ДСТУ ISO/IEC 27000:2015 Інформаційні технології. Методи захисту. Система управління інформаційною безпекою. Огляд і словник (ISO/IEC 27000:2014, IDT)

Даний документ доступний у тарифі «ВСЕ ВРАХОВАНО»

У Вас є питання стосовно документа? Ми раді на них відповісти!Перелік безкоштовних документівПомітили помилку в документі або на сайті? Будь ласка, напишіть нам про це!Залишити заявку на документ

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Інформаційні технології
МЕТОДИ ЗАХИСТУ СИСТЕМА УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ
Огляд і словник

(ISO/IEC 27000:2014, IDТ)
ДСТУ ISO/IEC 27000:2015

Відповідає офіційному тексту

Київ
З питань придбання офіційного видання звертайтесь до національного органу стандартизації
(ДП «УкрНДНЦ»)
2016

ПЕРЕДМОВА

1 ВНЕСЕНО: ТК 20 «Інформаційні технології» за участю ТК 105 «Банківські та фінансові системи і технології», Міжнародний науково-навчальний центр інформаційних технологій та систем НАН України та Міносвіти і науки України (Міжнародний центр)

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: І. Івченко, канд. фіз.-мат. наук; М. Карнаух; Т. Тищенко

2 НАДАНО ЧИННОСТІ: наказ З питань придбання офіційного видання звертайтесь до національного органу стандартизації
(ДП «УкрНДНЦ») від 18 грудня 2015 р. № 193 з 2017-01-01

3 Національний стандарт відповідає ISO/IEC 27000:2014 Information technology — Security techniques — Information security management systems — Overview and vocabulary (Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Огляд і словник)

Ступінь відповідності — ідентичний (IDТ)

Переклад з англійської (еn)

4 УВЕДЕНО ВПЕРШЕ

ЗМІСТ

Національний вступ

Вступ до ISO/IEC 27000:2014

1 Сфера застосування

2 Терміни та визначення понять

3 Системи управління інформаційною безпекою

3.1 Вступ

3.2 Що таке СУІБ

3.3 Процесний підхід

3.4 Чому СУІБ важлива

3.5 Впровадження, моніторинг, підтримка та вдосконалення СУІБ

3.6 Критичні чинники успіху СУІБ

3.7 Переваги сімейства стандартів СУІБ

4 Сімейство стандартів СУІБ

4.1 Загальна інформація

4.2 Стандарти, які описують загальний огляд і термінологію

4.3 Стандарти, які визначають вимоги

4.4 Стандарти, які описують загальні настанови

4.5 Стандарти, які описують галузеві настанови

Додаток А Форми висловлення ступеня обов’язковості виконання положень стандарту

Додаток В Терміни та їх приналежність

Бібліографія

Додаток НА Перелік національних стандартів, ідентичних з міжнародними стандартами, посилання на які є в цьому стандарті

НАЦІОНАЛЬНИЙ ВСТУП

Цей стандарт є переклад ISO/IEC 27000:2014 Information technology — Security techniques — Information security management systems — Overview and vocabulary (Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Огляд і словник).

Технічний комітет, відповідальний за цей стандарт в Україні, — ТК 105 «Банківські та фінансові системи і технології».

Стандарт містить вимоги, які відповідають чинному законодавству України.

До цього стандарту внесено такі редакційні зміни:

— слова «цей міжнародний стандарт», « ISO/IEC 27000», «цей документ» замінено на «цей стандарт»;

— вилучено інформацію з «Передмови» до ISO/IEC 27000:2014 як таку, що безпосередньо не стосується тематики цього стандарту;

— структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;

— у розділі 2 «Нормативні посилання», додатку В та «Бібліографії» наведено «Національні пояснення», виділені рамками;

— долучено довідковий додаток НА (Перелік національних стандартів, ідентичних з міжнародними стандартами, посилання на які є в цьому стандарті).

Додатки А і В — довідкові

У цьому стандарті є посилання на ISO 9000; ISO 19011; ISO/IEC 27001; ISO/IEC 15939; ISO/IEC 27006, які прийнято в Україні як національні. Решту стандартів, на які є посилання в цьому стандарті, в Україні не прийнято і чинних замість них документів немає.

Для зручності користувачів іншомовні скорочення з ISO/IEC 27000:2014 подано в дужках після скорочень українських термінів.

Копії нормативних документів, на які є посилання в цьому стандарті, можна отримати в Національному фонді нормативних документів.

