ДСТУ ISO/IEC 27002:2015 Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки (ISO/IEC 27002:2013; Cor 1:2014, IDT)

Даний документ доступний у тарифі «ВСЕ ВРАХОВАНО»

У Вас є питання стосовно документа? Ми раді на них відповісти!Перелік безкоштовних документівПомітили помилку в документі або на сайті? Будь ласка, напишіть нам про це!Залишити заявку на документ

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Інформаційні технології
МЕТОДИ ЗАХИСТУ
Звід практик щодо заходів інформаційної безпеки

(ISO/IEC 27002:2013; Сог 1:2014, IDТ)
ДСТУ ISO/IEC 27002:2015

 

Київ
   
(ДП «УкрНДНЦ»)
2016

ПЕРЕДМОВА

1 ВНЕСЕНО: Технічний комітет стандартизації «Інформаційні технології» (ТК 20) за участю Технічного комітету стандартизації «Банківські та фінансові системи і технології» (ТК 105), Міжнародний науко- во-навчальний центр інформаційних технологій та систем НАН України та Міносвіти і науки України

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: І. Івченко, канд. фіз.-мат. наук; М. Карнаух; Т. Тищенко

2 НАДАНО ЧИННОСТІ: наказ    
(ДП «УкрНДНЦ») від 18 грудня 2015 р. № 193 з 2017-01-01

3 Національний стандарт відповідає ISO/IEC 27002:2013 Information technology — Security techniques — Code of practice for information security controls (Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки) зі зміною Сог.1:2014

Ступінь відповідності — ідентичний (IDТ)

Переклад з англійської (еn)

4 УВЕДЕНО ВПЕРШЕ

ЗМІСТ

Національний вступ

0 Вступ до ISO/IEC 27002:2013

0.1 Загальні положення

0.2 Вимоги щодо інформаційної безпеки

0.3 Вибір заходів безпеки

0.4 Розроблення власних настанов

0.5 Розгляд життєвого циклу

0.6 Пов’язані стандарти

1 Сфера застосування

2 Нормативні посилання

3 Терміни та визначення понять

4 Структура цього стандарту

4.1 Розділи

4.2 Категорії безпеки

5 Політики інформаційної безпеки

5.1 Принципи управління інформаційною безпекою

6 Організація інформаційної безпеки

6.1 Внутрішня організація

6.2 Мобільне обладнання та віддалена робота

7 Безпека людських ресурсів

7.1 Перед наймом

7.2 Протягом найму

7.3 Припинення чи зміна умов найму

8 Управління ресурсами СУІБ

8.1 Відповідальність за ресурси СУІБ

8.2 Класифікація інформації

8.3 Поводження з носіями

9 Контроль доступу

9.1 Бізнес-вимоги до контролю доступу

9.2 Управління доступом користувача

9.3 Відповідальності користувача

9.4 Контроль доступу до систем та прикладних програм

10 Криптографія

10.1 Криптографічні засоби захисту

11 Фізична безпека та безпека інфраструктури

11.1 Зони безпеки

11.2 Обладнання

12 Безпека експлуатації

12.1 Процедури експлуатації та відповідальності

12.2 Захист від зловмисного коду

12.3 Резервне копіювання

12.4 Ведення журналів аудиту та моніторинг

12.5 Контроль програмного забезпечення, що перебуває в експлуатації

12.6 Управління технічною вразливістю

12.7 Розгляд аудиту інформаційних систем 

13 Безпека комунікацій

13.1 Управління безпекою мережі

13.2 Обмін інформацією

14 Придбання, розроблення та підтримка інформаційних систем

14.1 Вимоги щодо безпеки для інформаційних систем

14.2 Безпека в процесах розроблення та підтримки

14.3 Дані для тестування системи

15 Взаємовідносини з постачальниками

15.1 Інформаційна безпека у взаємовідносинах з постачальниками

15.2 Управління наданням послуг постачальником

16 Управління інцидентами інформаційної безпеки 

16.1 Управління інцидентами інформаційної безпеки та вдосконаленням

17 Аспекти інформаційної безпеки управління безперервністю бізнесу

17.1 Безперервність інформаційної безпеки

17.2 Резервне обладнання

18 Відповідність

18.1 Відповідність правовим та контрактним вимогам

18.2 Перевірки інформаційної безпеки

Бібліографія

Додаток НА Перелік національних стандартів України, ідентичних з міжнародними стандартами, посилання на які є в цьому стандарті

НАЦІОНАЛЬНИЙ ВСТУП

Цей стандарт ідентичний ISO/IEC 27002:2013 Information technology — Security techniques — Code of practice for information security controls (Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки) зі зміною Сог 1:2014.

