вторник, 29 июня 2021 г.

Росстандарт: Опубликованы новые редакции отечественных адаптаций стандартов системы менеджмента информационной безопасности

На сайте Федерального агентства по техническому регулированию и метрологии ( http://www.gost.ru/ ) в июньском 2021 года разделе ( http://protect.gost.ru/default.aspx?control=6&month=6&year=2021 ) выложен стандарт ГОСТ Р ИСО/МЭК 27000-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология» объёмом 28 страниц, вступающий в силу 30.11.2021 года, см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230305

Стандарт разработан Федеральным исследовательским центром «Информатика и управление» Российской академии наук (ФИЦ ИУ РАН), ООО «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) и акционерным обществом «Эксперт» (АО «Эксперт») на основе одноимённого свободно распространяемого международного стандарта ISO/IEC 27000:2018 «Information technology - Security techniques - Information security management systems - Overview and vocabulary», см. https://www.iso.org/standard/73906.html и https://www.iso.org/obp/ui/#!iso:std:73906:en (этот стандарт можно скачать по адресу https://standards.iso.org/ittf/PubliclyAvailableStandards/c073906_ISO_IEC_27000_2018_E.zip ).

Во вводной части отмечается

«Настоящий стандарт содержит общий обзор систем менеджмента информационной безопасности (СМИБ). В нем приведены термины и определения, используемые в семействе стандартов СМИБ. Настоящий стандарт применим к организациям любого типа и размера (например, коммерческим предприятиям. правительственным учреждениям, некоммерческим организациям).

Термины и определения, представленные в настоящем стандарте:

  • охватывают общие термины и определения, используемые в семействе стандартов СМИБ;

  • не охватывают все термины и определения, применяемые в семействе стандартов СМИБ:

  • не ограничивают применение новых терминов в семействе стандартов СМИБ.»

Содержание документа следующее:

Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Системы менеджмента информационной безопасности (СМИБ)
5. Семейство стандартов СМИБ.
Библиография

Также опубликованы:

ГОСТ Р ИСО/МЭК 27002-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности» объёмом 74 страницы, вступающий в силу 30.11.2021 года, см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230363 

Стандарт разработан Федеральным исследовательским центром «Информатика и управление» Российской академии наук (ФИЦ ИУ РАН), ООО «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) и акционерным обществом «Эшелон - Северо-Запад» (АО «Эшелон-СЗ») на основе одноимённого международного стандарта ISO/IEC 27002:2013 «Информационная технология - Методы и средства обеспечения безопасности - Свод норм и правил применения мер обеспечения информационной безопасности» (Information technology - Security techniques - Code of practice for information security controls), см. https://www.iso.org/standard/54533.html и https://www.iso.org/obp/ui/#!iso:std:54533:en .

Во вводной части отмечается

«В настоящем стандарте содержатся рекомендации по созданию и практическому использованию в организации системы менеджмента информационной безопасности (СМИБ), включая вопросы выбора. внедрения и применения полноценного набора мер обеспечения ИБ. соответствующих совокупности имеющихся в данной организации рисков ИБ.

Настоящий стандарт предназначен для использования организациями, которые намерены:

a) выбрать меры обеспечения ИБ в процессе внедрения системы менеджмента информационной безопасности на основе ИСО/МЭК 27001;

b) внедрить общепринятые меры обеспечения ИБ;

c) разработать свои собственные руководства по менеджменту ИБ.»

Содержание документа следующее:

Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Структура стандарта
5. Политики информационной безопасности
6. Организация деятельности по информационной безопасности
7. Безопасность, связанная с персоналом
8. Менеджмент активов
9. Управление доступом
10. Криптография
11. Физическая безопасность и защита от воздействия окружающей среды
12. Безопасность при эксплуатации
13. Безопасность коммуникаций
14. Приобретение, разработка и поддержка систем
15. Взаимоотношения с поставщиками
16. Менеджмент инцидентов информационной безопасности
17. Аспекты информационной безопасности в рамках менеджмента непрерывности деятельности организации
18. Соответствие
Библиография

ГОСТ Р ИСО/МЭК 27003-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации» объёмом 46 станиц, вступающий в силу 30.11.2021 года, см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230306

Стандарт разработан Федеральным исследовательским центром «Информатика и управление» Российской академии наук (ФИЦ ИУ РАН), акционерным обществом «Эшелон - Северо-Запад» (АО «Эшелон-СЗ») и ООО «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) на основе одноимённого международного стандарта ISO/IEC 27003:2017 «Information technology - Security techniques - Information security management systems - Guidance», см. https://www.iso.org/standard/63417.html и https://www.iso.org/obp/ui/#!iso:std:63417:en .

Во вводной части отмечается

«Настоящий стандарт содержит руководство по реализации требований к системе менеджмента информационной безопасности (СМИБ). приведенных в ИСО/МЭК 27001, и предоставляет рекомендации (используя вспомогательный глагол «должен»), возможности (используя вспомогательный глагол «следует») и допустимое действие (используя вспомогательный глагол «может») в отношении этих требований. Настоящий стандарт не ставит целью предоставление общего руководства по всем аспектам информационной безопасности (ИБ)1).

Настоящий стандарт носит общий характер и предназначен для применения во всех организациях. независимо от их типа, размера или характера. Организация определяет, какая часть этого руководства применяется к ней в соответствии с конкретным контекстом организации (см. ИСО/МЭК 27001, раздел 4).»

Содержание документа следующее:

Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Контекст организации
5. Руководство
6. Планирование
7. Поддержка
8. Эксплуатация.
9. Оценка эффективности.

ГОСТ Р ИСО/МЭК 27004-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание» объёмом 50 страниц, вступает в силу   30.11.2021 года, см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230358

Стандарт разработан Федеральным исследовательским центром «Информатика и управление» Российской академии наук (ФИЦ ИУ РАН) и ООО «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) на основе одноимённого международного стандарта ISO/IEC 27004:2016 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание» (Information technology - Security techniques - Information security management - Monitoring, measurement, analysis and evaluation), см. https://www.iso.org/standard/64120.html и https://www.iso.org/obp/ui/#!iso:std:64120:en .

Во вводной части отмечается:

«Настоящий стандарт представляет руководящие принципы, предназначенные для оказания помощи организациям в оценке деятельности по обеспечению информационной безопасности (ИВ) и результативности системы менеджмента информационной безопасности (СМИБ) в целях выполнения требований, изложенных в подразделе 9.1 ИСО/МЭК 27001.

Настоящий стандарт охватывает:

  • мониторинг и оценку деятельности по обеспечению ИБ;

  • мониторинг и оценку результативности системы менеджмента информационной безопасности (СМИБ), включая ее процессы и средства контроля и управления:

  • анализ и оценку результатов мониторинга и оценки защищенности.

Настоящий стандарт применим для всех организаций, независимо от типа или размера.»

Содержание документа следующее:

Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Структура и обзор стандарта
5. Основные принципы
6. Показатели
7. Типы показателей
8. Процессы
Приложение А (справочное): Модель оценки защищенности информационной безопасности
Приложение В (справочное): Примеры спецификаций конструкций оценки защищенности
Приложение С (справочное): Пример спецификации конструкции оценки эффективности в форме произвольного текста
Библиография

Источник: сайт Росстандарта
http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230305
http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230306

Комментариев нет:

Отправить комментарий