0 ВСТУП до ISO/IEC 27000:2014

0.1 Огляд

Міжнародні стандарти для систем управління надають модель для наслідування під час створення та функціювання систем управління. Ця модель містить характеристики, щодо яких експерти цієї галузі досягли консенсусу, що вони відповідають сучасному міжнародному рівню досягнень науково-технічного прогресу. ISO/IEC JTC 1/SC 27 веде спеціалізований експертний комітет з розробки міжнародних стандартів для систем управління інформаційною безпекою, інакше відомий як сімейство стандартів Системи управління інформаційною безпекою (СУІБ) ([Information Security Management System (ISMS)).

Використовуючи це сімейство стандартів (СУІБ (ISMS)), організації можуть розробляти та впроваджувати основні положення управління безпекою своїх інформаційних ресурсів, зокрема фінансової інформації, інтелектуальної власності й детальної кадрової інформації або довіреної їм клієнтами, або третіми сторонами інформації. Ці стандарти можна також використовувати для підготування до незалежного оцінювання їх СУІБ (ISMS) стосовно захисту інформації.

0.2 Сімейство стандартів СУІБ (ISMS)

Сімейство стандартів СУІБ (ISMS) призначене допомогти організаціям усіх типів і розмірів впровадити й забезпечити функціювання СУІБ (ISMS), її складовими частинами є наведені нижче в порядку зростання номерів міжнародні стандарти із загальним заголовком «Інформаційні системи. Методи захисту»:

ISO/IEC 27000 Information security management systems — Overview and vocabulary

ISO/IEC 27001 Information security management systems — Requirements

ISO/IEC 27002 Code of practice for information security controls

ISO/IEC 27003 Information security management system implementation guidance

ISO/IEC 27004 Information security management — Measurement

ISO/IEC 27005 Information security risk management

ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems

ISO/IEC 27007 Guidelines for information security management systems auditing ISO/IEC TR 27008 Guidelines for auditors on information security controls

ISO/IEC 27010 Information security management for inter-sector and inter-organizational communications

ISO/IEC 27011 Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

ISO/IEC 27013 Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 ISO/IEC 27014 Governance of information security

ISO/IEC TR 27015 Information security management guidelines for financial services

ISO/IEC TR 27016 Information security management — Organizational economics.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO/IEC 27000 Системи управління інформаційною безпекою. Огляд і словник

ISO/IEC 27001 Системи управління інформаційною безпекою. Вимоги

ISO/IEC 27002 Звід практик щодо заходів інформаційної безпеки

ISO/IEC 27003 Настанова щодо впровадження системи управління інформаційною безпекою

ISO/IEC 27004 Управління інформаційною безпекою. Вимірювання

ISO/IEC 27005 Управління ризиками інформаційної безпеки

ISO/IEC 27006 Інформаційні технології. Методи забезпечення безпеки. Вимоги до органів, які надають послуги з аудиту і сертифікації систем управління інформаційною безпекою

ISO/IEC 27007 Настанови з аудиту систем управління інформаційною безпекою

ISO/IEC TR 27008 Настанова для аудиторів щодо заходів інформаційної безпеки

ISO/IEC 27010 Управління інформаційною безпекою для комунікацій всередині сектору та між організаціями

ISO/IEC 27011 Настанова з управління інформаційною безпекою для телекомунікаційних організацій на основі ISO/IEC 27002

ISO/IEC 27013 Настанова щодо інтегрованого впровадження

ISO/IEC 27001 та ISO/IEC 20000-1 ISO/IEC 27014 Корпоративне управління інформаційною безпекою

ISO/IEC TR 27015 Настанова з управління інформаційною безпекою для фінансових послуг

ISO/IEC TR 27016 Управління інформаційною безпекою. Організаційно-економічні аспекти.

Примітка. Загальний заголовок «Інформаційні системи. Методи захисту» вказує, що ці стандарти було підготовлено Об’єднаним технічним комітетом

ISO/IEC JTC 1 «Інформаційні технології», підкомітетом SC 27 «Методи захисту ІТ».

Міжнародні стандарти, у яких є інша загальна назва і які також є частиною сімейства стандартів СУІБ (ISMS) такі:

ISO 27799:2008 Health informatics — Information security management in health using ISO/IEC 27002.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO/IEC 27799:2008 Інформатика для охорони здоров’я. Управління інформаційною безпекою в охороні здоров’я з використанням ISO/IEC 27002.

