ISO/IEC 27001
ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC27 Объединённого технического комитета JTC 1. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).
Цель и назначение стандарта
Назначение стандарта
В стандарте ISO/IEC 27001 (ISO 27001) собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).
Цель стандарта
Цель СМИБ — выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.
Основные понятия
Информационная безопасность — сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.
- Конфиденциальность — обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).
- Целостность — обеспечение точности и полноты информации, а также методов её обработки.
- Доступность — обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).
Само понятие «защиты информации» трактуется международным стандартом как обеспечение конфиденциальности, целостности и доступности информации. Основа стандарта ИСО 27001 — система управления рисками, связанными с информацией. Система управления рисками позволяет получать ответы на следующие вопросы:
- на каком направлении информационной безопасности требуется сосредоточить внимание;
- сколько времени и средств можно потратить на данное техническое решение для защиты информации.
Краткая история развития серии стандартов по информационной безопасности
Первым стандартом по информационной безопасности, является принятый на государственном уровне в 1995 году и разработанный Британским институтом стандартов BS 7799 — Part 1. В 1999 году эта версия стандарта была переработана и передана в Международную Организацию по Сертификации, а в 2000 году утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005. В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 Part 2 Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью). Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».[1]
Основные принципы и подходы стандарта ISO/IEC 27001:2013
Стандарт ISO 27001 гармонизирован со стандартами систем менеджмента качества ISO 9001:2000 и ISO 14001:2004 и базируется на их основных принципах и процессном подходе. Более того, обязательные процедуры стандарта ISO 9001 требуются и стандартом ISO 27001. Структура документации по требованиям ISO 27001 аналогична структуре по требованиям ISO 9001. Большая часть документации, требуемая по ISO 27001, уже могла быть разработана, и могла использоваться в рамках ISO 9001. Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO 9001 или ISO 14001, то предпочтительно обеспечивать выполнение требования стандарта ISO 27001 в рамках уже существующих систем.[2] Также основными принципами стандарта ISO 27001 являются:
- Конфиденциальность информации
- Целостность информации
- Доступность информации
Структура Стандарта ISO/IEC 27001:2005
- Предисловие
- Введение
- Область приложения
- Нормативные ссылки
- Термины и определения
- Система менеджмента защиты информации
- Ответственность руководства
- Внутренние аудиты СМИБ
- Анализ СМИБ со стороны руководства
- Улучшение СМИБ
- Приложение А (обязательное) цели управления и средства управления
- Приложение В (информационное) принципы OECD и этот международный стандарт
- Приложение С (информационное) соответствие между ISO 9001:2000, ISO 14001:2004 и этим международным стандартом
- Библиография
Последняя версия стандарта ISO/IEC 27001:2013
В 2013 году Международной организацией по сертификации была разработана и принята новая версия стандарта ISO/IEC 27001:2013. Изменения коснулись как структуры стандарта, так и требований.
Изменения в структуре стандарта ISO/IEC 27001:2013
Структура основных требований стандарта ISO/IEC 27001:2013 приведена в соответствии с Директивами ISO/IEC (то есть все стандарты международной организации будут иметь идентичную структуру разделов). На русский язык данная версия стандарта ещё не переведена, но английский вариант текстового содержания нового стандарта таков:
- Introduction
- Scope
- Normative references
- Terms and definitions
- Context of organization
- Leadership
- Planning
- Support
- Operation
- Performance evaluation
- Improvement
Также произошли изменения в структуре Приложения «А» стандарта. Появились три новых раздела:
- «A.10 Криптография»,
- «A.13 Безопасность коммуникаций»,
- «A.15 Взаимоотношения с поставщиками».
Раздел «А.10 Криптография» не является новым, его требования повторяют отдельные пункты раздела А.12 старой версии стандарта. Разделы «A.13 Безопасность коммуникаций» и «A.15 Взаимоотношения с поставщиками» собрали отдельные пункты по разделам Приложения «А» версии 2005, а также включили некоторые новые требования.
Изменения в требованиях стандарта ISO/IEC 27001:2013
Изменения в основной части новой версии стандарта ISO/IEC 27001:2013:
- четко сформулированы требования к целям системы менеджмента информационной безопасности.
- упрощены требования к текстовому описанию рисков
- исключена обязательность выпуска «Положения о принятии остаточных рисков» со стороны высшего руководства.
- установлена четкая связка «Положения о применимости — SoA».
- введено понятие и требование по определению «Владельца риска» вместо «Владельца актива».
- четко сформулированы и дополнены требования по мониторингу СМИБ.
- упрощены требования к управлению документацией и записями системы менеджмента информационной безопасности.
- четко определены требования по коммуникациям в рамках системы менеджмента информационной безопасности.
Наиболее существенным изменением в основной части является требование по определению «Владельцев рисков».
Новые требования в рамках Приложения «А» ISO/IEC 27001:2013:
- A.6.1.4 Information security in project management
- A.12.6.2 Restrictions on software installation
- A.14.2.1 Secure development policy
- A.14.2.5 System development procedures
- A.14.2.6 Secure development environment
- A.14.2.8 System security testing
- A.15.1.1 Information security policy for supplier relationships
- A.15.1.3 Information and communication technology supply chain
- A.16.1.4 Assessment and decision of information security events
- A.17.1.2 Implementing information security continuity
- A.17.2.1 Availability of information processing facilities
В приложении «А» количество требований (контролей) уменьшилось со 133 до 113. Приложение «А» ISO/IEC 27001 содержит перечень целей и средств управления, которые совпадают с аналогичными целями и средствами управления в ISO 27002, но не столь детализированы. Приложение «B» содержит таблицу, в которой показано соответствие процедур СМИБ и этапов PDCA принципам Организации по экономическому сотрудничеству и развитию (OECD). Если компания уже внедрила ISO 9001 или ISO 14001, то ей понадобится Приложение «С», которое содержит таблицу соответствия требований стандартов ISO 9001, 14001 и 27001.[3]
Сертификация
Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех стадий:
- стадия 1 — изучение аудитором ключевых документов системы менеджмента информационной безопасности — положение о применимости (SoA), план обработки рисков (RTP), и др. Может выполняться как на территории организации так и путём высылки этих документов внешнему аудитору;
- стадия 2 — детальный, глубокий аудит включая тестирование внедренных мер и оценка их эффективности. Включает полное изучение документов, которые требует стандарт;
- стадия 3 — выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.
Процедура сертификации системы менеджмента по любому из международных стандартов или их комбинации подразделяется на 4 этапа:
Основные этапы и процедура сертификации систем менеджмента
- 1 этап. Подготовка к сертификации;
- 2 этап. Аудит 1-й ступени (проверка готовности к сертификации);
- 3 этап. Аудит 2-й ступени (сертификационный аудит);
- 4-й этап. Выдача сертификата и надзор.
См. также
Примечания
Ссылки
- Оригинал ISO 27001 Британского института стандартов Архивная копия от 27 ноября 2007 на Wayback Machine
- ISO 17799 и ISO 27001 Wiki Архивная копия от 24 июля 2020 на Wayback Machine
- Авторский блог Дорлова
- История стандартов информационной безопасности
- «Международный стандарт ISO/IEC 27001:2013: Взгляд в будущее индустрии ИБ»
- Новый ИСО 27001
- Блог Жизнь 80/20: Про обновление ISO 27001:2013
- Стандарты Банка России в области информационной безопасности
- How to get ISO 27001 certification. Блог.