ДСТУ ISO/IEC 27001:2010 Информационные технологии. Методы защиты системы управления информационной безопасностью. Требования (ISO/IEC 27001:2005, IDТ)

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Інформаційні технології
МЕТОДИ ЗАХИСТУ СИСТЕМИ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ

Вимоги (ISO/IEC 27001:2005, IDТ)
ДСТУ ISO/IEC 27001:2010

Відповідає офіційному тексту

Київ
ДЕРЖСПОЖИВСТАНДАРТ УКРАЇНИ
2014

ПЕРЕДМОВА

1 ВНЕСЕНО Науково-дослідний інститут системних досліджень НАН України, Технічний комітет стандартизації «Інформаційні технології» (ТК 20)

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: С. Морозов (науковий керівник), В. Орлова, О. Поліщук

2 НАДАНО ЧИННОСТІ: наказ Держспоживстандарту України від 28 грудня 2010 р. № 631 з 2012-07-01 До національного стандарту прийнято поправку, опубліковану в Інформаційному покажчику «Стандарті» № 11-2013

3 Національний стандарт відповідає ISO/IEC 27001:2005 Information technology — Security techniques — Information security management systems — Requirements (Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги)

Ступінь відповідності — ідентичний (IDT)

Переклад англійської (en)

4 УВЕДЕНО ВПЕРШЕ

ЗМІСТ

Національний вступ

0 Вступ до ISO/IEC 27001:2005

0.1 Загальні положення

0.2 Процесійний підхід

0.3 Сумісність з іншими системами управління

1 Сфера застосування

1.1 Загальні положення

1.2 Застосування

2 Нормативні посилання

3 Терміни та визначення понять

4 Система управління інформаційною безпекою

4.1 Загальні вимоги

4.2 Розроблення та управління СУІБ

4.2.1 Розроблення СУІБ

4.2.2 Впровадження та функціювання СУІБ

4.2.3 Моніторинг та аналізування СУІБ

4.2.4 Підтримка та поліпшення СУІБ

4.3 Вимоги до документації

4.3.1 Загальні положення

4.3.2 Управління документами

4.3.3 Управління записами

5  Відповідальність керівництва

5.1 Зобов’язання керівництва

5.2 Управління ресурсами

5.2.1 Забезпечення ресурсами

5.2.2 Навчання, обізнаність і компетентність

6  Внутрішні аудити СУІБ

7 Аналізування СУІБ з боку керівництва

7.1 Загальні положення

7.2 Вхідні дані для перегляду

7.3 Вихідні дані для перегляду

8 Поліпшення СУІБ

8.1 Постійне поліпшення

8.2 Коригувальні дії

8.3 Запобіжні дії

Додаток А Цілі та заходи управління

Додаток В Принципи Організації економічної співпраці та розвитку і цей стандарт

Додаток С Порівняння структури цього стандарту зі структурами міжнародних стандартів ISO 9001:2000 та ISO 14001:2004

Бібліографія

НАЦІОНАЛЬНИЙ ВСТУП

Цей стандарт є тотожний переклад ISO/IEC 27001:2005 Information technology — Security techniques -- Information security management systems — Requirements (Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги).

Технічний комітет, відповідальний за цей стандарт, — ТК 20 «Інформаційні технології».

Цей стандарт можуть застосовувати організації усіх типів (комерційні підприємства, державні установи, некомерційні організації), які мають на меті розроблення та впровадження системи управління інформаційною безпекою (СУІБ) в організації.

До стандарту внесено такі редакційні зміни:

— слона «цей міжнародний стандарт» замінено на «цей стандарт»;

— у розділі 2 та «Бібліографії» наведено «Національні пояснення», виділені рамкою;

— структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», пер иу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;

— під час перекладу оригіналу ISO/IEC 27001:2005 перед розділом 1 вилучено довідковий абзац «Важливо».

В Україні чинні стандарти, згармонізовані методом тотожного перекладу, посилання на які є в оригінал і тексту ISO/IEC 27001:2005, а саме:

ДСТУ ІSО 9001:2009 Система управління якістю. Вимоги (ISO 9001:2008, IDТ)

ДСТУ ІSО 9004-2001 Система управління якістю. Настанови щодо поліпшення діяльності (ISO 9004:2000, IDТ)

ДСТУ ІSО/ІЕС TR 13335-1:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 1. Концепції та моделі безпеки IT (ISO/IEC TR 13335-1:1996, IDT);

ДСТУ ISO/IEC TR 13335-3:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 3. Методи керування захистом IT (ISO/IEC TR 13335-3:1998, IDT);

ДСТУ ІSО/IEC TR 13335-4:2005 Інформаційні технології. Настанови з управління безпекою інформаційних технологій. Частина 4. Вибирання засобів захисту (ISO/IEC TR 13335-4:2000, IDТ);

ДСТУ ІSO 19011:2003 Настанови щодо здійснення аудитів систем управління якістю і (або) екологічного управління (ISO 19011:2002, IDТ);

ДСТУ ІSО 14001:2006 Системи екологічного керування. Вимоги та настанови щодо застосування (ISO 14001:2004, IDТ).

