ДСТУ ISO/IEC 27001:2015 Информационные технологии. Методы защиты cистемы управления информационной безопасностью. Требования (ISO/IEC 27001:2013; Cor 1:2014, IDT)
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
Інформаційні
технології
МЕТОДИ ЗАХИСТУ СИСТЕМИ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ
Вимоги
(ISO/IEC 27001:2013; Cor 1:2014, IDТ)
ДСТУ ISO/IEC
27001:2015
Київ
(ДП «УкрНДНЦ»)
2016
ПЕРЕДМОВА
1 ВНЕСЕНО: Технічний комітет стандартизації «Інформаційні технології» (ТК 20) за участю Технічного комітету стандартизації «Банківські та фінансові системи і технології (ТК 105), Міжнародний науково-навчальний центр інформаційних технологій та систем НАН України та Міносвіти і науки України
ПЕРЕКЛАД І НАУКОВО-ТЕХН1ЧНЕ РЕДАГУВАННЯ: І. Івченко, канд. фіз.-мат. наук; М. Карнаух; Т. Тищенко
2 НАДАНО ЧИННОСТІ:
наказ
(ДП «УкрНДНЦ») від 18 грудня 2015 р. № 193 з 2017-01-01
3 Національний стандарт відповідає ISO/IEC 27001:2013; Сог 1:2014, IDT) Information technology — Security techniques — Information security management systems — Requirements (Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги)
Ступінь відповідності — ідентичний (IDT)
Переклад з англійської (еn)
4 НА ЗАМІНУ ДСТУ ISO/IEC 27001:2010
ЗМІСТ
1 Національний вступ
0 Вступ
0.1 Загальні положення
0.2 Сумісність з іншими стандартами систем управління
1 Сфера застосування
2 Нормативні посилання
3 Терміни та визначення понять
4 Обставини організації
4.1 Розуміння організації та її обставин
4.2 Розуміння потреб та очікувань зацікавлених сторін
4.3 Визначення сфери застосування системи управління інформаційною безпекою
4.4 Система управління інформаційною безпекою
5 Керівництво
5.1 Керівництво та зобов’язання
5.2 Політика
5.3 Організаційні ролі, відповідальності та повноваження
6 Планування
6.1 Дії щодо ризиків та можливостей
6.2 Цілі інформаційної безпеки та планування їх досягнення
7 Підтримка
7.1 Ресурси
7.2 Компетенція
7.3 Обізнаність
7.4 Комунікація
7.5 Документована інформація
8 Функціонування
8.1 Робоче планування й контроль
8.2 Оцінювання ризиків інформаційної безпеки
8.3 Оброблення ризиків інформаційної безпеки
9 Оцінювання результативності
9.1 Моніторинг, вимірювання, аналіз та оцінювання
9.2 Внутрішній аудит
9.3 Перегляд з боку керівництва
10 Вдосконалення
10.1 Невідповідності й корегувальні дії
10.2 Постійне вдосконалення
Додаток А Цілі заходів безпеки та заходи безпеки
Бібліографія
Додаток НА Перелік національних стандартів України, ідентичних з міжнародними стандартами, посилання на які є в цьому стандарті
НАЦІОНАЛЬНИЙ ВСТУП
Цей національний стандарт є переклад ISO/IEC 27001:2015 Information technology — Security techniques — Information security management systems — Requirements (Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги) зі зміною Cor. 1:2014.
Технічний комітет стандартизації, відповідальний за цей стандарт в Україні, — ТК 105 «Банківські та фінансові системи і технології».
У цьому національному стандарті зазначено вимоги, які відповідають законодавству України.
До цього стандарту внесено такі редакційні зміни:
— слова «цей міжнародний стандарт», «ISO/IEC 27001», «цей документ» замінено на «цей стандарт»;
— вилучено «Передмову» до ISO/IEC 27001:2014 як таку, що безпосередньо не стосується тематики цього стандарту;
— структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;
— у розділах 2 «Нормативні посилання» та «Бібліографія» наведено «Національні пояснення», в А.7.1 та А.8.1.2 — «Національні примітки», виділені рамкою;
— долучено довідковий національний додаток НА (Перелік національних стандартів України, ідентичних з міжнародними стандартами, посилання на які є в цьому стандарті).
У цьому стандарті є посилання на такий міжнародний стандарт:
ISO/IEC 27000, який прийнято як ДСТУ ISO/IEC 27000:2015 Системи управління інформаційною безпекою. Огляд і словник (IDT).
Додаток А — обов’язковий і є невід’ємною частиною цього стандарту.
Копії нормативних документів, на які є посилання в цьому стандарті, можна отримати в Національному фонді нормативних документів.
0 ВСТУП
0.1 Загальні положення
Цей стандарт створений для визначення вимог для розроблення, впровадження, функціонування, моніторингу, перегляду, підтримування та постійного вдосконалення системи управління інформаційною безпекою (СУІБ). Прийняття системи управління інформаційною безпекою є стратегічним рішенням для організації. На проектування та впровадження системи управління інформаційною безпекою організації впливають потреби та цілі організації, вимоги щодо безпеки, застосовувані організаційні процеси, розмір і структура організації. Очікують, що всі ці чинники змінюються з часом.
