04.11.2021
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Требования

Information technology. Security techniques. Information security management systems. Requirements



ОКС 35.040

         01.040.01

Дата введения 2008-02-01


Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") и Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 375-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27001:2005* "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.


При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Январь 2019 г.


Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

0.1 Общие положения

Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). Внедрение СМИБ является стратегическим решением организации. На проектирование и внедрение СМИБ организации влияют потребности и цели организации, требования безопасности, используемые процессы, а также масштабы деятельности и структура организации. Предполагается, что вышеуказанные факторы и поддерживающие их системы будут изменяться во времени. Предполагается также, что СМИБ будет изменяться пропорционально потребностям организации, т.е. для простой ситуации потребуется простое решение по реализации СМИБ.

Положения настоящего стандарта могут быть использованы как внутри организации, так и внешними организациями для оценки соответствия.

0.2 Процессный подход

Настоящий стандарт предполагает использовать процессный подход для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации.

Для успешного функционирования организация должна определить и осуществить менеджмент многочисленных видов деятельности. Деятельность, использующая ресурсы и управляемая в целях преобразования входов в выходы, может быть рассмотрена как процесс. Часто выход одного процесса непосредственно формирует вход для следующего процесса.

Использование внутри организации системы процессов наряду с идентификацией и взаимодействием этих процессов, а также менеджмент процессов могут быть определены как "процессный подход".

Согласно предлагаемому настоящим стандартом процессному подходу применительно к менеджменту информационной безопасности (ИБ) особую значимость для пользователей имеют следующие факторы:

a) понимание требований информационной безопасности организации и необходимости установления политики и целей информационной безопасности;

b) внедрение и использование мер управления для менеджмента рисков ИБ среди общих бизнес-рисков организации;

c) мониторинг и проверка производительности и эффективности СМИБ;

d) непрерывное улучшение СМИБ, основанное на результатах объективных измерений.

В настоящем стандарте представлена модель "Планирование (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA), которая может быть применена при структурировании всех процессов СМИБ. На рисунке 1 показано, как СМИБ, используя в качестве входных данных требования ИБ и ожидаемые результаты заинтересованных сторон, с помощью необходимых действий и процессов выдает выходные данные по результатам обеспечения информационной безопасности, которые соответствуют этим требованиям и ожидаемым результатам. Рисунок 1 иллюстрирует также связи между процессами, описанными в разделах 4, 5, 6, 7 и 8.     


Принятие модели PDCA также отражает принципы, установленные в директивах Организации экономического сотрудничества и развития (ОЭСР) и определяющие безопасность информационных систем и сетей [1]. Настоящий стандарт представляет наглядную модель для реализации на практике указанных принципов, которые позволяют осуществить оценку рисков, проектирование и реализацию системы информационной безопасности, ее менеджмент и переоценку.

Примеры
     


    1 Требование может заключаться в том, чтобы нарушения информационной безопасности не приводили к значительному финансовому ущербу для организации и/или к существенным затруднениям в ее деятельности.
     


    2 Ожидаемым результатом может быть наличие в организации достаточно хорошо обученных сотрудников для проведения процедур, позволяющих минимизировать возможные неблагоприятные последствия в случае серьезного инцидента, например несанкционированного проникновения (атаки хакеров) на веб-сайт организации, через который она осуществляет электронную торговлю.



Рисунок 1



Связи между процессами, описанными в разделах 4, 5, 6, 7 и 8, представлены также в таблице 1.


Таблица 1

Планирование (разработка СМИБ)

Разработка политики, установление целей, процессов и процедур СМИБ, относящихся к менеджменту риска и улучшению информационной безопасности, для достижения результатов, соответствующих общей политике и целям организации

Осуществление (внедрение и обеспечение функционирования СМИБ)

Внедрение и применение политики информационной безопасности, мер управления, процессов и процедур СМИБ

Проверка (проведение мониторинга и анализа СМИБ)

Оценка, в том числе, по возможности, количественная, результативности процессов относительно требований политики, целей безопасности и практического опыта функционирования СМИБ и информирование высшего руководства о результатах для последующего анализа

Действие (поддержка и улучшение СМИБ)

Проведение корректирующих и превентивных действий, основанных на результатах внутреннего аудита или другой соответствующей информации, и анализа со стороны руководства в целях достижения непрерывного улучшения СМИБ


0.3 Совместимость с другими системами менеджмента

Настоящий стандарт согласован со стандартами ИСО 9001:2000 "Системы менеджмента качества. Требования" [2] и ИСО 14001:2004 "Системы управления окружающей средой. Требования и руководство по применению" [3] в целях поддержки последовательного и интегрированного внедрения и взаимодействия с другими подобными взаимосвязанными стандартами в области менеджмента. Таким образом, одна правильно построенная система менеджмента в организации может удовлетворять требованиям всех этих стандартов.

