суббота, 2 апреля 2016 г.

ISO 27000 или Best practice Управления информационной безопасностью

ISO 27000, серию международных общепризнанных документов называют Best practice в деятельности по управлению информационной безопасностью, включающий в себя весь лучший мировой опыт и практические знания. В России существуют официальные утвержденные документы принятые в качестве национальных стандартов и выпускаемые под общим названием ГОСТ ИСО/МЭК. В сегодняшней публикации мы в первом приближении и рассмотрим эти документы

И так, ISO/IEC 27000 — серия международных  общепризнанных стандартов, включающая стандарты по информационной безопасности опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC).

Серия документов содержит лучшие практики (Best practice) и рекомендации в области информационной безопасности для создания, развития и поддержания Системы Менеджмента Информационной Безопасности. В России на основании этих документов издаются отечественные стандарты под общим названием  ГОСТ ИСО/МЭК ХХХХ

Это семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению.

Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее.

ISO27000
ISO/IEC 27000:2009
Information technology - Security techniques - Information security management systems - Overview and vocabulary
Информационные технологии - Методы обеспечения безопасности - Системы менеджмента информационной безопасности - Определения и основные принципы
ISO27001
ISO/IEC 27001:2013 
Information technology - Security techniques - Information security management systems - Requirements. Second edition 2013-10-01
Информационные технологии - Методы обеспечения безопасности - Системы менеджмента информационной безопасности - Требования. Вторая редакция 01.10.2013
ISO27002
ISO/IEC 27002:2013

Information technology - Security techniques - Code of practice for information security management. Second edition 2013-10-01

Информационные технологии - Методы обеспечения безопасности - Практические правила управления информационной безопасностью. Вторая редакция 01.10.2013
ISO27003
ISO/IEC 27003:2010

Information Technology - Security Techniques - Information Security Management Systems Implementation Guidance

Информационные технологии - Методы обеспечения безопасности - Руководство по внедрению системы управления информационной безопасностью
ISO27004
ISO/IEC 27004:2009

Information technology - Security techniques - Information security management - Measurement

Информационные технологии - Методы обеспечения безопасности - Системы менеджмента информационной безопасности - Измерение
ISO27005
ISO/IEC 27005:2011

Information technology - Security techniques - Information security risk management. Second edition, 2011

Информационные технологии - Методы обеспечения безопасности - Управление рисками информационной безопасности. Вторая редакция, 2011
ISO27006
ISO/IEC 27006:2007

Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems

Информационные технологии - Методы обеспечения безопасности - Требования к органам аудита и сертификации систем управления информационной безопасностью
ISO27007
ISO/IEC 27007:2011

Information technology - Security techniques - Guidelines for Information Security Management Systems auditing

Информационные технологии - Методы обеспечения безопасности - Руководство по аудиту Систем менеджмента информационной безопасности
ISO27008
ISO/IEC TR 27008:2011

Information technology - Security techniques - Guidance for auditors on ISMS controls

Информационные технологии - Методы обеспечения безопасности - Руководство для аудиторов по механизмам контроля СМИБ
ISO27010 
ISO/IEC 27010:2012

Information technology - Security techniques - Information security management for inter-sector communications

Информационные технологии - Методы обеспечения безопасности - Управление информационной безопасностью при коммуникациях между секторами

Стандарт представляет собой руководство по совместному использованию информации о рисках информационной безопасности, механизмах контроля, проблемах и/или инцидентах, выходящей за границы отдельных секторов экономики и государств, особенно в части, касающейся "критичных инфраструктур".
ISO27011
ISO/IEC 27011:2008

Information technology - Security techniques - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

Информационные технологии - Методы обеспечения безопасности - Руководство по управлению информационной безопасностью для телекоммуникаций
ISO27013
ISO/IEC 27013:2012

Information technology - Security techniques - Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001

Информационные технологии - Методы обеспечения безопасности - Руководство по интегрированному внедрению ISO/IEC 20000-1 и ISO/IEC 27001
ISO27014 
ISO/IEC 27014:2013

Information technology - Security techniques - Information security governance framework

Информационные технологии - Методы обеспечения безопасности - Базовая структура управления информационной безопасностью
ISO27015
ISO/IEC TR 27015:2012

Information technology - Security techniques - Information security management systems guidelines for financial and insurance sectors

Информационные технологии - Методы обеспечения безопасности - Руководство по внедрению систем управления информационной безопасностью в финансовом и страховом секторе
 ISO27018
ISO/IEC 27018:2014

Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors. First edition, August 2014.