Система управління інформаційною безпекою забезпечує збереження конфіденційності, цілісності й доступності інформації за допомогою запровадження процесу управління ризиками та надає впевненості зацікавленим сторонам, що ризиками належним чином управляють.
Важливо, щоб система управління інформаційною безпекою була частиною та інтегрувалася в процеси організації та загальну структуру управління, щоб інформаційну безпеку розглядали в процесах розроблення, інформаційних системах і заходах безпеки. Очікують, що впровадження системи управління інформаційною безпекою буде масштабованим відповідно до потреб організації.
Цей стандарт може бути використано зацікавленими внутрішніми та зовнішніми сторонами для оцінки можливості організації відповідати власним вимогам щодо інформаційної безпеки.
Послідовність, з якою вимоги надано в цьому стандарті, не відображає їх важливості чи послідовності, з якою їх має бути впроваджено. Перелік пунктів понумеровано лише для цілей забезпечення посилань.
ISO/IEC 27000 надає огляд і словник систем управління інформаційною безпекою з посиланням на сімейство стандартів щодо систем управління інформаційною безпекою (охоплюючи ISO/IEC 27003 [2], ISO/IEC 27004 [3] та ISO/IEC 27005 [4]), з пов’язаними термінами та визначеннями.
0.2 Сумісність з іншими стандартами систем управління
Цей стандарт використовує високорівневу структуру, ідентичні назви підрозділів, ідентичний текст, загальні терміни та основні визначення, які надано в додатку SL ISO/IEC Directives, Part 1, Consolidated ISO Supplement, тому підтримує сумісність з іншими стандартами систем управління, які визначено в додатку SL.
Такий загальний підхід, визначений в додатку SL, буде корисним тим організаціям, що обирають застосування одній системі управління, яка забезпечує виконання вимог двох або більше стандартів систем управління.
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ СИСТЕМИ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ
Вимоги
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
МЕТОДЫ ЗАЩИТЫ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТЬЮ
Требования
INFORMATION TECHNOLOGY
SECURITY TECHNIQUES INFORMATION SECURITY MANAGEMENT
SYSTEMS
Requirements
Чинний від 2017-01-01
1 СФЕРА ЗАСТОСУВАННЯ
Цей стандарт визначає вимоги до проектування, впровадження, підтримки та постійного вдосконалення системи управління інформаційною безпекою з урахуванням обставин організації. Цей стандарт також містить вимоги для оцінювання та оброблення ризиків інформаційної безпеки, пов’язаних з потребами організації. Вимоги, наведені в цьому стандарті, є загальними та можуть бути запроваджені для всіх організацій незалежно від типу, розміру та природи. Вилучення будь-якої з вимог, наведених в розділах 4—10 неприпустимо в разі, якщо організація прагне відповідати цьому стандарту.
2 НОРМАТИВНІ ПОСИЛАННЯ
Наведені нижче нормативні документи в цілому або в частині необхідні для застосування цього стандарту. У разі датованих посилань застосовують лише наведені видання. У разі недатованих посилань потрібно користуватись останнім виданням нормативних документів (разом зі змінами).
ISO/IEC 27000 Information technology — Security techniques — Information security management systems — Overview and vocabulary.
НАЦІОНАЛЬНЕ ПОЯСНЕННЯ
ІSО/ІЕС 27000 Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Огляд та словник.
3 ТЕРМІНИ ТА ВИЗНАЧЕННЯ ПОНЯТЬ
У цьому стандарті використовують терміни та визначення, які надано в ІSО/ІЕС 27000.
БІБЛІОГРАФІЯ
1 ISO/IEC 27002:2013 Information technology — Security Techniques — Code of practice for information security controls
2 ISO/IEC 27003 Information technology — Security techniques — Information security management system implementation guidance
3 ISO/IEC 27004 Information technology — Security techniques — Information security management — Measurement
4 ISO/IEC 27005 Information technology — Security techniques — Information security risk management
5 ISO 31000:2009 Risk management — Principles and guidelines
6 ISO/IEC Directives, Part 1, Consolidated ISO Supplement — Procedures specific to ISO, 2012.
НАЦІОНАЛЬНЕ ПОЯСНЕННЯ
1 ISO/ІЕС 27002:2013 Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки
2 ISO/ІЕС 27003 Інформаційні технології. Методи захисту. Настанова щодо впровадження системи управління інформаційною безпекою
3 ІSО/ІЕС 27004 Інформаційні технології. Методи захисту. Управління інформаційною безпекою. Вимірювання
4 ISO/ІЕС 27005 Інформаційні технології. Методи захисту. Управління ризиками інформаційної безпеки
5 ISО/ІЕС 31000:2009 Управління ризиками. Принципи та настанови
6 ІSО/ІЕС Директиви. Частина 1. Консолідоване ISO доповнення. Процедури, специфічні для ISO, 2012.
Полная версия документа доступна в тарифе «ВСЕ ВКЛЮЧЕНО».