Таблица С.1 иллюстрирует взаимосвязь между разделами настоящего стандарта, а также ИСО 9001:2000 и ИСО 14001:2004.

Настоящий стандарт позволяет организации регулировать СМИБ или интегрировать ее с соответствующими требованиями других систем менеджмента.

     1 Область применения

     1.1 Общие положения


Настоящий стандарт предназначен для применения организациями любой формы собственности (например, коммерческими, государственными и некоммерческими организациями). Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности (СМИБ) среди общих бизнес-рисков организации. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности (ИБ).

Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Примечание - Термин "бизнес", в настоящем стандарте понимаемый в широком смысле, обозначает всю ту деятельность, которая является основой для целей существования организации.

     1.2 Применение


Требования, устанавливаемые настоящим стандартом, предназначены для применения во всех организациях независимо от типа, масштабов и сферы их деятельности. Исключение любого из требований, указанных в разделах 4, 5, 6, 7 и 8, не допускается, если организация заявляет о соответствии ее СМИБ настоящему стандарту.

Любой отказ от применения той или иной меры управления, обусловленный необходимостью удовлетворения критериев принятия рисков, должен быть обоснован. Необходимо также наличие адекватных доказательств того, что подобные риски были уже приняты ответственными лицами. При исключении каких-либо мер управления заявления о соответствии организации настоящему стандарту неправомочны, кроме случаев, когда эти исключения не влияют на способность и/или обязанность организации обеспечивать информационную безопасность, которая соответствует требованиям безопасности, установленным соответствующими законодательными актами или определенными на основе оценок рисков.

Примечание - Если организация уже имеет действующую систему менеджмента бизнес-процессов (например, в соответствии с ИСО 9001 [2] или ИСО 14001 [3]), тогда в большинстве случаев предпочтительнее удовлетворить требования настоящего стандарта в рамках этой существующей системы менеджмента.

     2 Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на следующий стандарт:

ISO/IEC 17799:2005, Information technology - Security techniques - Code of practice for information security management (Информационные технологии. Методы и средства обеспечения безопасности. Свод правил по менеджменту информационной безопасности)

________________

 Заменен на ISO/IEC 27002:2005.

     3 Термины и определения


В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 активы (asset): Все, что имеет ценность для организации.

[ИСО/МЭК 13335-1:2004] [4]

3.2 доступность (availability): Свойство объекта находиться в состоянии готовности и возможности использования по запросу авторизованного логического объекта.

[ИСО/МЭК 13335-1:2004] [4]

3.3 конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.

[ИСО/МЭК 13335-1:2004] [4]

3.4 информационная безопасность; ИБ (information security): Свойство информации сохранять конфиденциальность, целостность и доступность.

Примечание - Кроме того, данное понятие может включать в себя также и свойство сохранять аутентичность, подотчетность, неотказуемость и надежность.


[ИСО/МЭК 17799:2005]

3.5 событие информационной безопасности (information security event): Идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью.

[ИСО/МЭК ТО 18044:2004] [5]

3.6 инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

Примечание - Инцидентами информационной безопасности являются:

- утрата услуг, оборудования или устройств;

- системные сбои или перегрузки;

- ошибки пользователей;




- несоблюдение политики или рекомендаций по ИБ;

- нарушение физических мер защиты;

- неконтролируемые изменения систем;

- сбои программного обеспечения и отказы технических средств;

- нарушение правил доступа.


[ИСО/МЭК ТО 18044:2004] [5]

3.7 система менеджмента информационной безопасности; СМИБ (information security management system; ISMS): Часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.

Примечание - Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

3.8 целостность (integrity): Свойство сохранять правильность и полноту активов.

[ИСО/МЭК 13335-1:2004] [4]

3.9 остаточный риск (residual risk): Риск, остающийся после его обработки.

[Руководство ИСО/МЭК 73:2002] [6]

3.10 принятие риска (risk acceptance): Решение по принятию риска.

[Руководство ИСО/МЭК 73:2002] [6]

3.11 анализ риска (risk analysis): Систематическое использование информации для определения источников риска и количественной оценки риска.