Информационные технологии - Методы обеспечения безопасности - Практическое руководство по защите персонально идентифицируемой информации (ПИИ) в публичных облаках, используемых для обработки ПИИ. Первая редакция, Август 2014.
ISO27031
ISO/IEC 27031:2011

Information technology - Security techniques - Guidelines for information and communications technology readiness for business continuity

Информационные технологии - Методы обеспечения безопасности - Руководство по обеспечению готовности информационных и коммуникационных технологий к их использованию для управления непрерывностью бизнеса
ISO27032 
ISO/IEC 27032:2012

Information technology - Security techniques - Guidelines for cybersecurity

Информационные технологии - Методы обеспечения безопасности - Руководство по обеспечению кибербезопасности
ISO27033
ISO/IEC 27033-1:2009
Information technology - Security techniques - Network security - Overview and concept
Информационные технологии - Методы обеспечения безопасности - Сетевая безопасность - Основные концепции управления сетевой безопасностью
ISO/IEC 27033-2:2012
Information technology - Security techniques - Network security - Guidelines for the design and implementation of network security
Информационные технологии - Методы обеспечения безопасности - Сетевая безопасность - Руководство по проектированию и внедрению системы обеспечения сетевой безопасности
ISO/IEC 27033-3:2010
Information technology - Security techniques - Network security - Reference networking scenarios - threats, design techniques and control issues
Информационные технологии - Методы обеспечения безопасности - Сетевая безопасность - Базовые сетевые сценарии - угрозы, методы проектирования и механизмы контроля
ISO/IEC 27033-4:2014
Information technology - Security techniques - Network security - Securing communications between networks using security gateways - threats, design techniques and control issues
Информационные технологии - Методы обеспечения безопасности - Сетевая безопасность - Обеспечение безопасности межсетевых взаимодействий при помощи шлюзов безопасности - угрозы, методы проектирования и механизмы контроля
ISO/IEC 27033-5
Information technology - Security techniques - Network security - Securing Virtual Private Networks - threats, design techniques and control issues
Информационные технологии - Методы обеспечения безопасности - Сетевая безопасность - Обеспечение безопасности Виртуальных Частных Сетей - угрозы, методы проектирования и механизмы контроля
ISO/IEC 27033-6
Information technology - Security techniques - Network security - IP convergence
Информационные технологии - Методы обеспечения безопасности - Сетевая безопасность - Конвергенция в IP сетях 
ISO/IEC 27033-7
Information technology - Security techniques - Network security - Guidelines for securing wireless networking - Risks, design techniques and control issues
Информационные технологии - Методы обеспечения безопасности - Сетевая безопасность - Руководство по обеспечению безопасности беспроводных сетей - Риски, методы проектирования и механизмы контроля.
ISO 27033 заменяет известный международный стандарт сетевой безопасности ISO 18028, состоящий из пяти частей.
ISO27034
ISO/IEC 27034-1:2011
Information technology - Security techniques - Application security overview and concepts
Информационные технологии - Методы обеспечения безопасности - Обзор и основные концепции в области обеспечения безопасности приложений
ISO/IEC 27034-2
Information technology - Security techniques - Application security - Organization Normative Framework (draft)
Информационные технологии - Методы обеспечения безопасности - Безопасность приложений - Нормативная база организации (проект)
ISO/IEC 27034-3
Information technology - Security techniques - Application Security Management Process (pre-draft)
Информационные технологии - Методы обеспечения безопасности - Процесс управления безопасностью приложений (проект)
ISO/IEC 27034-4
Information technology - Security techniques - Application security validation (pre-draft)
Информационные технологии - Методы обеспечения безопасности - Оценка безопасности приложений (проект)
ISO/IEC 27034-5
Information technology - Security techniques - Protocols and application security control data structure (pre-draft)
Информационные технологии - Методы обеспечения безопасности - Протоколы и структура управляющей информации для обеспечения безопасности приложений (XML схема) (проект)
ISO/IEC 27034-6
Information technology - Security techniques - Security guidance for specific applications (pre-draft)
Информационные технологии - Методы обеспечения безопасности - Руководство по обеспечению безопасности конкретных приложений (проект)
ISO27035
ISO/IEC 27035:2011

