные организации и частные компании, правительственные учреждения и некоммерческие организации, которые предоставляют услуги по обработке информации в качестве обработчиков ПДн в облачных средах по контракту с другими организациями. Рекомендации, содержащиеся в этом стандарте, также могут использовать организации, выступающие в качестве операторов персональных данных. Однако на операторов ПДн могут распространяться дополнительные законодательные и нормативные акты и обязательства по защите ПДн, не относящиеся к обработчикам ПДн, они в данном стандарте не рассматриваются.

5.5.5 ИСО/МЭК 27019

ИСО/МЭК 27019 "Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности энергосистем общего пользования" (Information technology - Security techniques - Information security controls for the energy utility industry)

Область применения. ИСО/МЭК 27019 содержит рекомендации, основанные на ИСО/МЭК 27002:2013, который применим к системам управления технологическими процессами, используемыми в энергетике для контроля и мониторинга производства, передачи, хранения и распределения электроэнергии, газа, нефти и тепловой энергии, а также для управления соответствующими вспомогательными процессами. В частности, к ним относится использование:

- централизованного и распределенного управления технологическими процессами, технологии контроля и автоматизации, а также информационных систем, применяемых для их эксплуатации, таких как устройства программирования и параметризации;

- цифровых контроллеров и компонентов автоматизации, таких как устройства управления и периферийные устройства или программируемые логические контроллеры (ПЛК), включая цифровые датчики и приводные элементы;

- любых дополнительных поддерживающих информационных систем, применяемых для управления технологическими процессами, например, для выполнения дополнительных задач визуализации данных, а также для управления, мониторинга, архивирования данных, ведения журналов учета, составления отчетов и документирования;

- коммуникационной технологии в области управления технологическими процессами, например, сетей, телеметрии, телекоммуникационных приложений и технологии дистанционного управления;

- компонентов развитой измерительной инфраструктуры (Advanced Metering Infrastructure, AMI), например, интеллектуальных счетчиков;

- измерительных устройств, например, для определения уровня выбросов;

- цифровых систем защиты и безопасности, например, защитных реле, ПЛК безопасности, аварийных механизмов управления;

- систем управления энергоснабжением, например, систем распределенных энергетических ресурсов (РЭР), инфраструктуры электрозарядки, в частных домах, жилых зданиях или промышленных установках потребителей;

- распределенных компонентов интеллектуальных сетей, например, в энергетических сетях, в частных домах, жилых зданиях или промышленных установках потребителей;

- любого программного обеспечения, встроенного программного обеспечения и приложений, установленных на вышеуказанных системах, например, приложений систем управления дистрибуцией (distribution management system, DMS) или систем управления отключениями (outage management system, OMS);

- любых помещений, в которых размещено вышеуказанное оборудование и системы;

- систем дистанционного обслуживания для вышеупомянутых систем.

ИСО/МЭК 27019 не относится к области контроля технологических процессов на ядерных установках. Данная область подпадает под действие МЭК 62645.

ИСО/МЭК 27019 также включает требование по проведению процессов оценки и обработки рисков, описанных в ИСО/МЭК 27001:2013, в соответствии с инструкциями, представленными в данном стандарте для конкретного сектора энергетического хозяйства.

Назначение. В дополнение к целям и мерам обеспечения ИБ, изложенным в ИСО/МЭК 27002, данный стандарт содержит рекомендации для СМИБ, используемых энергетическими компаниями и поставщиками энергоресурсов и учитывающих дополнительные специфические требования.

5.5.6 ИСО 27799

ИСО 27799 "Информатизация здоровья. Менеджмент защиты информации в здравоохранении по ИСО/МЭК 27002" (Health informatics - Information security management in health using ISO/IEC 27002)

Область применения. В данном стандарте приводятся рекомендации в отношении организационных стандартов СМИБ и практик управления ИБ, в том числе по выбору, внедрению и контролю мер обеспечения ИБ с учетом рисков ИБ организации.

ИСО 27799 предоставляет рекомендации по внедрению мер обеспечения ИБ, приведенные в ИСО/МЭК 27002, и при необходимости дополняет их с целью эффективного управления ИБ в сфере здравоохранения.

Назначение. ИСО 27799 предоставляет организациям здравоохранения рекомендации на основе ИСО/МЭК 27002 с учетом специфики данной отрасли и дополняет их требованиями, изложенными в ИСО/МЭК 27001:2013, приложение A.