0.3 Сімейство стандартів СУІБ (ISMS)

Цей стандарт надає огляд систем управління інформаційною безпекою та визначає відповідні терміни.

Примітка. Додаток А надає роз'яснення, як словоформи використовують для визначення вимог і/чи настанов у стандартах сімейства СУІБ (ISMS).

Сімейство стандартів СУІБ (ISMS) охоплює стандарти, які:

a) визначають вимоги до СУІБ (ISMS) і тих, хто сертифікує такі системи;

b) надають пряму підтримку, докладні настанови та/чи інтерпретацію для загального процесу для розроблення, впровадження, підтримки та вдосконалення СУІБ (ISMS);

c) містять певні настанови, залежні від галузі застосування СУІБ (ISMS);

d) стосуються оцінки відповідності СУІБ (ISMS).

Терміни та визначення, надані в цьому стандарті:

— охоплюють загально використовуванні терміни та визначення сімейства стандартів СУІБ (ISMS);

— не охоплюють усіх термінів та визначень, які застосовують у сімействі стандартів СУІБ (ISMS);

— не обмежують сімейство стандартів СУІБ (ISMS) у визначенні нових термінів, які буде використано.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ СИСТЕМА УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ
Огляд і словник

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
МЕТОДЫ ЗАЩИТЫ СИСТЕМА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Обзор и словарь

INFORMATION TECHNOLOGY
SECURITY TECHNIQUES INFORMATION SECURITY MANAGEMENT SYSTEMS
Overview and vocabular

Чинний від 2017-01-01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт надає огляд систем управління інформаційною безпекою, а також терміни та визначення, які зазвичай використовують у сімействі стандартів СУІБ. Цей стандарт застосовний для всіх типів та розмірів організацій (наприклад, комерційних підприємств, державних установ, неприбуткових організацій).

2 ТЕРМІНИ ТА ВИЗНАЧЕННЯ ПОНЯТЬ

У цьому стандарті вжито такі терміни та визначення понять.

2.1 контроль доступу (access control)

Заходи для гарантії того, що доступ до ресурсів СУІБ є авторизованим та обмеженим на основі вимог бізнесу та безпеки

2.2 аналітична модель (analytical model)

Алгоритм або обчислення, які комбінують один чи більше базових показників (2.10) і/або похідних показників (2.22) разом з відповідним критерієм прийняття рішення

2.3 атака (attack)

Спроба руйнувати, наражати на небезпеку, змінювати, блокувати, викрадати чи домагатися несанкціонованого доступу або виконувати несанкціоновані дії з ресурсами СУІБ

2.4 атрибут (attribute)

Властивість або характеристика об’єкта (2.55), за якою його можна відрізнити на якісному чи кількісному рівні людиною чи автоматизованими засобами

[ISO/IEC 15939:2007, модифіковано — у визначенні «сутність» («entity») було замінено на «об’єкт» («object»)]

2.5 аудит (audit)

Систематичний, незалежний та задокументований процес (2.61) для отримання доказів аудиту та об’єктивного його зіставлення для визначення ступеня виконання критеріїв аудиту.

Примітка 1 до статті. Аудит може бути внутрішнім аудитом (перша сторона) або зовнішнім аудитом (друга чи третя сторона), а також він може бути комбінованим аудитом (поєднання двох чи більше дисциплін)

Примітка 2 до статті. Терміни «доказ аудиту» та «критерій аудиту» визначено в ISO 19011

2.6 сфера застосування аудиту (audit scope)

Обсяг та межі аудиту (2.5)

[ISO 19011:2011]

2.7 автентифікація (authentication)

Забезпечення гарантії, що характеристики об’єкта, які було заявлено, є правильними

2.8 автентичність (authenticity)

Властивість, що об’єкт саме той, яким себе заявляє

2.9 доступність (availability)

Властивість досяжності й можливості використання на вимогу авторизованого об’єкта

2.10 базовий показник (base measure)

Показник (2.47), визначений в термінах атрибута (2.4), та методика отримання його кількісних характеристик.

[ISO/IEC 15939:2007]

Примітка 1 до статті. Базовий показник функційно не залежить від інших показників

Повна версія документа доступна в тарифі «ВСЕ ВРАХОВАНО».

Увійти в Особистий кабінет Детальніше про тарифи

БУДСТАНДАРТ Online