Information technology - Security techniques - Security incident management

Информационные технологии - Методы обеспечения безопасности - Управление инцидентами безопасности
ISO27036
ISO/IEC 27036-1:2014

Information technology - Security techniques - Guidelines for security of outsourcing - Part 1: Overview and concepts

Информационные технологии - Методы обеспечения безопасности - Информационная безопасность при взаимодействии с поставщиками - Часть 1: Обзор и концепции

ISO/IEC 27036-2:2014

Information technology - Security techniques - Information security for supplier relationships - Part 2: Requirements

Информационные технологии - Методы обеспечения безопасности - Руководство по взаимодействию с поставщиками - Часть 2: Требования

ISO/IEC 27036-3:2013

Information technology - Security techniques - Guidelines for security of outsourcing

Информационные технологии - Методы обеспечения безопасности - Информационная безопасность при взаимодействии с поставщиками - Часть 3: Руководящие указания по защите цепей поставки информационных и коммуникационных технологий
ISO27037
ISO/IEC 27037:2012

Information technology - Security techniques - Guidelines for identification, collection and/or acquisition and preservation of digital evidence

Информационные технологии - Методы обеспечения безопасности - Руководство по идентификации, сбору и/или получению и обеспечению сохранности цифровых свидетельств

Разработан на базе британского стандарта BS 10008:2008 Evidential weight and legal admissibility of electronic information. Specification
ISO27040
ISO/IEC 27040:2015

Information technology - Security techniques - Storage security

Информационные технологии - Методы обеспечения безопасности - Безопасность хранения данных
ISO27041
ISO/IEC 27041:2015

Information technology -- Security techniques -- Guidance on assuring suitability and adequacy of incident investigative method

Информационные технологии - Методы обеспечения безопасности - Руководство по предоставлению гарантий пригодности и адекватности метода расследования инцидента
ISO27042
ISO/IEC 27042:2015

Information technology -- Security techniques -- Guidelines for the analysis and interpretation of digital evidence

Информационные технологии - Методы обеспечения безопасности - Руководство по анализу и интерпретации цифровых свидетельств
ISO27799
ISO 27799:2008

Health informatics - Information security management in health using ISO/IEC 27002

Информатика в здравоохранении - Менеджмент безопасности информации по стандарту ISO/IEC 27002


Состав отечественной  серии стандартов ИСО/МЭК 27000 (ISO/IEC 2007): 
  • ИСО/МЭК 27000 «Информационные технологии. Средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и словарь»; 
  • ИСО/МЭК 27001:2005 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»; 
  • ИСО/МЭК 27002:2005 «Информационные технологии. Средства обеспечения. Свод практики для менеджмента информационной безопасности»; 
  • ИСО/МЭК 27003 «Информационные технологии. Руководство по осуществлению системы менеджмента информационной безопасности»; 
  • ИСО/МЭК 27004 “Информационные технологии. Средства обеспечения безопасности. Измерения менеджмента информационной безопасности»; 
  • ИСО/МЭК 27005:2008 «Информационные технологии. Средства обеспечения безопасности. Риск-менеджмент информационной безопасности»; 
  • ИСО/МЭК 27006:2007 «Информационные технологии. Средства обеспечения безопасности. Требования для органов, выполняющих аудит и сертификацию систем менеджмента информационной безопасности»; 
  • ИСО/МЭК 27007 «Информационные технологии. Средства обеспечения безопасности. Руководящие указания для аудита систем менеджмента информационной безопасности»; 
  • ИСО/МЭК 27011 «Информационные технологии. Средства обеспечения безопасности. Руководящие указания по менеджменту информационной безопасности для телекоммуникаций». 

Кроме того в Российской Федерации на безопасность информационных технологий действуют следующие стандарты: 
  • ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»; 
  • ГОСТ Р ИСО/МЭК 15408-2-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»; 
  • ГОСТ Р ИСО/МЭК 15408-3-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности»; 
  • ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты»; 
  • ЦБР СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». 


Дополнительные сведения о серии стандартов вы так же можете почитать в блоге Дорлова и на сайте ISO27000

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...