ГОСТ Р ИСО/МЭК 27002-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности

Утвержден и введен в действие

Приказом Федерального агентства

по техническому регулированию

и метрологии

от 20 мая 2021 г. N 416-ст

 

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

 

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

 

СВОД НОРМ И ПРАВИЛ ПРИМЕНЕНИЯ МЕР ОБЕСПЕЧЕНИЯ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

Information technology. Security techniques. Code

of practice for information security controls

 

(ISO/IEC 27002:2013, IDT)

 

ГОСТ Р ИСО/МЭК 27002-2021

 

ОКС 35.030

 

Дата введения

30 ноября 2021 года

 

ОГЛАВЛЕНИЕ

 

• Предисловие
• Введение
• 1 Область применения
• 2 Нормативные ссылки
• 3 Термины и определения
• 4 Структура стандарта
• 4.1 Разделы
• 4.2 Категории мер обеспечения информационной безопасности
• 5 Политики информационной безопасности
• 6 Организация деятельности по информационной безопасности
• 6.1 Внутренняя организация деятельности по обеспечению информационной безопасности
• 6.2 Мобильные устройства и дистанционная работа
• 7 Безопасность, связанная с персоналом
• 7.1 При приеме на работу
• 7.2 Во время работы
• 7.3 Увольнение и смена места работы
• 8 Менеджмент активов
• 8.1 Ответственность за активы
• 8.2 Категорирование информации
• 8.3 Обращение с носителями информации
• 9 Управление доступом
• 9.1 Требование бизнеса по управлению доступом
• 9.2 Процесс управления доступом пользователей
• 9.3 Ответственность пользователей
• 9.4 Управление доступом к системам и приложениям
• 10 Криптография
• 11 Физическая безопасность и защита от воздействия окружающей среды
• 11.1 Зоны безопасности
• 11.2 Оборудование
• 12 Безопасность при эксплуатации
• 12.1 Эксплуатационные процедуры и обязанности
• 12.2 Защита от вредоносных программ
• 12.3 Резервное копирование
• 12.4 Регистрация и мониторинг
• 12.5 Контроль программного обеспечения, находящегося в эксплуатации
• 12.6 Менеджмент технических уязвимостей
• 12.7 Особенности аудита информационных систем
• 13 Безопасность коммуникаций
• 13.1 Менеджмент информационной безопасности сетей
• 13.2 Передача информации
• 14 Приобретение, разработка и поддержка систем
• 14.1 Требования к безопасности информационных систем
• 14.2 Безопасность в процессах разработки и поддержки
• 14.3 Тестовые данные
• 15 Взаимоотношения с поставщиками
• 15.1 Информационная безопасность во взаимоотношениях с поставщиками
• 15.2 Управление услугами, предоставляемыми поставщиком
• 16 Менеджмент инцидентов информационной безопасности
• 17 Аспекты информационной безопасности в рамках менеджмента непрерывности деятельности организации
• 17.1 Непрерывность информационной безопасности
• 17.2 Резервирование оборудования
• 18 Соответствие
• 18.1 Соответствие правовым и договорным требованиям
• 18.2 Проверки информационной безопасности
• Приложение ДА. Сведения о соответствии ссылочных международных стандартов национальным стандартам
• Библиография