[Руководство ИСО/МЭК 73:2002] [6]

3.12 оценка риска (risk assessment): Общий процесс анализа риска и его оценивания.

[Руководство ИСО/МЭК 73:2002] [6]

3.13 оценивание риска (risk evaluation): Процесс сравнения количественно оцененного риска с заданными критериями риска для определения его значимости.

[Руководство ИСО/МЭК 73:2002] [6]

3.14 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в отношении риска.

Примечание - Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и коммуникацию риска.


[Руководство ИСО/МЭК 73:2002] [6]

3.15 обработка риска (risk treatment): Процесс выбора и осуществления мер по модификации риска.

[Руководство ИСО/МЭК 73:2002] [6]

Примечания

1 Меры по обработке риска могут включать в себя избежание, оптимизацию, перенос или сохранение риска.

2 В настоящем стандарте термин "мера управления" (control) использован как синоним термина "мера" (measure).

3.16 положение о применимости (statement of applicability): Документированное предписание, определяющее цели и меры управления, соответствующие и применимые к системе менеджмента информационной безопасности организации.

Примечание - Цели и меры управления основываются на результатах и выводах процессов оценки и обработки рисков, на требованиях законодательных или нормативных актов, на обязательствах по контракту и бизнес-требованиях организации по отношению к информационной безопасности.

     4 Система менеджмента информационной безопасности

     4.1 Общие требования


Организация должна разработать, внедрить, обеспечить функционирование, вести мониторинг, анализировать, поддерживать и непрерывно улучшать документированную СМИБ применительно ко всей деловой деятельности организации и рискам, с которыми она сталкивается. С учетом целей настоящего стандарта используемый процесс основан на применении модели PDCA, приведенной на рисунке 1.

     4.2 Разработка системы менеджмента информационной безопасности. Управление системой менеджмента информационной безопасности

4.2.1 Разработка системы менеджмента информационной безопасности

Организация должна осуществить следующее:

a) определить область и границы действия СМИБ с учетом характеристик бизнеса, организации, ее размещения, активов и технологий, в том числе детали и обоснование любых исключений из области ее действия (см. 1.2);

b) определить политику СМИБ на основе характеристик бизнеса, организации, ее размещения, активов и технологий, которая:

1) содержит концепцию, включающую в себя цели, основные направления и принципы действий в сфере ИБ;

2) принимает во внимание требования бизнеса, нормативно-правовые требования, а также договорные обязательства по обеспечению безопасности;

3) согласуется со стратегическим содержанием менеджмента рисков организации, в рамках которого будет разрабатываться и поддерживаться СМИБ;

4) устанавливает критерии оценки рисков [см. 4.2.1, перечисление с)];

5) утверждается руководством организации.

Примечание - Для целей настоящего стандарта политика СМИБ имеет приоритет перед политикой ИБ. Эти политики могут быть изложены в одном документе;

c) определить подход к оценке риска в организации, для чего необходимо:

1) определить методологию оценки риска, подходящую для СМИБ, которая должна соответствовать требованиям обеспечения деятельности организации и нормативно-правовым требованиям информационной безопасности;

2) разработать критерии принятия риска и определить приемлемые уровни риска [см. 5.1, перечисление f)].

Выбранная методология оценки риска должна обеспечивать сравнимые и воспроизводимые результаты.

Примечание - Имеются различные методологии оценки риска. Примеры таких методологий даны в ИСО/МЭК ТО 13335-3:1998 "Руководство по управлению безопасностью информационных технологий. Часть 3. Методы управления безопасностью информационных технологий" [7];

d) идентифицировать риски, для чего необходимо:

1) идентифицировать активы в пределах области функционирования СМИБ и определить владельцев этих активов;

_______________

 Здесь и далее термин "владелец" определяет лицо или организацию, которые имеют утвержденные руководством обязательства по контролю за производством, разработкой, поддержкой, использованием и безопасностью активов. Термин "владелец" не означает, что лицо действительно имеет какие-либо права собственности на актив.

