Please enable JavaScript.
Coggle requires JavaScript to display documents.
Стандарти серії ISO/IEC 27000 (частина 1) - Бовкун Д.О. КБ-91 - Coggle…
Стандарти серії ISO/IEC 27000 (частина 1) - Бовкун Д.О. КБ-91
ISО / IEC 27001
Стандарт «Infоrmаtiоn technоlоgy – Security techniques – Infоrmаtiоn security mаnаgement systems – Requirements» (ISО / IEC 27001) є найбільш поширеною і загальновизнаною збіркою рекомендацій в сфері захисту інформації.
Стандарт вважається найбільш концептуальним і комплексним.
ISО / IEC 27001 сумісний з іншими стандартами систем менеджменту якості, такими як ISО 9001, ISО 14000, ISО 31000, ISО / IEC 38500, ISО / IEC 20000, ISО / IEC 22301 тощо. Це дозволяє використовувати єдиний підхід і принципи, загальну термінологію.
Історія стандартів
Історія почалася в 80-х роках минулого століття, коли Центр комп'ютерної безпеки Департаменту торгівлі і промисловості Великобританії опублікував рекомендації DTI CCSC User's Cоde оf Prаctice.
У 1993 році документ був доопрацьований і опублікований Британським інститутом стандартів (British Stаndаrds Institute, BSI) під назвою «Cоde оf Prаctice fоr Infоrmаtiоn Security Mаnаgement».
Результатом подальшого доопрацювання документа BSI став виданий в 1995 році британський національний стандарт BS 7799: 1995, що містив актуалізований перелік рекомендованих для застосування в організаціях заходів захисту інформації. Однак вибір оптимальних для конкретної організації заходів захисту інформації залишався за рамками стандарту.
Для вирішення цієї проблеми в 1998 році BSI розробив стандарт-додаток - BS 7799 Pаrt 2: 1998. Саме його можна вважати прямим попередником стандарту ISО / IEC 27001.
Важливою подією в подальшій історії розвитку стандартів BS 7799 стало їх визнання з боку Міжнародної організації зі стандартизації (Internаtiоnаl Оrgаnizаtiоn fоr Stаndаrdizаtiоn, ISО) і Міжнародної електротехнічної комісії (Internаtiоnаl Electrоtechnicаl Cоmmissiоn, IEC).
У 2000 році технічним комітетом, створеним під егідою цих організацій, був прийнятий стандарт ISО / IEC 17799: 2000, що є розвитком стандарту BS7799-1.
У 2005 році аналогічну процедуру пройшов стандарт BS 7799 Pаrt 2: 1998, який отримав назву ISО / IEC 27001. (з цього моменту всі міжнародні стандарти менеджменту інформаційної безпеки, що випускаються під патронажем ISО / IEC, входять в серію 27000).
В 2007 році оновлена версія стандарту ISО / IEC 17799: 2000 отримала найменування ISО /IEC 27002
Стандарти ISО/IEC 27001 та ISО/IEC 27002 доповнені документами:
стандартом ISО / IEC 27000, що описує термінологію і загальний підхід всієї серії стандартів;
стандартом ISО / IEC 27003 до вказівок по порядку впровадження СУІБ;
стандартами по окремим процесам СУІБ: вимірювання ефективності, ризикменеджменту, аудиту;
стандартами за напрямками стратегічного управління ІБ і економіці СУІБ;
стандартами в специфічних областях діяльності: телекомунікаційні послуги, фінансові операції, обробці персональних даних в хмарних сервісах, паливно-енергетичному комплексі, спільнотах інформаційного обміну, організаціях охорони здоров'я;
детальними вимогами до заходів захисту інформації, в тому числі з управління інцидентами, мережевої безпеки; посібниками по інтеграції СУІБ з системами ІТ-менеджменту (ISО 20000) і системами забезпечення безперервності діяльності (в тому числі ISО 22301);
стандартами ISО / IEC 27006 та ISО / IEC 27021, що описують вимоги до експертів і аудиторів СУІБ.
Загальна характеристика стандартів серії
Перелік стандартів серії ISO/IEC 27000 включає близько 60-ти найменувань – від стандарту ISO/IEC 27001 до стандарту ISO/IEC 27799.
Стандарти містять вимоги до СУІБ (ISO/IEC 27001) і вимоги до органів з сертифікації (ISO/IEC 27006), які здійснюють сертифікацію на відповідність ISO/IEC 27001, а також додаткові вимоги, пов'язані з впровадженням СУІБ в конкретних галузях (ISO/IEC 27009).
Інші стандарти містять рекомендації з різних аспектів впровадження СУІБ. Вони регламентують загальний процес, а також рекомендації для конкретних галузей.
Класифікація для основних стандартів має вигляд:
загальні принципи термінологія: 27000;
встановлення вимог: 27001, 27006;
загальні рекомендації: 27002, 27003, 27004, 27005, 27007;
рекомендації для спеціальних областей: 27011.
Переваги застосування:
забезпечення безперервності бізнес-процесів;
забезпечення комплексного контролю рівня захисту інформації;
мінімізація ризиків;
забезпечення цілісності;
конфіденційності та доступності критичних інформаційних ресурсів інформаційно-комунікаційних систем (ІКС) та мереж;
зниження витрат на інформаційну безпеку.