Технічний комітет стандартизації, відповідальний за цей стандарт в Україні, — ТК 105 «Банківські та фінансові системи і технології».

У цьому стандарті зазначено вимоги, які відповідають чинному законодавству України.

До цього стандарту внесено такі редакційні зміни:

— слова «цей міжнародний стандарт», «ISO/IEC 27002», «цей документ» замінено на «цей стандарт»;

— вилучено «Передмову» до ISO/IEC 27002:2014 як таку, що безпосередньо не стосується тематики цього стандарту;

— структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;

— у розділах «Нормативні посилання» та «Бібліографії» наведено «Національні пояснення», виділені рамкою;

— у 6.1.1, 7.2.1 і 8.1.2 наведено «Національні примітки», виділені рамкою;

— долучено довідковий національний додаток НА (Перелік національних стандартів України, ідентичних з міжнародними стандартами, посилання на які є в цьому стандарті).

У цьому стандарті є посилання на міжнародний стандарт ISO/IEC 27000, який прийнято як ДСТУ ISO/IEC 27000:2015 Системи управління інформаційною безпекою. Огляд і словник (ISO/IEC 27000:2015, ЮТ).

Копії нормативних документів, на які є посилання в цьому стандарті, можна отримати в Національному фонді нормативних документів.

0 ВСТУП до ISO/IEC 27002:2013

0.1 Загальні положення

Цей міжнародний стандарт розроблено для організацій для використання як довідкової інформації щодо вибору заходів безпеки під час впровадження системи управління інформаційною безпекою (СУІБ) на базі ISO/IEC 27001 [10] або як настанову для організацій, які впроваджують загальноприйняті заходи інформаційної безпеки. Цей стандарт також призначено для використання в розробленні настановчих документів з управління інформаційною безпекою, специфічних для промисловості та організацій, з урахуванням специфічних ризиків інформаційної безпеки їх середовища.

Організації всіх типів та розмірів (охоплюючи публічний та приватний сектор, комерційні та неприбуткові) збирають, обробляють, зберігають та передають інформацію в багатьох формах, включаючи електронну, фізичну та усну (наприклад, бесіди та презентації).

Цінність інформації виходить за межі записаних слів, чисел та зображень: знання, концепції, ідеї та бренди є прикладами нематеріальних форм інформації. У взаємопов’язаному світі інформація та пов’язані процеси, системи, мережі й персонал, який бере участь в їх функціонуванні, обробленні та захисті, є ресурсами СУІБ, які нарівні з іншими важливими бізнес-активами є цінними для бізнесу організації і тому заслуговують чи потребують захисту від різних небезпек.

Ресурси СУІБ є суб’єктами як навмисних, так і випадкових загроз, а пов’язані процеси, системи, мережі та персонал мають притаманні вразливості. Зміни в бізнес-процесах і системах або зовнішні зміни (такі як нові закони та регуляторні вимоги) можуть створювати нові ризики інформаційної безпеки. Отже, маючи величезну кількість шляхів, за якими загрози можуть використовувати вразливості для завдання шкоди організації, ризики інформаційної безпеки завжди наявні. Ефективна інформаційна безпека зменшує ці ризики за допомогою захисту організації від загроз та вразливостей і таким чином зменшує впливи на її активи.

Інформаційної безпеки досягають впровадженням відповідного набору заходів безпеки, який охоплює політику, процеси, процедури, організаційні структури й програмні та апаратні функції. Ці заходи безпеки необхідно розробити, впровадити, здійснювати моніторинг, переглядати та, за потреби, вдосконалювати для гарантування досягнення певного рівня безпеки та бізнес-цілей організації. СУІБ, як це визначено в ISO/IEC 27001 [10], надає цілісний, узгоджений розгляд ризиків інформаційної безпеки організації для того, щоб впровадити всебічний набір заходів інформаційної безпеки в межах загальних принципів зрозумілої системи управління.