Решту стандартів, на які є посилання в цьому тексті, в Україні не впроваджено і чинних документів замість них немає.

ВСТУП до ISO/IEC 27001:2005

0.1 Загальні положення

Цей стандарт підготовлено як модель для розроблення, впровадження, експлуатування, забезпечена функціювання, моніторингу, аналізу, підтримування та поліпшення системи управління інформаційною безпекою (СУІБ). Прийняття СУІБ є стратегічним рішенням організації. На проектуванні! та впровадження СУІБ організації впливають її потреби, цілі, вимоги щодо безпеки, застосовувані процеси, а також масштаб діяльності та структура організації. Передбачається, що зазначені вище чинники, а також системи, що їх підтримують, будуть змінюватися з часом. Передбачено також, що СУІБ буде змінюватися пропорційно потребам організації, наприклад: для простої ситуації буде потрібно просте рішення реалізації СУІБ.

Положення цього стандарту можуть бути використані як усередині організації, так і зовнішніми організаціями для оцінювання відповідності.

0.2 Процесійний підхід

Цей стандарт передбачає використання процесійного підходу для розроблення, впровадження, забезпечення функціювання, моніторингу, аналізування, підтримування та поліпшення СУІБ організації.

Для ефективного функціювання організація повинна визначити численні взаємопов’язані види діяльності і управляти ними. Будь-яку діяльність, що використовує ресурси та керовану для перетворення входів у виходи, можна розглядати як процес. Часто вихід одного процесу безпосередньо формує вхід для наступного процесу.

Під «прецесійним підходом» розуміють застосування в межах організації системи процесів разом з їх визначенням та взаємодією, а також управління ними.

Згідно із запропонованим цим стандартом процесійним підходом стосовно управління інформаційною безпекою особливе значення для користувачів мають такі чинники:

a) розуміння вимог до інформаційної безпеки організації та необхідності встановлення політики та цілей інформаційної безпеки;

b) впровадження та застосування заходів управління ризиками інформаційної безпеки серед загальних бізнес-ризиків організації;

c) моніторинг і перевірка продуктивності та ефективності СУІБ;

d) безперервне удосконалення СУІБ, засноване на результатах об’єктивних вимірювань.

У цьому стандарті подано модель «Плануй» (Plan), «Виконуй» (Do), «Перевіряй» (Check),

«Дій» (Act) (PDCA), яку може бути застосовано у разі структуризації всіх процесів СУІБ.

На рисунку 1 показано, як СУІБ, використовуючи як вхідні дані вимоги інформаційної безпеки та очікувані результати зацікавлених сторін, за допомогою необхідних дій і процесів видає вихідні дані зa результатами забезпечення інформаційної безпеки, які відповідають цим вимогам і очікуваним результатам.

Рисунок 1 ілюструє також зв’язки між процесами, які описано в розділах 4—8.

Прийняття моделі PDCA також відображає принципи, встановлені в Директивах Організації економічної співпраці і розвитку (ОЕСР) та призначені для управління безпекою інформаційних систем та мереж. Цей стандарт подає наочну модель для реалізації на практиці наведених вище принципів, які дозволяють здійснити оцінювання ризиків, проектування та реалізацію системи інформаційної безпеки, її управління та переоцінювання.

Приклад 1.

Вимога може полягати в тому, щоб порушення інформаційної безпеки не призводили до значного фінансового збитку для організації та/чи до істотних ускладнень в її діяльності.

Приклад 2.

Очікуваним результатом може бути наявність потреби в організації компетентних співробітників для проведення процедур, які дозволять мінімізувати можливі несприятливі наслідки в разі серйозного інциденту, наприклад несанкціонованого проникнення (атаки хакерів) на веб-сайт організації, через який вона здійснює електронну торгівлю.

0.3 Сумісність з іншими системами управління

Цей стандарт узгоджено з ISO 9001:2000 «Системи управління якістю. Вимоги» та ISO 14001:2004 «Системи екологічного керування. Вимоги та настанови щодо застосування» для підтримки послідовного інтегрованого впровадження та взаємодії з іншими подібними стандартами у сфері управління. Отже, одна правильно побудована система управління в організації може задовольняти вимоги всіх цих стандартів.

