ГОСТ Р ИСО/МЭК 27003-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

Введение

 

Настоящий стандарт содержит руководство по реализации требований к системе менеджмента информационной безопасности (СМИБ), приведенных в ИСО/МЭК 27001, и предоставляет рекомендации (используя вспомогательный глагол "должен"), возможности (используя вспомогательный глагол "следует") и допустимое действие (используя вспомогательный глагол "может") в отношении этих требований. Настоящий стандарт не ставит целью предоставление общего руководства по всем аспектам информационной безопасности (ИБ) <1>.

--------------------------------

<1> Далее по тексту введено сокращение ИБ.

 

Разделы 4 - 10 настоящего стандарта отражают структуру ИСО/МЭК 27001.

Настоящий стандарт не содержит новых требований к СМИБ и связанных с ней терминов и определений. Организации должны обращаться за новыми требованиями и определениями к ИСО/МЭК 27001 и ИСО/МЭК 27000. Организации, внедрившие СМИБ, не обязаны соблюдать указания, содержащиеся в настоящем стандарте.

В СМИБ важны следующие этапы:

- понимание потребностей организации и необходимости установления политики и целей ИБ;

- оценка рисков организации, связанных с ИБ;

- внедрение и функционирование процессов ИБ, мер по обеспечению ИБ и других мер по обработке рисков;

- мониторинг и анализ эффективности и результативности СМИБ;

- практика постоянного улучшения.

СМИБ, как и любая другая система менеджмента, включает следующие ключевые компоненты:

a) политика;

b) лица с определенными обязанностями;

c) процессы управления, связанные с:

1) установлением политики;

2) обеспечением осведомленности и компетентности;

3) планированием;

4) реализацией;

5) эксплуатацией;

6) оценкой эффективности;

7) управленческим анализом;

8) улучшением;

d) документированная информация.

СМИБ имеет дополнительные ключевые компоненты, такие как:

e) оценка рисков ИБ;

f) обработка рисков ИБ, включая определение и реализацию мер обеспечения ИБ.

Настоящий стандарт носит общий характер и предназначен для применения во всех организациях, независимо от их типа, размера или характера. Организация определяет, какая часть этого руководства применяется к ней в соответствии с конкретным контекстом организации (см. ИСО/МЭК 27001, раздел 4).

Например, некоторые рекомендации могут быть применимы для крупных организаций, в то время как для небольших организаций (например, с числом сотрудников менее 10) эти рекомендации могут быть ненужными и неуместными <2>.

--------------------------------

<2> Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.

 

Описания разделов 4 - 10 структурированы следующим образом:

- необходимые мероприятия: представлены ключевые мероприятия, требуемые в соответствующем подразделе ИСО/МЭК 27001;

- пояснение: объяснено, что подразумевают требования ИСО/МЭК 27001;

- руководство: предоставлена более подробная или вспомогательная информация для реализации необходимых мероприятий, включая примеры реализации;

- дополнительная информация: предоставлена дополнительная информация, которую следует рассмотреть.

ИСО/МЭК 27003, ИСО/МЭК 27004 и ИСО/МЭК 27005 образуют набор документов, поддерживающих и обеспечивающих руководство по ИСО/МЭК 27001. Среди этих документов ИСО/МЭК 27003 является базовым и всеохватывающим документом, который содержит руководство по всем требованиям ИСО/МЭК 27001, но не содержит подробных описаний, касающихся "мониторинга, измерения, анализа и оценки" и управления рисками ИБ. ИСО/МЭК 27004 и ИСО/МЭК 27005 фокусируются на конкретном содержании и дают более подробные руководства по "мониторингу, измерению, анализу и оценке" и управлению рисками ИБ.

В ИСО/МЭК 27001 существует несколько ссылок на документированную информацию. Тем не менее организация может сохранить дополнительную документированную информацию, которую она определяет как необходимую для эффективности своей системы менеджмента в соответствии с пунктом 7.5.1, перечисление b), ИСО/МЭК 27001. В этих случаях в настоящем стандарте используется фраза "Документированная информация об этих мероприятиях и их результатах является обязательной только в той форме и в той мере, в которой организация считает это необходимым для эффективности своей системы менеджмента (см. ИСО/МЭК 27001, 7.5.1, перечисление b))".