2) идентифицировать угрозы этим активам;

3) идентифицировать уязвимости активов, которые могут быть использованы угрозами;

4) идентифицировать последствия воздействия на активы в результате возможной утраты конфиденциальности, целостности и доступности активов;

e) проанализировать и оценить риски, для чего необходимо:

1) оценить ущерб для деятельности организации, который может быть нанесен в результате сбоя обеспечения безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности или доступности активов;

2) оценить реальную вероятность сбоя обеспечения безопасности с учетом превалирующих угроз, уязвимостей и их последствий, связанных с этими активами, а также с учетом применяемых мер управления безопасностью;

3) оценить уровни рисков;

4) определить, являются ли риски приемлемыми или требуют обработки с использованием критериев допустимости рисков, установленных в 4.2.1, перечисление с);

f) определить и оценить различные варианты обработки рисков.

Возможные действия:

1) применение подходящих мер управления;

2) сознательное и объективное принятие рисков при условии, что они полностью соответствуют требованиям политики и критериям организации в отношении принятия рисков [см. 4.2.1, перечисление, с), 2)];

3) избежание рисков;

4) передача соответствующих деловых рисков сторонним организациям, например страховщикам или поставщикам;

g) выбрать цели и меры управления для обработки рисков.

Цели и меры управления должны быть выбраны и реализованы так, чтобы удовлетворять требованиям, определенным в процессе оценки и обработки рисков. Этот выбор должен учитывать критерии принятия рисков [см. 4.2.1, перечисление с), 2)], а также нормативно-правовые требования и договорные обязательства.

Цели и меры управления должны быть выбраны согласно приложению А как часть процесса оценки и обработки рисков и соответствовать требованиям этого процесса.

Перечень целей и мер управления, приведенный в приложении А, не является исчерпывающим, а потому могут быть выбраны дополнительные цели и меры управления.

Примечание - Приложение А содержит подробный перечень целей и мер управления, обычно используемых в организациях. Рекомендуется использовать этот перечень в качестве исходных данных, позволяющих выбрать рациональный вариант мер управления и контроля;

h) получить утверждение руководством предполагаемых остаточных рисков;

i) получить разрешение руководства на внедрение и эксплуатацию СМИБ;

j) подготовить Положение о применимости, которое включает в себя следующее:

1) цели и меры управления, выбранные в 4.2.1, перечисление g), и обоснование этого выбора;

2) цели и меры управления, реализованные в настоящее время [см. 4.2.1, перечисление е), 2)];

3) перечень исключенных целей и мер управления, указанных в приложении А, и процедуру обоснования их исключения.

Примечание - Положение о применимости содержит итоговые решения, касающиеся обработки рисков. Обоснование исключений предусматривает перекрестную проверку, позволяющую определить, что ни одна мера управления не была случайно упущена.

4.2.2 Внедрение и функционирование системы менеджмента информационной безопасности

Организация должна выполнить следующее:

a) разработать план обработки рисков, определяющий соответствующие действия руководства, ресурсы, обязанности и приоритеты в отношении менеджмента рисков ИБ (см. раздел 5);

b) реализовать план обработки рисков для достижения намеченных целей управления, включающий в себя вопросы финансирования, а также распределение функций и обязанностей;

c) внедрить меры управления, выбранные согласно 4.2.1, перечисление g), для достижения целей управления;

d) определить способ измерения результативности выбранных мер управления или их групп и использования этих измерений для оценки результативности управления с целью получить сравнимые и воспроизводимые данные [см. 4.2.3, перечисление с)].

Примечание - Измерение результативности мер управления позволяет руководителям и персоналу определить, в какой степени меры управления способствуют достижению намеченных целей управления;

e) реализовать программы по обучению и повышению квалификации сотрудников (см. 5.2.2);

f) управлять работой СМИБ;

g) управлять ресурсами СМИБ (см. 5.2);

h) внедрить процедуры и другие меры управления, обеспечивающие быстрое обнаружение событий ИБ и реагирование на инциденты, связанные с ИБ [см. 4.2.3, перечисление а)].

4.2.3 Проведение мониторинга и анализа системы менеджмента информационной безопасности

Организация должна осуществлять следующее:












Приложение В
(справочное)

     
Принципы Организации экономического сотрудничества и развития и настоящий стандарт


Принципы, представленные в Руководстве ОЭСР по обеспечению безопасности информационных систем и сетей [1], применимы ко всем уровням политики и эксплуатации, которые определяют безопасность информационных систем и сетей. Настоящий стандарт предлагает концептуальную основу системы менеджмента информационной безопасности для реализации некоторых из принципов ОЭСР с использованием модели PDCA и процессов, описанных в разделах 4, 5, 6 и 8. Принципы ОЭСР и модель PDCA приведены в таблице В.1.