Таблиці С.1 ілюструє взаємозв'язок між розділами цього стандарту та розділами ISO 9001:2000 та ISO 14001:2004.

Цей стандарт дає змогу організації регулювати СУІБ або інтегрувати її з відповідними вимогами інших систем управління.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ СИСТЕМИ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ
Вимоги

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
МЕТОДЫ ЗАЩИТЫ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Требования

INFORMATION TECHNOLOGY
SECURITY TECHNIQUES INFORMATION SECURITY MANAGEMENT SYSTEMS
Requirements

Чинний від 2012-07-01

1  СФЕРА ЗАСТОСУВАННЯ

1.1 Загальні положення

Цей стандарт призначено для застосування організаціями будь-якої форми власності (комерційними підприємствами, державними установами, неприбутковими організаціями). Цей стандарт установлює вимоги до розроблення, впровадження, забезпечення функціонування, моніторингу, аналізу, підтримки, поліпшення документованої системи управління інформаційною безпекою (СУІБ) у контексті загальних бізнес-ризиків організації. Крім цього, стандарт установлює вимоги щодо впровадження заходів управління інформаційною безпекою та її контролювання, які можуть застосовувати організації або їхні підрозділи відповідно до встановлених цілей та задач забезпечення інформаційної безпеки.

Метою розроблення СУІБ є вибір і застосування відповідних заходів управління безпекою, призначених для захисту інформаційних активів і які гарантують довіру зацікавлених сторін.

Примітка 1. Посилання на термін «бізнес» (business) у цьому стандарті треба широко інтерпретувати, маючи на увазі ті види діяльності, які є основними для цілей існування організації.

Примітка 2. В ISO/IEC 17799 надано настанови щодо реалізації, підтримки заходів управління.

1.2 Застосування

Усі вимоги цього стандарту загальні та призначені для застосування всіма організаціями незалежно ііід типу, розміру та сфери їхньої діяльності. Вилучення будь-якої з вимог, визначених у розділах 1—8, не допускається, якщо організація заявляє щодо відповідності її СУІБ вимогам цього стандарту.

Будь-я :а відмова від застосування того чи іншого заходу управління, обумовлена необхідністю задоволення критеріїв прийняття ризиків, повинна бути обґрунтована. Необхідна також наявність адекватних доказів того, що подібні ризики були вже прийняті відповідальними особами.

У разі вилучення будь-яких заходів управління декларування про відповідність організації цьому стандарту неприйнятне, крім випадків, коли такі винятки не впливають негативно на здатність і/чи обов’язок організації забезпечити інформаційну безпеку, яка відповідає вимогам щодо безпеки, встановленим відповідними законодавчими та нормативними актами або визначеними на основі оцінок ризиків.

Примітка. Якщо організація вже має чинну систему управління бізнес-процесами (наприклад, згідно з ISO 9001 чи ISO 14001), то у більшості випадків необхідно виконувати вимоги цього стандарту в межах цієї наявної системи управління.

2 НОРМАТИВНІ ПОСИЛАННЯ

Наведені нижче нормативні документи є обов’язковими для застосування цього стандарту. У разі датованих посилань застосовують лише зазначене видання. У разі недатованих посилань застосовують останнє видання (разом з усіма змінами).

ISO/IEC 17799:2005 Information technology — Security techniques — Code of practice for information s îcurity management.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO/IEC 17799:2005 Інформаційні технології. Методи безпеки. Практичні правила управління інформаційною безпекою.

БІБЛІОГРАФІЯ

Нормативні документи

1 ISO 9001:2000 Quality management systems — Requirements

2 ISO/IEC 13335-1:2004 Information technology — Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security management

3 ISO/ EC TR 13335-3:1998 Information technology — Guidelines for the management of IT Security — Part 3: Techniques for the management of IT security

4 ISO/IEC 13335-4:2000 Information technology — Guidelines for the management of IT Security — Part 4: Selection of safeguards

5 ISO 14001:2004 Environmental management systems — Requirements with guidance for use

6 ISO/IEC TR 18044:2004 Information technology — Security techniques — Information security incident management

7 ISO 19011:2002 Guidelines for quality and/or environmental management systems auditing

8 ISO/IEC Guide 62:1996 General requirements for bodies operating assessment and certification/ registration of quality systems

9  ISO/IEC Guide 73:2002 Risk management — Vocabulary — Guidelines for use in standards.

Інші видання

1 OEC Э, Guidelines for the Security of Information Systems and Networks — Towards a Culture of Security. ³aris: OESD, July 2002. www.oecd.org

2 NIST SP 800-30, Risk Management Guide for Information Technology Systems

3 Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineering Study, 1986