Багато інформаційних систем не проектували як безпечні з точки зору ISO/IEC 27001 [10] і цього стандарту. Безпека, якої може бути досягнуто технічними засобами, є обмеженою і має підтримуватися відповідним управлінням та процедурами. Визначення, які заходи безпеки треба застосовувати на місці, потребує ретельного планування й уваги до дрібниць. Успішна СУІБ потребує щонайменше участі всього персоналу організації. Вона може також потребувати співучасті від акціонерів, постачальників або інших зовнішніх сторін. Рекомендації фахівців зі сторонніх організацій також можуть стати в нагоді.

Загалом ефективна інформаційна безпека також гарантує керівництву та іншим акціонерам, що ресурси організації достатньо безпечні та захищені від втрат, таким чином сприяючи розвитку бізнесу.

0.2 Вимоги щодо інформаційної безпеки

Організація повинна ідентифікувати свої вимоги щодо безпеки. Існують три основні джерела формування вимог щодо безпеки:

a) результат оцінки ризиків для організації, який враховує загальну бізнес-стратегію та цілі. Під час оцінювання ризиків ідентифікують загрози ресурсам СУІБ, вразливості та ймовірність подій і оцінюють величину потенційного впливу;

b) законодавство, нормативні та контрактні вимоги, яким організація, її партнери, підрядники та постачальники послуг повинні відповідати, а також їх соціально-культурне середовище.

c) набір принципів, цілей та бізнес-вимог щодо управління, оброблення, зберігання, передавання та архівування інформації, який організація розробила для підтримки свого функціонування.

Ресурси, задіяні у впроваджуваних заходах безпеки, мають бути збалансовані із втратами бізнесу, які можуть бути результатом порушення безпеки за відсутності цих заходів безпеки. Результати оцінювання ризиків допоможуть керувати й визначити відповідну керівну діяльність та пріоритети щодо управління ризиками інформаційної безпеки і зробити вибір заходів безпеки, щоб захиститися від цих ризиків.

ISO/IEC 27005 [11] описує настанови стосовно управління ризиками інформаційної безпеки, зокрема й консультації щодо оцінювання, оброблення, приймання, перенесення, моніторингу та перегляду ризиків.

0.3 Вибір заходів безпеки

Заходи безпеки можна вибирати з цього стандарту або інших наборів заходів безпеки, або, за потреби, можна спроектувати нові заходи безпеки для задоволення специфічних потреб.

Вибір заходів безпеки залежить від управлінських рішень, основаних на критеріях прийняття ризику, варіантах оброблення ризику та загальному підході до управління ризиком, застосовному в організації, а також він має відповідати всьому чинному національному й міжнародному законодавству та нормативним документам. Вибір заходів безпеки має також залежати від способу взаємодії цих заходів безпеки для забезпечення глибшого захисту.

Деякі із заходів безпеки в цьому стандарті можна розглядати як настановчі принципи щодо управління інформаційною безпекою і їх може бути застосовано для більшості організацій. Заходи безпеки пояснено більш детально нижче разом з настановою щодо впровадження. Більше інформації щодо вибору заходів безпеки та інших варіантів оброблення ризику можна знайти в ISO/IEC 27005 [11].

0.4 Розроблення власних настанов

Цей стандарт можна вважати відправною точкою для розроблення певних настанов організації. Не всі заходи безпеки та настанови цього зводу правил може бути застосовно. Крім того, можуть бути потрібні додаткові заходи безпеки та настанови, які не містить цей стандарт. Пщ час розроблення документів, які містять додаткові настанови чи заходи безпеки, може бути корисним наводити в тих місцях, за потреби, перехресні посилання на розділи цього стандарту для полегшення перевірки відповідності аудиторами та бізнес-партнерами.

0.5 Розгляд життєвого циклу

Інформація має життєвий цикл від створення й початку через зберігання, оброблення, використання й передавання до її кінцевого знищення чи руйнування. Цінність і ризики ресурсів СУІБ можуть змінюватися протягом їх життєвого циклу (наприклад, неавторизоване розкриття чи викрадення фінансових рахунків компанії після того, як їх було формально опубліковано, стають менш значимими), але інформаційна безпека залишається важливою до певного ступеня на всіх стадіях.

