ISO/IEC 27001

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC27 Объединённого технического комитета JTC 1. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).

Цель и назначение стандарта

[править | править код]

Назначение стандарта

[править | править код]

В стандарте ISO/IEC 27001 (ISO 27001) собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).

Цель стандарта

[править | править код]

Цель СМИБ — выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Основные понятия

[править | править код]

Информационная безопасность — сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.

  • Конфиденциальность — обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).
  • Целостность — обеспечение точности и полноты информации, а также методов её обработки.
  • Доступность — обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Само понятие «защиты информации» трактуется международным стандартом как обеспечение конфиденциальности, целостности и доступности информации. Основа стандарта ИСО 27001 — система управления рисками, связанными с информацией. Система управления рисками позволяет получать ответы на следующие вопросы:

  • на каком направлении информационной безопасности требуется сосредоточить внимание;
  • сколько времени и средств можно потратить на данное техническое решение для защиты информации.

Краткая история развития серии стандартов по информационной безопасности

[править | править код]
Развитие до ИСО 27001:2013
Развитие до ИСО 27002:2013

Первым стандартом по информационной безопасности, является принятый на государственном уровне в 1995 году и разработанный Британским институтом стандартов BS 7799 — Part 1. В 1999 году эта версия стандарта была переработана и передана в Международную Организацию по Сертификации, а в 2000 году утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005. В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 Part 2 Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью). Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».[1]

Основные принципы и подходы стандарта ISO/IEC 27001:2013

[править | править код]

Стандарт ISO 27001 гармонизирован со стандартами систем менеджмента качества ISO 9001:2000 и ISO 14001:2004 и базируется на их основных принципах и процессном подходе. Более того, обязательные процедуры стандарта ISO 9001 требуются и стандартом ISO 27001. Структура документации по требованиям ISO 27001 аналогична структуре по требованиям ISO 9001. Большая часть документации, требуемая по ISO 27001, уже могла быть разработана, и могла использоваться в рамках ISO 9001. Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO 9001 или ISO 14001, то предпочтительно обеспечивать выполнение требования стандарта ISO 27001 в рамках уже существующих систем.[2] Также основными принципами стандарта ISO 27001 являются:

  • Конфиденциальность информации
  • Целостность информации
  • Доступность информации

Структура Стандарта ISO/IEC 27001:2005

[править | править код]
  • Предисловие
  • Введение
  • Область приложения
  • Нормативные ссылки
  • Термины и определения
  • Система менеджмента защиты информации
  • Ответственность руководства
  • Внутренние аудиты СМИБ
  • Анализ СМИБ со стороны руководства
  • Улучшение СМИБ
  • Приложение А (обязательное) цели управления и средства управления
  • Приложение В (информационное) принципы OECD и этот международный стандарт
  • Приложение С (информационное) соответствие между ISO 9001:2000, ISO 14001:2004 и этим международным стандартом
  • Библиография

Последняя версия стандарта ISO/IEC 27001:2013

[править | править код]

В 2013 году Международной организацией по сертификации была разработана и принята новая версия стандарта ISO/IEC 27001:2013. Изменения коснулись как структуры стандарта, так и требований.

Изменения в структуре стандарта ISO/IEC 27001:2013

[править | править код]

Структура основных требований стандарта ISO/IEC 27001:2013 приведена в соответствии с Директивами ISO/IEC (то есть все стандарты международной организации будут иметь идентичную структуру разделов). На русский язык данная версия стандарта ещё не переведена, но английский вариант текстового содержания нового стандарта таков:

  • Introduction
  • Scope
  • Normative references
  • Terms and definitions
  • Context of organization
  • Leadership
  • Planning
  • Support
  • Operation
  • Performance evaluation
  • Improvement

Также произошли изменения в структуре Приложения «А» стандарта. Появились три новых раздела:

  • «A.10 Криптография»,
  • «A.13 Безопасность коммуникаций»,
  • «A.15 Взаимоотношения с поставщиками».

Раздел «А.10 Криптография» не является новым, его требования повторяют отдельные пункты раздела А.12 старой версии стандарта. Разделы «A.13 Безопасность коммуникаций» и «A.15 Взаимоотношения с поставщиками» собрали отдельные пункты по разделам Приложения «А» версии 2005, а также включили некоторые новые требования.

Изменения в требованиях стандарта ISO/IEC 27001:2013

[править | править код]

Изменения в основной части новой версии стандарта ISO/IEC 27001:2013:

  • четко сформулированы требования к целям системы менеджмента информационной безопасности.
  • упрощены требования к текстовому описанию рисков
  • исключена обязательность выпуска «Положения о принятии остаточных рисков» со стороны высшего руководства.
  • установлена четкая связка «Положения о применимости — SoA».
  • введено понятие и требование по определению «Владельца риска» вместо «Владельца актива».
  • четко сформулированы и дополнены требования по мониторингу СМИБ.
  • упрощены требования к управлению документацией и записями системы менеджмента информационной безопасности.
  • четко определены требования по коммуникациям в рамках системы менеджмента информационной безопасности.

Наиболее существенным изменением в основной части является требование по определению «Владельцев рисков».

Новые требования в рамках Приложения «А» ISO/IEC 27001:2013:

  • A.6.1.4 Information security in project management
  • A.12.6.2 Restrictions on software installation
  • A.14.2.1 Secure development policy
  • A.14.2.5 System development procedures
  • A.14.2.6 Secure development environment
  • A.14.2.8 System security testing
  • A.15.1.1 Information security policy for supplier relationships
  • A.15.1.3 Information and communication technology supply chain
  • A.16.1.4 Assessment and decision of information security events
  • A.17.1.2 Implementing information security continuity
  • A.17.2.1 Availability of information processing facilities

В приложении «А» количество требований (контролей) уменьшилось со 133 до 113. Приложение «А» ISO/IEC 27001 содержит перечень целей и средств управления, которые совпадают с аналогичными целями и средствами управления в ISO 27002, но не столь детализированы. Приложение «B» содержит таблицу, в которой показано соответствие процедур СМИБ и этапов PDCA принципам Организации по экономическому сотрудничеству и развитию (OECD). Если компания уже внедрила ISO 9001 или ISO 14001, то ей понадобится Приложение «С», которое содержит таблицу соответствия требований стандартов ISO 9001, 14001 и 27001.[3]

Сертификация

[править | править код]

Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех стадий:

  • стадия 1 — изучение аудитором ключевых документов системы менеджмента информационной безопасности — положение о применимости (SoA), план обработки рисков (RTP), и др. Может выполняться как на территории организации так и путём высылки этих документов внешнему аудитору;
  • стадия 2 — детальный, глубокий аудит включая тестирование внедренных мер и оценка их эффективности. Включает полное изучение документов, которые требует стандарт;
  • стадия 3 — выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.

Процедура сертификации системы менеджмента по любому из международных стандартов или их комбинации подразделяется на 4 этапа:

Основные этапы и процедура сертификации систем менеджмента

[править | править код]
  • 1 этап. Подготовка к сертификации;
  • 2 этап. Аудит 1-й ступени (проверка готовности к сертификации);
  • 3 этап. Аудит 2-й ступени (сертификационный аудит);
  • 4-й этап. Выдача сертификата и надзор.

Примечания

[править | править код]
  1. ХабраХабр — Стандарт BS 7799 — Часть 1
  2. Авторский блог Дорлова
  3. Новый ИСО 27001