Таблица В.1 - Принципы ОЭСР и модель PDCA

Принцип ОЭСР

Соответствующий процесс СМИБ и стадия PDCA

Осведомленность

Участники должны быть осведомлены о необходимости обеспечения безопасности информационных систем и сетей и о том, что они могут сделать для повышения уровня безопасности

Данные мероприятия являются частью стадии "Осуществление" (см. 4.2.2 и 5.2)

Ответственность

Все участники являются ответственными за безопасность информационных систем и сетей

Данные мероприятия являются частью стадии "Осуществление" (см. 4.2.2 и 5.1)

Реагирование

Участники должны действовать совместно и своевременно, чтобы предотвращать, обнаруживать инциденты безопасности и реагировать на них

Является частью стадии "Проверка" деятельности по мониторингу (см. 4.2.3, раздел 6 и 7.3) и мероприятий по реагированию стадии "Действие" (см. 4.2.4, 8.1, 8.2 и 8.3). Данные мероприятия могут быть также охвачены некоторыми элементами стадий "Планирование" и "Проверка"

Оценка риска

Участники должны проводить оценку рисков

Этот вид деятельности является частью стадии "Планирование" (см. 4.2.1), а повторная оценка (переоценка) риска является частью стадии "Проверка" (см. 4.2.3, раздел 6 и 7.3)

Разработка и внедрение безопасности

Участники должны внедрить безопасность как важный элемент информационных систем и сетей

После выполнения оценки рисков выбирают меры управления для обработки рисков как часть стадии "Планирование" (см. 4.2.1). Стадия "Осуществление" (см. 4.2.2 и 5.2) охватывает затем внедрение и обеспечение функционирования этих мер управления

Менеджмент безопасности

Участники должны применять всесторонний подход к менеджменту безопасности

Менеджмент рисков представляет собой процесс, включающий в себя предотвращение, обнаружение инцидентов и реагирование на них, сопровождение, анализ и аудит. Все эти вопросы решают на стадиях "Планирование", "Осуществление", "Проверка" и "Действие"

Повторная оценка

Участники должны анализировать и повторно оценивать состояние безопасности информационных систем и сетей, и вносить соответствующие изменения в политику, практику, меры и процедуры безопасности

Переоценка (повторная оценка) информационной безопасности является частью стадии "Проверка" (см. 4.2.3, раздел 6 и 7.3), на которой должны быть предприняты регулярные анализы эффективности системы менеджмента информационной безопасности, а повышение уровня безопасности является частью стадии "Действие" (см. 4.2.4, 8.1, 8.2 и 8.3)



Приложение С
(справочное)

     
Сравнение структуры настоящего стандарта со структурой международных стандартов ИСО 9001:2000, ИСО 14001:2004


В таблице С.1 приведено сравнение структур ИСО 9001:2000, ИСО 14001:2004 и настоящего стандарта.


Таблица С.1 - Сравнение структур ИСО 9001:2000, ИСО 14001:2004 и настоящего стандарта

Настоящий стандарт

ИСО 9001:2000

ИСО 14001:2004

Введение

Введение

Введение

Общие положения

Общие положения

Процессный подход

Процессный подход

Связь с ИСО 9004 [9]