Інформаційні системи мають життєвий цикл, протягом якого їх планують, визначають, конструюють, розробляють, тестують, впроваджують, експлуатують, підтримують і остаточно виводять з експлуатації та знищують. Інформаційну безпеку треба брати до уваги на кожній стадії. Розроблення нових систем та внесення змін до наявних систем надає можливість організації оновити й покращити заходи безпеки з урахуванням актуальних інцидентів і наявних та вже захищених ризиків інформаційної безпеки.

0. 6 Пов’язані стандарти

У той час, як цей стандарт надає настанови стосовно широкого діапазону заходів інформаційної безпеки, які зазвичай використовує велика кількість різних організацій, інші стандарти серії ISO/IEC 27000 містять детальні консультації або вимоги до інших аспектів загального процесу управління інформаційною безпекою.

Треба звернутися до ISO/IEC 27000 для загального роз’яснення як СУІБ, так і цієї серії стандартів. ISO/IEC 27000 надає словник, який формально визначає більшість із термінів, які використовують всюди в серії стандартів ISO/IEC 27000, та описує межі та цілі кожного стандарту цієї серії.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ
Звід практик щодо заходів інформаційної безпеки

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
МЕТОДЫ ЗАЩИТЫ
Свод практик для средств информационной безопасности

INFORMATION TECHNOLOGY
SECURITY TECHNIQUES
Code practice for information security controls

Чинний від 2017-01-01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт встановлює настанови стосовно організаційних стандартів щодо інформаційної безпеки та загальні практики управління інформаційною безпекою, охоплюючи вибір, впровадження та управління заходами безпеки з урахуванням розгляду середовища ризиків інформаційної безпеки організації.

Цей стандарт розроблено для використання організаціями, які намагаються:

a) визначити заходи безпеки в межах процесу впровадження системи управління інформаційною безпекою на основі ISO/IEC 27001 [10];

b) впровадити загальноприйняті заходи інформаційної безпеки;

c) розробити власні настанови щодо управління інформаційною безпекою.

2 НОРМАТИВНІ ПОСИЛАННЯ

Наведені нижче нормативні документи повністю або частково необхідні для застосування цього стандарту. У разі датованих посилань застосовують лише наведені видання. У разі недатованих посилань потрібно користуватись останнім виданням нормативних документів (разом зі змінами).

ISO/IEC 27000 Information technology — Security techniques — Information security management systems — Overview and vocabulary.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO/IEC 27000 Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Огляд і словник.

3 ТЕРМІНИ ТА ВИЗНАЧЕННЯ ПОНЯТЬ

У цьому стандарті використовують терміни та визначення, які наведено в ISO/IEC 27000.

4 СТРУКТУРА ЦЬОГО СТАНДАРТУ

Цей стандарт містить 14 розділів заходів безпеки, які загалом охоплюють 35 основних категорій безпеки та 114 заходів безпеки.

4.1 Розділи

Кожний розділ, який визначає заходи безпеки, містить одну чи більшу кількість основних категорій безпеки.

Порядок розділів у цьому стандарті не означає їх важливості. Залежно від обставин заходи безпеки будь-якого чи всіх розділів можуть бути важливими, тому кожна організація, яка застосовує цей стандарт, повинна ідентифікувати заходи безпеки, які використовують, для розуміння їх важливості та необхідності їх застосування до конкретного бізнес-процесу. Крім того, усі переліки в цьому стандарті не впорядковано в пріоритетному порядку.

4.2 Категорії безпеки

Кожна основна категорія безпеки містить:

a) ціль заходу безпеки, яка визначає, чого треба досягти; та

b) один або більше заходів безпеки, які може бути застосовано для досягнення цілі заходу безпеки.

Описи заходів безпеки структуровано, як наведено нижче.

Заходи безпеки

Визначає певне положення щодо заходу безпеки для досягнення цілі цього заходу.

Настанова щодо впровадження

Надає детальнішу інформацію для підтримки впровадження заходу безпеки й досягнення цілі цього заходу. Деякі з цих настанов можуть бути не цілком придатними чи ефективними в усіх випадках і, отже, можуть не задовольняти особливі вимоги заходів контролю організації.

Додаткова інформація

Надає подальшу інформацію, яка може потребувати розгляду, наприклад, правові підстави й посилання та інші стандарти. Якщо не передбачено додаткової інформації, цей пункт не наведено.

Повна версія документа доступна в тарифі «ВСЕ ВРАХОВАНО».

Увійти в Особистий кабінет Детальніше про тарифи

БУДСТАНДАРТ Online