Возможность совместного использования с другими системами управления

Совместимость с другими системами менеджмента

1 Область применения

1 Область применения

1 Область применения

1.1 Общие положения

1.1 Общие положения

1.2 Применение

1.2 Применение

2 Нормативные ссылки

2 Нормативные ссылки

2 Нормативные ссылки

3 Термины и определения

3 Термины и определения

3 Термины и определения

4 Система менеджмента информационной безопасности

4 Система менеджмента качества

4 Требования системы управления в области охраны окружающей среды

4.1 Общие требования

4.1 Общие требования

4.1 Общие требования

4.2 Разработка СМИБ. Управление СМИБ

4.2.1 Разработка СМИБ

4.2.2 Внедрение и функционирование СМИБ

4.4 Внедрение и эксплуатация

4.2.3 Проведение мониторинга и анализа СМИБ

8.2.3 Мониторинг и измерение процессов

4.5.1 Мониторинг и измерение

8.2.4 Мониторинг и измерение продукции

4.2.4 Поддержка и улучшение СМИБ

-

-

4.3 Требования к документации

4.2 Требования к документации

4.3.1 Общие положения

4.2.1 Общие положения

4.2.2 Руководство по качеству

-

4.3.2 Управление документами

4.3.2 Управление документацией

4.4.5 Меры контроля документации

4.3.3 Управление записями

4.2.4 Управление записями

4.5.4 Меры контроля в отношении учетных записей

5 Ответственность руководства

5 Ответственность руководства

5.1 Обязательства руководства

5.1 Обязательства руководства

5.2 Ориентация на потребителя

5.3 Политика в области качества

4.2 Политика в области охраны окружающей среды

5.4 Планирование

4.3 Планирование

5.5 Ответственность, полномочия и обмен информацией

5.2 Управление ресурсами

6 Управление ресурсами

5.2.1 Обеспечение ресурсами

6.1 Обеспечение ресурсами

6.2 Человеческие ресурсы

5.2.2 Подготовка, осведомленность и квалификация персонала

6.2.2 Компетентность, осведомленность и подготовка

6.3 Инфраструктура

6.4 Производственная среда

4.4.2 Обучение, осведомленность и компетентность

6 Внутренние аудиты СМИБ

8.2.2 Внутренние аудиты (проверки)

4.5.5 Внутренний аудит

7 Анализ СМИБ со стороны руководства

5.6 Анализ со стороны руководства

4.6 Контрольный анализ со стороны руководства

7.1 Общие положения

5.6.1 Общие положения

7.2 Входные данные для анализа СМИБ

5.6.2 Входные данные для проведения контрольного анализа

7.3 Выходные данные анализа СМИБ

5.6.3 Выходные данные контрольного анализа

8 Улучшение СМИБ

8.5 Совершенствование

8.1 Постоянное улучшение

8.5.2 Непрерывное совершенствование

8.2 Корректирующие действия

8.5.3 Корректирующие действия

4.5.3 Несоответствие, коррективные и превентивные действия

8.3 Предупреждающие действия

8.5.4 Превентивные действия

Приложение А Цели и меры управления

-

Приложение А Руководство по использованию этого стандарта

Приложение В Принципы ОЭСР и настоящий стандарт

-

-

Приложение С Сравнение структуры настоящего стандарта со структурами международных стандартов ИСО 9001:2000, ИСО 14001:2004

Приложение А Соответствие ИСО 9001:2000 и ИСО 14001:2004

Соответствие между ИСО 14001:2004 и ИСО 9001:2000

Приложение D Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам

-

-



Приложение ДА
(справочное)

     Сведения о соответствии ссылочных международных стандартов национальным стандартам



Таблица ДА.1

Обозначение ссылочного международного стандарта

Степень соответствия

Обозначение и наименования соответствующего национального стандарта

ISO/IEC 17799:2005

IDT

ГОСТ Р ИСО/МЭК 27002-2012 "Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности"

Примечание - В настоящей таблице использовано следующее условное обозначение степени соответствия стандарта:

- IDT - идентичный стандарт.




Библиография

[1]

OECD, Guidelines for the Security of Information Systems and Networks - Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org (ОЭСР. Руководство по обеспечению безопасности информационных систем и сетей. Совершенствование безопасности. Париж: ОЭСР, июль 2002)

[2]

ISO 9001-2000

Quality management systems - Requirements (Система менеджмента качества. Требования)

[3]

ISO 14001:2004

Environmental management systems - Requirements with guidance for use (Системы управления окружающей средой. Требования и руководство по применению)

[4]

ISO/IEC 13335-1:2004

Information technology - Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management (Информационная технология. Методы обеспечения безопасности. Управление безопасностью информационных и телекоммуникационных технологий. Часть 1. Концепция и модели управления безопасностью информационных и телекоммуникационных технологий)

[5]

ISO/IEC TR 18044:2004

Information technology - Security techniques - Information security incident management (Информационная технология. Методы обеспечения безопасности. Управление инцидентами информационной безопасности)

[6]

ISO/IEC Guide 73:2002

Risk management - Vocabulary - Guidelines for use in standards (Управление риском. Словарь. Руководящие указания по использованию в стандартах)

[7]

ISO/IEC TR 13335-3:1998

Information technology - Guidelines for the management of IT Security - Part 3: Techniques for the management of IT security (Информационная технология. Рекомендации по управлению безопасностью информационных технологий. Часть 3. Методы управления безопасностью информационных технологий)

[8]

ISO 19011:2002

Guidelines for quality and/or environmental management systems auditing (Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента)

[9]

ISO 9004:2000

Quality management systems - Guidelines for performance improvements (Системы менеджмента качества. Рекомендации по улучшению деятельности)






Комментарии 0